Mục lục
1. Mô-đun nền tảng đáng tin cậy (TPM)
Kể từ khi Microsoft thông báo rằng Windows 11 yêu cầu hỗ trợ cho Trusted Platform Module (TPM) 2.0, chủ đề này đã trở nên gây tranh cãi. Mặc dù chip TPM đã ra đời hơn một thập kỷ nhưng cho đến nay các nhà sản xuất thiết bị và người dùng vẫn chưa coi trọng chúng. Chip TPM là một kho tiền mật mã lưu trữ các khóa mã hóa, mật khẩu và chứng chỉ. Chip TPM sử dụng các mục nhập được lưu trữ để xác định và xác thực thiết bị, phần mềm và người dùng. Ví dụ: trong Windows 11, Windows Hello hoạt động với chip TPM 2.0 để bảo mật quá trình đăng nhập. Chip TPM 2.0 lưu trữ một bí mật liên quan đến Windows Hello và sử dụng bí mật đó để xác thực người dùng. Theo Microsoft trên Windows Blogs, lý do để sử dụng TPM 2.0 mới thay vì TPM 1.2 cũ hơn là vì TPM 2.0 hỗ trợ các thuật toán mật mã tốt hơn. Nói cách khác, chip TPM 2.0 sẽ đảm bảo rằng PC chạy Windows 11 được xác thực và không bị xâm phạm.
2. Bảo mật dựa trên ảo hóa (VBS)
Microsoft đã đưa tính năng Bảo mật dựa trên ảo hóa (VBS) vào Windows 11. Tính năng này nhằm mục đích bảo vệ các giải pháp bảo mật chống lại các cuộc tấn công khai thác, bằng cách lưu trữ các giải pháp này bên trong một phân đoạn bộ nhớ hệ thống được cách ly và bảo mật. Nói một cách đơn giản hơn, VBS chiếm một phần bộ nhớ hệ thống, cô lập nó với phần còn lại của hệ điều hành và sử dụng không gian đó để lưu trữ các giải pháp bảo mật. Bằng cách làm này, Microsoft đang bảo vệ các giải pháp bảo mật vốn là mục tiêu chính của hầu hết các cuộc tấn công mạng. Mặc dù hỗ trợ VBS có sẵn trong Windows 10 nhưng nó không được sử dụng theo mặc định. Microsoft đang thay đổi điều này với Windows 11. Công ty đã thông báo rằng họ sẽ kích hoạt VBS trên hầu hết các phiên bản Windows 11 theo mặc định vào năm tới.
3. Tính toàn vẹn của mã được bảo vệ bởi Hypervisor (HVCI)
Tính toàn vẹn của mã được bảo vệ siêu giám sát là một tính năng của VBS bảo vệ môi trường bộ nhớ hệ thống bị cô lập mà VBS tạo ra. HVCI đảm bảo rằng nhân Windows, hoặc bộ não của hệ điều hành, không bị xâm phạm. Vì nhiều vụ khai thác dựa vào việc sử dụng chế độ hạt nhân để truy cập vào hệ thống, HVCI thực hiện một công việc quan trọng trong việc đảm bảo rằng hạt nhân được an toàn và không thể bị sử dụng để tấn công hệ thống. HVCI đảm bảo bộ não của Windows (nhân) không làm điều gì đó ngu ngốc có thể ảnh hưởng đến bảo mật của hệ thống. Windows 10 đi kèm với HVCI. Nhưng nó làm giảm hiệu suất của các CPU cũ hơn một chút. Đây là một lý do tại sao Microsoft yêu cầu CPU AMD thế hệ thứ 8 trở lên và Zen 2 trở lên, vì nó có phần cứng dành riêng cho HVCI. Nói tóm lại, Windows 11 sẽ an toàn hơn đáng kể so với Windows 10 theo mặc định thông qua việc sử dụng HVCI và VBS.
5. Khởi động an toàn UEFI
Trước khi nói về UEFI Secure Boot, chúng ta hãy làm rõ một điều: Tất cả các công cụ và giao thức bảo mật của Windows không thể làm gì nếu hệ thống của bạn bị xâm phạm trước khi khởi động. Nói một cách đơn giản, nếu Windows khởi động bằng mã độc, cuộc tấn công khai thác có thể vượt qua tất cả các biện pháp bảo mật. UEFI Secure Boot đảm bảo điều này không xảy ra bằng cách xác minh rằng máy tính chỉ khởi động bằng mã từ một nguồn đáng tin cậy. Nguồn này có thể là nhà sản xuất PC, nhà sản xuất chip hoặc Microsoft. Tất cả các máy Windows 11 sẽ được cài sẵn UEFI Secure Boot ngay từ đầu. Điều này sẽ cung cấp cho các máy Windows 11 một lượng bảo mật đáng kể so với các thiết bị Windows 10. Microsoft đang đảm bảo rằng hệ điều hành mới được bảo mật ngay từ đầu. Phần cứng tập trung vào bảo mật như TPM 2.0 và các CPU mới hơn cho phép các tính năng như VBS và UEFI Secure Boot để bảo vệ người dùng chống lại các cuộc tấn công khai thác. Tuy nhiên, hầu hết người dùng Windows vẫn đang sử dụng các máy cũ hơn. Vì vậy, Microsoft đã phải thuyết phục mọi người mua một chiếc PC mới. Và điều đó sẽ không dễ dàng.
Link nguồn: Tại sao Windows 11 lại bảo mật hơn Windows 10 rất nhiều? – https://techtipsnreview.com/ [ad_2]
