Separação e isolamento de estado
A separação e o isolamento de estado protegem partes críticas do sistema operacional HoloLens 2 contra alterações, como aquelas necessárias para que o sistema operacional seja inicializado em um estado confiável. Com a tecnologia de isolamento, aplicativos não confiáveis são movidos para um ambiente de área restrita isolado, para garantir que eles não afetem a segurança do sistema.
Separação de estado
A separação de estado no HoloLens 2 aprimora imensamente a segurança e a capacidade de manutenção (atualização) e ajuda a proteger seus dados de aplicativo. A separação de estado funciona da seguinte maneira:
- O sistema operacional principal é armazenado no volume do sistema operacional principal (um SO confiável ou verificado da Microsoft que atualiza o sistema operacional).
- As partes do sistema operacional que podem ser alteradas em runtime (como drivers e configurações para download) usam a separação de estado adicional para particionar os dados e armazená-los em locais de armazenamento seguros e separados.
- Cada localização de armazenamento seguro tem políticas de segurança distintas associadas, oferecendo diversas vantagens de segurança, conforme detalhado na seção a seguir.
Benefícios da separação de estado
- Segurança: a separação de estado apresentada no HoloLens 2 aprimora significativamente a integridade da plataforma, a resistência contra malware e a proteção de dados do usuário. Ao separar a parte inalterável do sistema operacional e torná-la somente leitura ou integridade protegida, a separação de estado dificulta a persistência de malware em uma reinicialização a frio.
- Atualizações: com o HoloLens 2, como o sistema operacional principal não é modificável e foi corretamente separado do restante dos dados no dispositivo, as atualizações se tornam simples e confiáveis. Além disso, a separação de estado cria os alicerces vitais para atualizações muito mais rápidas, o que permite que o sistema operacional seja substituído em uma só etapa (unidade atômica).
- Redefinição do dispositivo: a redefinição no HoloLens 2 limpa os dados gerados pelo usuário e os dados do aplicativo do usuário no dispositivo, incluindo locais de armazenamento internos e externos. Ela preserva os aplicativos do sistema operacional atual e os aplicativos críticos de segurança, além dos aplicativos personalizados da Microsoft e do OEM (pré-instalados). Esses aplicativos pré-instalados podem ser reidratados no dispositivo após a conclusão da redefinição
Estados da separação de estado
A separação de estado garante que o sistema operacional só possa ser alterado por componentes de dispositivo confiáveis da Microsoft e apenas o estado de alto valor possa persistir entre reinicializações; outro estado do sistema existe somente durante a sessão de inicialização e é descartado após uma reinicialização. A separação de estado retorna rapidamente o dispositivo novamente para o estado de fábrica. Os estados do Windows Holographic for Business podem ser divididos nestas categorias distintas:
- Sistema operacional principal – Estado inalterável
- Dados do sistema operacional – Estado alterável
- Dados do usuário – Estado alterável
Cada um desses estados operacionais do HoloLens 2 são descritos na seção a seguir.
Sistema operacional principal
Um estado imutável inclui arquivos executáveis e dados que são inalteráveis e só podem ser alterados pela Microsoft durante a instalação das atualizações. Durante essa atualização do sistema operacional principal, uma nova imagem contendo o mais recente estado operacional desejado é habilitada. O estado inalterável é marcado como somente leitura (ou, de outro modo, tem a integridade protegida), evitando a persistência de qualquer malware com privilégios elevados. Os seguintes arquivos e dados executáveis estão protegidos no estado imutável:
- Drivers originais do Windows Holographic
- Binários do sistema operacional
- Drivers originais do Windows
- Configurações estáticas do Windows Holographic armazenadas no hive do Registro do Windows (HKLM)
- Exemplo: o HKLM armazena as informações de configuração dos aplicativos instalados em um computador. Ele também armazena informações para detectar um hardware e os drivers correspondentes. Ao protegê-los no estado imutável (com proteção de integridade e somente leitura), garantimos que o sistema operacional principal sempre seja inicializado em um estado confiável. Além disso, quando um dispositivo é redefinido, podemos garantir que o dispositivo será inicializado apenas nos componentes que estão nesta seção imutável.
Dados do sistema operacional
É importante observar que arquivos executáveis e dados que podem ser alterados em runtime (e não são críticos para a função do sistema operacional), podem ser descartados e recriados quando os dados são corrompidos ou comprometidos. É necessário que o estado alterável de alto valor seja persistido pelo sistema operacional ou é esperado que ele seja persistido no desligamento do sistema operacional e/ou entre reinicializações por cenários de dispositivos e de sistema operacional Windows compatíveis. Entre os exemplos de estado mutável de alto valor estão:
- Configurações de dispositivo globais definidas pelo administrador de TI, como a desabilitação da localização para todos os usuários.
- Redes lembradas nos dispositivos de dados de acesso à conexão de rede Wi-Fi e senhas de conexão associadas.
- Despejos de memória, incluindo configurações e logs.
- Drivers baixados sob demanda para dispositivos recém-descobertos. Um estado alterável de alto valor no HoloLens 2 reside na localização de segurança de dados do sistema operacional como um arquivo salvo em disco ou em um hive do Registro persistente.
Dados do usuário
A última categoria de estado representa os dados do usuário produzidos ou persistidos por aplicativos UWP ou do sistema operacional. Todas as pastas de usuário conhecidas, como Downloads, Documentos, Vídeos, perfis de usuários e o hive HKEY_CURRENT_USER, também são armazenadas nessa localização. Esses dados não podem ser extraídos sem credenciais adequadas; para saber mais sobre como seus dados são protegidos, consulte Criptografia e Proteção de Dados.
Isolamento
Para obter esse equilíbrio, HoloLens 2 tem um sistema operacional principal que é usado para funções primárias, como inicialização, controle de hardware, logon etc. Há apenas dois conjuntos de aplicativos executados no sistema operacional principal : aplicativos pré-instalados e aplicativos UWP.
Assinatura de código
A assinatura digital de código permite a confirmação de que executáveis e scripts não foram modificados desde que foram assinados por uma fonte confiável, fornecendo autenticidade e integridade. As autoridades nas quais o HoloLens 2 confia por padrão são a Microsoft e a Microsoft Store. Os administradores de TI podem adicionar novos certificados ao dispositivo por meio dos CSPs ClientCertificateInstall e RootCATrustedCertificates. Eles também podem usar a política AllowAllTrustedApps para confiar em outros aplicativos sideload ou de linha de negócios. Os certificados residem no repositório de certificados do computador local que é armazenado no HKLM/Root se estiver usando "Dispositivo" ou no HKCU se estiver usando "Usuário".
Proteções do Defender
O HoloLens 2 usa serviços Microsoft para proporcionar aos usuários um nível de segurança avançado:
O Defender SmartScreen é habilitado automaticamente no Windows Holographic pelo sistema operacional e fornece proteção contra phishing e malware e contra o download de arquivos potencialmente mal-intencionados no Microsoft Edge. Ele não pode ser desativado pelo usuário, mas pode ser desabilitado por meio da política.
O Defender Firewall bloqueia o fluxo de tráfego de rede não autorizado no dispositivo. Ele é habilitado por padrão e não configurável pelo cliente por meio de ações ou políticas locais.
Controle de Aplicativos do Windows Defender: o HoloLens 2 dá suporte ao WDAC, que permite que o administrador de TI envie por push as políticas de controle de aplicativo para o dispositivo. Encontre mais informações em Usar o WDAC em dispositivos HoloLens 2 com o MSFT Intune.
Os administradores de TI podem gerenciar o comportamento do SmartScreen por meio de AllowSmartScreen e o comportamento do navegador por meio destas políticas.