5 octombrie 2021 a reprezentat o noua data de referinta in istoria Microsoft cand a fost lansata ultima iteratie de sistem de operare, Windows 11. Multe companii isi pun deja intrebarile obisnuite la o astfel de lansare:
- cand sa fac upgrade-ul?
- daca sa fac upgrade-ul?
- ce impact are upgrade-ul asupra business-ului?
- este sigur sa fac upgrade-ul?
Probabil multi dintre noi au fost curiosi sa citeasca putin despre Windows 11. Si probabil ce ne-a interesat mai mult a fost setul de cerinte hardware necesare pentru a rula noul sistem de operare. Si acestea nu sunt deloc nesemnificative. Din contra, cerintele hardware par prea mari pentru momentul de fata, insa Microsoft vrea sa dispuna de o fundatie solida pe care sa isi poate construi nivelele de software. Aceasta dorinta a fost manifestata inca de la aparitia lui Windows 10 care a introdus arhitectura Secured-core PC. Optionala in Windows 10, aceasta este obligatorie in Windows 11.
Windows 11 are nevoie din partea producatorilor de hardware sa indeplineasca urmatoarele cerinte:
- procesor pe 64 de biti cu minim 2 core-uri si frecventa de 1 GHz sau mai mare capabil de tehnologia HVCI. Microsoft apeleaza din ce in ce mai mult la VBS (Virtualization Based Security) pentru a implementa masuri de securitate. In esenta, VBS ruleaza sistemul de operare ca o masina virtuala controlata de un hypervisor. Hypervisor-ul poate apoi folosi tehnici de segmentare si de izolare similare cu cele folosite la rularea sistemului de operare guest intr-un spatiu complet separat de cel al sistemului gazda. Avantajele de securitate aduse de VBS sunt:
- Kernel Data Protection – o parte din memoria rezervata kernel-ului este marcata ca read-only pentru a proteja Windows-ul si driver-ele sale
- Memory Integrity – ofera un mediu izolat in care anumite programe sa fie executate pentru a li se observa comportamentul; este un fel de sandbox care ofera protectie impotriva codului alterat de malware.
- Application Guard – un sandbox dedicat pentru browser-ul Edge si suita Microsoft Office care foloseste virtualizarea cu scopul de a izola site-urile suspicioase si documentele malitioase.
- Credential Guard – serviciul de Local Security Authority Subsystem ruleaza ca un container virtual, impiedicand astfel un atacator cu acces la sistem sa obtina credentialele utilizatorului
- Windows Hello Enhanced Sign-In – stim deja ca ne putem autentifica pe laptop cu amprenta sau cu recunoasterea faciala. Feature-ul de Windows Hello Enhanced Sign-In protejeaza aceste credentiale ale utilizatorului si securizeaza canalul de comunicare prin care aceasta informatie circula (accesul la camera web sau la senzorul de amprenta).
- firmware compatibil UEFI (United Extensible Firmware Interface) – UEFI varianta moderna de BIOS – partea de firmware low-level care controleaza procesul de initializare a sistemului pana cand se incarca Windows-ul si acesta preia controlul. Marele plus de securitate adus de UEFI este verificarea integritatii soft-ului folosit in procesul de boot prin semnaturi digitale. Astfel, sistemul este protejat de bootkits (malware care se poate executa inainte de incarcarea sistemului de operare) si de rootkits (malware care modifica codul din sistemul de operare, de exemplu pentru escaladarea de privilegii)
- Trusted Platform Module 2.0 (TPM 2.0) – TPM este cip hardware care se ocupa de operatiuni precum crearea si stocarea de chei criptografice folosite de exemplu in criptarea volumelor cu BitLocker. TPM este un cip foarte rezistent a carui integritate nu poate fi atacata in niciun fel. In Windows 11 TPM 2.0 va forma baza de securitate pentru functii ca Measured Boot (sistemul va porni numai din surse cunoscute), BitLocker, Windows Defender System Guard si Windows Hello.
Intentia care se contureaza este evidenta. Microsoft doreste sa creeze un mediu hardware suficient de sigur si de incredere in care sa isi ruleze sistemul de operare si aplicatiile. Windows 11 transforma aceasta dorinta in realitate si cere de la producatori hardware-ul necesar pentru a atinge acest scop. Din perspectiva securitatii, ar trebui sa ne bucure acest lucru.
Nu trebuie sa ne bazam numai pe acest lucru si securitatea unui dispozitiv va trebui asigurata si de alte masuri de protectie, conform principiului “defense in depth”. Hackerii, unii dintre ei foarte bine finantati, vor putea gasi tehnici si proceduri prin care sa bypass-eze si aceste masuri de securitate sau poate vor folosi tehnici foarte low level ca nivel de tehnologie precum BEC (business email compromise) sau inginerie sociala pentru a compromite sistemele utilizatorilor. Mai mult, cu siguranta vor aparea si probleme de compatibilitate la rularea unor aplicatii, precum si noi bug-uri de sistem care pot fi vulnerabile la atacurile hackerilor.
Probabil, nicio organizatie nu va decide peste noapte sa migreze la Windows 11. Mai ales ca probabil deja dispune de o “flota” de laptop-uri care ruleaza Windows 10 fara probleme, dar care nu indeplineste cerintele hardware minime pentru Windows 11. Insa, schimbarea este singura constanta 😊 si incet, dar sigur Windows 11 va deveni mainstream pe masura ce ne apropiem de octombrie 2025 cand suportul pentru Windows 10 va inceta.
Mihai Dumitrascu, Sr Systems Engineer