-->

Protecção de máquinas virtuais no Windows 10


Trusted Platform Module (TPM)


O TPM é um chip especializado, normalmente soldado na placa-mãe dos dispositivos, que fornece autenticação baseada no hardware do dispositivo, detecção de adulteração e armazenamento de chaves criptográficas.
O TPM gera chaves criptográficas RSA específicas para o sistema anfitrião tornando impossível recuperar dados de um disco rígido cifrado noutro computador além daquele em que foi originalmente instalado.
Além disso, o TPM gera uma assinatura digital única da placa-mãe em que foi originalmente incorporado, frustrando assim qualquer tentativa de mover o próprio chip TPM para outra máquina.
Este circuito integrado criptográfico seguro fornece uma abordagem baseada em hardware para gerir a autenticação de utilizadores, o acesso à rede e protecção de dados. O TPM pode ser utilizado com qualquer um dos principais sistemas operativos e trabalha melhor em conjunto com outras tecnologias de segurança como firewalls, software antivírus, cartões inteligentes e verificação biométrica.

Secure Boot


Quando se inicia um moderno PC com Windows, o Secure Boot no firmware UEFI verifica o carregador (loader) do sistema operativo e os seus drivers para garantir que estes são assinados por uma assinatura digital aprovada. Em PCs com Windows, o Secure Boot UEFI geralmente verifica se o software de baixo nível é assinado pela Microsoft ou pelo fabricante do computador. Isso impede que o malware de baixo nível, como rootkits, interfera com o processo de arranque do sistema. De salientar que as últimas versões de distribuições populares de Linux, incluindo Ubuntu, Mint e Fedora, já podem ser instaladas sem problema num PC que tenha o Secure Boot activado.

Além disso, os sistemas operativos Linux agora podem tirar proveito do Secure Boot nas MV de 2ª Geração no Hyper-V do Windows 10. Tanto o Ubuntu 14.04 como o SUSE Linux Enterprise Server 12 são já suportados, e esta tendência vai aumentar ao longo do tempo. Estas MV Linux devem ser configuradas para utilizar o Microsoft UEFI Certificate Authority (CA) no arranque.

MV Linux Secure Boot

Measured Boot


Uma das tendências mais preocupantes no malware dos últimos anos é o aparecimento de rootkits cada vez mais sofisticados, capazes de iludirem qualquer detecção. A fim de detectar e resolver estas ameaças ao arranque, o Windows 8 introduziu uma nova característica chamada Measured Boot que mede cada componente, desde o firmware até aos drivers de arranque, armazena essas medidas no TPM da máquina, e, em seguida, disponibiliza um registo que pode ser testado remotamente para verificar o estado de inicialização de uma máquina cliente.

O Measured Boot fornece ao software de anti-malware um registo fiável (resistente à adulteração e falsificação) de todos os componentes de arranque que foram iniciados antes do próprio software anti- malware. Assim, o software pode usar o registo para determinar se os componentes que correram antes dele são fiáveis ou se estão infectados com malware.

TPM virtual no Windows 10 Hyper-V


O Windows 10 versão 1511 (Novembro de 2015) trouxe uma série de novos recursos para o mais recente sistema operativo da Microsoft, nomeadamente a capacidade de usar um TPM virtual dentro Máquinas Virtuais de 2ª Geração (link). Este TPM virtual não é emulado em software e, portanto, um é necessária a existência de um TPM físico no dispositivo anfitrião. Se a sua máquina não tiver um TPM (ou se o chip for desactivado na sua BIOS/UEFI), toda a secção do Trusted Platform Module pode estar ausente das configurações de segurança da MV.

Virtual TPM

Como se pode ver na imagem, a fim de utilizar o TPM virtual numa VM primeiro é necessário activar o Isolated User Mode no computador anfitrião. Isso pode ser feito facilmente adicionando o necessário recurso Windows e reiniciando.

Isolated User Mode

O próximo passo é ligar a Virtualization Based Security Local Group Policy Editor (gpedit.msc). Active a respectiva política e reinicie novamente.

Device Guard

Por último, mas não menos importante, é necessário configurar o Windows Remote Management no computador anfitrião. Para isso, basta executar o comando winrm quickconfig a partir de uma linha de comandos com permissões de administração.

Depois de concluir os procedimentos acima, pode agora activar o TPM virtual na sua MV de 2ª Geração.

Virtual TMP numa MV

Sem comentários: