Video legt uit wat er met Windows kan gebeuren zonder TPM2.0

In een uitgebreide video demonstratie laat Microsoft zien hoe cyberaanvallen werken en hoe de nieuwe systeemvereisten voor Windows 11 deze tegen kunnen gaan. In de video probeert de techgigant duidelijk te maken hoe de nieuwe omstreden beveiligingseisen als tpm 2.0 en Secure Boot voor een veiliger systeem zorgen.

Daarnaast leggen we u in dit Windows 11 artikel uit hoe ‘veilig opstarten‘ werkt en wat daar allemaal bij komt kijken.

nbsp
Schematische werking TPM 2.0 Bron: Microsoft.com

Als voorbeeld voert Microsoft onder meer een aanval uit via Toegang op afstand zonder dat de op virtualisatie gebaseerde veiligheid (vbs) is ingeschakeld. Deze technologie doet in principe hetzelfde als het omstreden TPM 2.0, waarbij gevoelige data als encryptiesleutels en inloggegevens fysiek afgeschermd worden van de rest van de pc.

Een video presentatie: hoe werkt TPM 2.0 volgens Microsoft. Gevoelige data wordt afgeschermd van onder andere malware middels een fysieke hardwarebarrière.


Wat u moet weten

Veilig opstarten

Veilig opstarten is een beveiligingsstandaard die door leden van de pc industrie is ontwikkeld. Dit zorgt ervoor dat een apparaat opstart met alleen software die wordt vertrouwd door de Original Equipment Manufacturer (OEM). Wanneer de pc opstart, controleert de firmware de handtekening van elk stukje opstartsoftware, inclusief UEFI-firmware stuurprogramma’s. Daarbij horen ook de Option ROM, EFI toepassingen en het besturingssysteem.

Option ROM

De optie ROM is een andere veel voorkomende optie ROM is een netwerk boot ROM. Het bevat het programma dat nodig is om de opstartcode te downloaden. De originele IBM Personal Computer ROM’s haakten INT 18H, oorspronkelijk om Cassette BASIC, aan te roepen, en INT 19H, omdat deze twee interrupts werden aangeduid wanneer het opstartproces op het punt staat te beginnen. INT 19H wordt opgeroepen om het opstartproces te starten, terwijl INT 18H wordt aangeroepen wanneer het systeem probeert op te starten vanaf alle andere mogelijke apparaten wanneer geen enkele opstartbaar was.

Oorspronkelijk, door INT 18H aan te haken, zou het systeem Cassette BASIC oproepen (indien aanwezig). Anders zou het proberen op te starten vanaf het netwerk wanneer met alle andere opstartapparaten, diskettestations, harde schijven, waren mislukt. Door INT 19H aan te haken, zou het systeem proberen op te starten vanaf het netwerk voordat andere apparaten dit konden doen. De BBS specificeert (BIOS Boot Specificatie) dat de NIC optie ROM (Netwerk aansluiting) geen 19h haakt. In plaats daarvan moet de BIOS 19h handler de BEV aanroepen, die vervolgens de opstartcode downloadt.

BEV Is een Bootstrap invoervector is een aanwijzer die verwijst naar code in een optie ROM die laadt direct een Besturingssysteem. De BEV bevindt zich in een PnP optie ROM uitbreidingsheader. Een voorbeeld van een optie ROM met een BEV is een PnP ISA ethernet controller.

nbsp

Afbeelding: Een PnP ISA ethernet controller.

Als de handtekeningen geldig zijn, start de pc op en geeft de firmware de controle over aan het besturingssysteem.

De OEM kan instructies van de firmware gebruiken om veilige opstartsleutels te maken. Deze worden opgeslagen in de pc firmware. Wanneer u UEFI stuurprogramma’s toevoegt, moet u er ook voor zorgen dat deze zijn ondertekend en zijn opgenomen in de Secure Boot database.


Het Boot proces

Gebeurt dit niet, dan kunnen hackers met relatief gemak bij gevoelige data komen. Met deze data kunnen hackers bijvoorbeeld de biometrische beveiliging van een systeem dusdanig aanpassen, dat het mogelijk wordt om deze met ieder geleidend object te ontgrendelen. Microsoft gebruikt in de video een Haribo Goudbeer om de ernst van een dergelijke hack te illustreren. 

nbsp
Haribo Goudbeer ©

In dezelfde video demonstreert Microsoft hoe Secure Boot veelvoorkomende aanvallen kan voorkomen. De betreffende technologie is ook vereist om Windows 11 te installeren. Het controleert of de boot volgorde klopt en controleert of ermee gerommeld is. Bepaalde soorten malware passen het bootproces op een slinkse manier aan zodat het systeem niet kan detecteren dat er iets mis is. Dit komt omdat veel beveiligingssoftware pas later in het bootproces gestart wordt. De cybercriminelen zijn het beveiligingssysteem op deze manier te slim af. Met Secure Boot controleert Windows 11 of het bootproces gaat zoals het moet gaan. Zo niet, dan wordt het proces aangepast tot een veilige boot volgorde.

nbsp
Bron: Microsoft.com | Schema Bootproces

Windows 11 vereist onder meer tpm 2.0 en Secure Boot om de bovenstaande redenen. Toch zijn er officiële manieren om het nieuwste besturingssysteem te installeren zonder aan die eisen te voldoen. Daar komen wel de in de video omschreven risico’s bij kijken, al zijn ook daar weer manieren voor om deze te voorkomen.