Skip to main content
Was ist Microsofts neuer Secured-core PC
Written by Luca Legnani - European Marketing Manager for Panasonic Mobile Business Solutions Division

Microsofts neuer Secured-Core PC - Was verbirgt sich dahinter?

Zusammen mit den größten Chip- und PC-Herstellern hat Microsoft eine neue PC-Klasse entwickelt, die ein Höchstmaß an umfassender Sicherheit und Schutz out-of-the-box bietet. Im Oktober 2019 wurden die ersten 10 als Secured-Core PC bezeichneten Geräte eingeführt, darunter als einziges Ruggedized Gerät, das TOUGHBOOK 55.

Was aber verbirgt sich hinter Secured-Core PC und warum handelt es sich um eine entscheidende Entwicklung für Unternehmen, die mit hochsensiblen Daten arbeiten?

 

Der Secured-Core PC kurz erklärt

Microsoft entwickelte in Zusammenarbeit mit seinen OEM-Partnern eine neue Klasse sicherer PCs. Dies wurde speziell für die Verarbeitung geschäftskritischer Daten in stark datenabhängigen Branchen konzipiert. Ein Secured-Core PC ist ein modernes Windows 10-Gerät, das serienmäßig mit höchstem Hardware-, Software- und Identitätsschutz ausgestattet ist.

 

Wer braucht ihn?

Angesichts der zunehmenden Komplexität von Cyberangriffen und -gefahren suchen Unternehmen nach neuen Lösungen, die umfassende Sicherheit bieten. Besonders wichtig ist dies in Bereichen, die mit hochsensiblen Daten arbeiten, z. B. Notfalldienste, Verteidigungs- und öffentlicher Sektor, sowie für leitende Angestellte, F&E-Manager oder mobile Mitarbeiter, auf deren Geräten sich wichtige Kunden- und Unternehmens-informationen befinden.

 

Was leistet er?

Im Secured-Core PC sind Hardware, Firmware und das Windows-Betriebssystem hochgradig integriert. Dies schützt gegen Angriffe, da die Gerätesicherheit in der Hardware verankert ist und mit sicherer, laufend weiterentwickelter Cloud-basierter Software überwacht wird, um sowohl Daten- als auch Identitätsschutz zu gewährleisten.

Ein Secured-Core PC ermöglicht den Nutzern, sicher zu booten, das Gerät vor Firmware-Schwachstellen und das Betriebssystem vor Angriffen zu schützen sowie unbefugte Zugriffe auf Geräte und Daten mittels modernster Zugangskontrollen und Authentifizierungssysteme zu verhindern.

 

Wie funktioniert er?

Mit Hardware-basierten Sicherheitskomponenten wie dem Trusted Platform Module 2.0 (TPM), modernsten CPUs, Virtualisation-based Security (VBS) sowie Windows Hypervisor Code Integrity (HVCI) schafft der Secured-Core PC eine sichere, Hardware Umgebung, die Speicher und kritische Komponenten effektiv isoliert, um Angriffe und unbefugte Zugriffe auf kritische Bereiche des Betriebssystems zu verhindern.

Secured-core PC layersSeine Basis sind in moderne CPUs integrierte, hoch entwickelte Sicherheitsfunktionen, die die Windows-Integrität und den Boot-Prozess vor ausgeklügelten Angriffen auf Firmware-Ebene schützen.

Ein Secured-Core PC bringt das System beim Start mit dem Dynamic Root of Trust Measurement (DRTM) in einen sicheren Zustand (Trusted State), indem er die Steuerung von der CPU durch ein sicheres und durch Messungen kontrolliertes Handoff direkt an den Windows Hypervisor Loader weitergibt. Der Windows Hypervisor wird in einem per Hardware-Messung kontrollierten Zustand sicher gestartet. Im Speicher wird dann die VBS-Umgebung eingerichtet, um wichtige Schüssel und Prozesse vom regulären Windows-Betriebssystem zu isolieren, und anschließend gestartet. Der Hypervisor Code Integrity (HVCI)-Service startet in der VBS-Umgebung und schützt den Windows-Kernel, indem der gesamte ausführbare Kernel-Code durch eine Trusted Authority signiert wird und stets eine sichere Speicherzuweisung durch den Kernel-Code erfolgt. Damit wird sichergestellt, dass bei Angriffen kein Schadcode in Kernel-Modus-Prozesse und Treiber gelangt.

Während des gesamten Boot-Prozesses werden Integritätsmessungen durchgeführt und im TPM 2.0 gespeichert, um die Funktion der Chain of Trust von der CPU bis zu Windows sicher aufzuzeichnen. Dieser Prozess und die zugehörigen Daten werden in der TPM-Hardware isoliert. So wird sichergestellt, dass die Messungen vor Manipulation geschützt sind, selbst wenn es zu einer Kompromittierung der Plattform kommt. Von dort aus wird anhand der Messungen die Integrität der Hardware, Firmware und Windows-Boot-Komponenten des Geräts geprüft, um sicherzugehen, dass das Gerät frei von unter dem Betriebssystem liegender Schadsoftware ist.

Sobald Windows gestartet ist, sicher läuft und von einem Nutzer mittels Windows Hello* signiert wird, sorgt der Credential Guard für den Schutz der ID- und Domain-Zugangsdaten in der sicheren, isolierten VBS-Umgebung und blockiert so die bei vielen gezielten Angriffen zum Diebstahl von Zugangsdaten oft verwendeten Techniken und Tools. Selbst Schadsoftware, die mit Administrator-Berechtigungen im Betriebssystem läuft, kann keine Authentifizierungs-Token extrahieren.

Um Schutz gegen unbefugte Zugriffe und Schadsoftware zu gewährleisten, arbeiten Secured-Core PCs mit mehreren Verteidigungsebenen: einem Hardware-basierten Root of Trust, aufgeteilten und isolierten kritischen Komponenten sowie zertifikatsbasierter Authentifizierung.

 

Welche Geräte sind als Secured-Core PCs zertifiziert?

Das Panasonic TOUGHBOOK 55 ist einer der ersten Secured-Core PCs und das erste Modell der Panasonic Ruggedized TOUGHBOOK Serie, das diese Sicherheitsstufe bietet. Neben modernsten Sicherheitsfunktionen sorgen die einzigartig stabile, schlanke Wabenbauweise und das spritzwasserfeste Design des Semi Ruggedized TOUGHBOOK 55 für höchste Robustheit. Auch in Sachen Flexibilität ist das TOUGHBOOK 55 herausragend. Dank der großen Vielfalt an Konfigurationsoptionen findet jeder Kunde genau das passende Gerät.

 

 

*Um Windows Hello mit Biometrie-Hardware (z. B. Fingerabdruckleser) nutzen zu können, ist ein Infrarotsensor oder ein anderer Biometriesensor erforderlich. Hardware-basierter Schutz der Zugangsdaten/Schlüssel für Windows Hello erfordert TPM 1.2 oder höher. Ist TPM nicht vorhanden oder nicht konfiguriert, werden die Zugangsdaten/Schlüssel auf Software-Basis geschützt.

Erfahren Sie mehr über den ersten Secured-core PC von Panasonic TOUGHBOOK.

Get in touch

If you would like to discuss any of the topics featured on this blog or want one of our experts to get in touch to see how we can help with your IT mobility challenges, then please use the Contact Us button to get in touch.

Get in touch