Door hardware ondersteunde integriteit en runtime-attestation
Door hardware ondersteunde integriteit en runtime-attestation beschermt tegen bedreigingen die ontstaan vóór het starten van een besturingssysteem, tijdens runtime, wanneer het apparaat gebruikmaakt van hardware en externe attestation-services om ervoor te zorgen dat de integriteit behouden blijft bij het opstarten en tijdens de runtime.
Beveiligd opstarten met UEFI
HoloLens 2 dwingt UEFI (Unified Extensible Firmware Interface) secure boot altijd af en start UEFI alleen Windows Holographic for Business op. Beveiligd opstarten zorgt ervoor dat de volledige opstartketen wordt gecontroleerd op integriteit en dat Windows altijd opstart met het juiste beveiligingsbeleid dat erop is toegepast. Meer informatie over Beveiligd opstarten.
TPM
De Trusted Platform Module (TPM) is een gespecialiseerde chip op een eindpuntapparaat. HoloLens 2 gebruikt een TPM 2.0, die door hardware afgedwongen sleutelisolatie biedt. Meer informatie over de basisprincipes van TPM.
Bedreigingsbeveiliging voor persistentietoegang
Het doel van de meeste cyberaanvallen is om permanente toegang tot een apparaat te behouden. Voor cybercriminaliteit stelt het behoud van deze persistentie een gecompromitteerd Windows-apparaat in staat om lid te worden van een botnet, toegang te verkopen aan het apparaat of andere kwaadwillende gebruikers, of om herhaalde gegevensdiefstal mogelijk te maken. In de wereld van gerichte aanvallen is persistentie essentieel voor een succesvolle cyberaanval , of het nu op een apparaat of (vaker) een heel netwerk is.
In feite worden gerichte aanvallen beschouwd als 'geavanceerde permanente bedreigingen', vanwege hun strategische noodzaak om toegang tot een doelapparaat of -netwerk te behouden. Daarom beschouwt Windows Holographic for Business bescherming tegen persistentie als absoluut cruciaal en maakt gebruik van anti-persistentietechnologie om een ijzersterke belofte van de klantbeveiliging te doen.
Beveiligd opstarten
HoloLens 2 dwingt UEFI Secure Boot (Unified Extensible Firmware Interface) af op alle kernbesturingssysteemstatussen. UEFI start alleen vertrouwde platforms van Microsoft op, wat ervoor zorgt dat de volledige opstartketen wordt gecontroleerd op integriteit en dat Windows altijd wordt opgestart met het juiste beveiligingsbeleid dat erop is toegepast. HoloLens 2 beveiligd opstarten kan niet worden uitgeschakeld, noch worden opstartladers van derden toegestaan.
Tip
Meer informatie over Beveiligd opstarten.
Windows Anti-Persistence Assurance
HoloLens 2 anti-persistentie garandeert zijn gebruikers dat zelfs in de zeldzame situatie dat er ooit een runtime-inbreuk van het systeem zou optreden - zoals een externe aanval - een dergelijke gebeurtenis zou worden verzacht met alle schadelijke code verwijderd van het systeem, eenvoudigweg door het apparaat uit te schakelen. Om de bescherming tegen persistentie verder te versterken, heeft HoloLens 2 krachtige integriteitsbeveiliging toegevoegd en alleen-lezenbeveiligingen geïmplementeerd.
Persistentie van besturingssysteemgegevens in de vorm van gegevens is nog steeds mogelijk, tenzij de gebruiker pbr (push-button reset) uitvoert van het apparaat waarmee alle veranderlijke partities worden gewist. Hoewel persistentie voor onveranderbare partities veel moeilijker wordt gemaakt, moet de gebruiker de HoloLens 2 pbr om mogelijke bedreigingspersistentie van veranderlijke onderdelen te verwijderen.
Beveiliging van code-integriteit
Code-integriteit (CI) is een belangrijke beveiligingseigenschap van een modern besturingssysteem. Het afdwingen van CI maakt goede beveiligingsbeslissingen mogelijk, omdat het garandeert dat de herkomst van code transparant is voor zowel de gebruiker als het besturingssysteem. Volledige code-integriteit moet de ondertekening van binaire installatiekopieën uitbreiden en runtime afdwingen, zoals controlestroomintegriteit en beperkingen voor dynamische code. CI is essentieel voor het voorkomen van meerdere aanvalsklassen, waaronder sociaal ontworpen malware, zoals ransomware, aanvallen op externe code-uitvoering en verschillende andere aanvalsklassen.