Windows 10 đã có phần khai thác bảo mật. Từ Spectre và Meltdown đến lỗi bộ đệm in gần đây, danh sách các lỗ hổng và bản hack Windows 10 rất phong phú. Do đó, thật nhẹ nhõm khi thấy Microsoft tăng gấp đôi bảo mật trong Windows 11.
Windows 11 sẽ là một hệ điều hành an toàn hơn Windows 10. Trọng tâm mới của Microsoft về bảo mật trong Windows 11 sẽ xoay quanh một số tính năng chính. Vì vậy, hãy xem xét các tính năng bảo mật quan trọng giúp tăng cường khả năng phòng thủ của Windows 11.
1. Mô-đun Nền tảng Tin cậy (TPM)
Kể từ khi Microsoft thông báo rằng Windows 11 yêu cầu hỗ trợ Trusted Platform Module (TPM) 2.0, chủ đề này đã trở nên gây tranh cãi. Mặc dù chip TPM đã xuất hiện hơn một thập kỷ, nhưng các nhà sản xuất thiết bị và người dùng vẫn chưa coi trọng chúng cho đến nay.
Chip TPM là một kho mật mã lưu trữ các khóa mã hóa, mật khẩu và chứng chỉ. Chip TPM sử dụng các mục được lưu trữ để xác định và xác thực thiết bị, phần mềm và người dùng.
Ví dụ, trong Windows 11, Windows Hello hoạt động cùng với chip TPM 2.0 để bảo mật quá trình đăng nhập. Chip TPM 2.0 lưu trữ bí mật liên quan đến Windows Hello và sử dụng bí mật đó để xác thực người dùng.
Theo Microsoft trên Windows Blogs, lý do để sử dụng TPM 2.0 mới hơn thay vì TPM 1.2 cũ hơn là vì TPM 2.0 hỗ trợ các thuật toán mật mã tốt hơn.
Nói cách khác, chip TPM 2.0 sẽ đảm bảo rằng các PC chạy Windows 11 là xác thực và không bị phá vỡ.
2. Bảo mật dựa trên ảo hóa (VBS)
Microsoft đã bao gồm Bảo mật dựa trên ảo hóa (VBS) trong Windows 11. Tính năng này nhằm mục đích bảo vệ các giải pháp bảo mật chống lại việc khai thác bằng cách lưu trữ các giải pháp này bên trong một phân đoạn bộ nhớ hệ thống được cô lập và bảo mật.
Nói một cách đơn giản hơn, VBS lấy một phần bộ nhớ hệ thống, cô lập nó với phần còn lại của hệ điều hành và sử dụng không gian đó để lưu trữ các giải pháp bảo mật. Bằng cách làm này, Microsoft đang bảo vệ các giải pháp bảo mật vốn là mục tiêu chính của hầu hết các cuộc tấn công mạng.
Mặc dù hỗ trợ VBS có sẵn trong Windows 10 nhưng tính năng này không được sử dụng theo mặc định. Microsoft đang thay đổi điều này với Windows 11. Công ty đã thông báo rằng họ sẽ bật VBS trên hầu hết Windows 11 theo mặc định trong năm tới.
3. Tính toàn vẹn của mã được bảo vệ bởi Hypervisor (HVCI)
Tính toàn vẹn của mã được bảo vệ bởi Hypervisor là một tính năng của VBS bảo vệ môi trường bộ nhớ hệ thống bị cô lập mà VBS tạo ra. HVCI đảm bảo rằng nhân Windows, hay còn gọi là bộ não của hệ điều hành, không bị xâm phạm.
Vì nhiều cách khai thác dựa vào việc sử dụng chế độ hạt nhân để có quyền truy cập vào hệ thống, HVCI thực hiện một công việc quan trọng trong việc đảm bảo rằng hạt nhân an toàn và không thể được sử dụng để khai thác hệ thống.
Theo thuật ngữ của giáo dân, HVCI đảm bảo bộ não của Windows (hạt nhân) không làm điều gì đó ngu ngốc có thể ảnh hưởng đến bảo mật của hệ thống.
Cửa sổ 10 xuất xưởng với HVCI. Nhưng nó làm giảm hiệu suất của các CPU cũ đi khá nhiều. Đây là một lý do tại sao Microsoft yêu cầu CPU AMD thế hệ thứ 8 trở lên và Zen 2 trở lên, vì họ có phần cứng dành riêng cho HVCI.
Nói tóm lại, Windows 11 sẽ an toàn hơn đáng kể so với Windows 10 theo mặc định thông qua việc sử dụng HVCI và VBS.
5. Khởi động An toàn UEFI
Trước khi chúng ta nói về UEFI Secure Boot, hãy làm rõ một điều:tất cả các công cụ và giao thức bảo mật của Windows không thể làm gì nếu hệ thống của bạn bị xâm phạm trước khi khởi động.
Nói một cách đơn giản, nếu Windows khởi động với mã xấu, thì việc khai thác có thể vượt qua tất cả các biện pháp bảo mật. UEFI Secure Boot đảm bảo điều này không xảy ra bằng cách xác minh rằng máy tính của bạn chỉ khởi động bằng mã từ một nguồn đáng tin cậy. Nguồn này có thể là nhà sản xuất PC, nhà sản xuất chip hoặc Microsoft của bạn.
Tất cả các máy Windows 11 sẽ đi kèm với khởi động an toàn UEFI ngay từ đầu. Điều này sẽ cung cấp cho các máy Windows 11 khả năng bảo mật đáng kể so với các thiết bị Windows 10.
Windows 11 sẽ An toàn hơn Windows 10 Từ mọi góc độ
Microsoft đang đảm bảo rằng hệ điều hành mới của họ được bảo mật ngay từ đầu. Phần cứng tập trung vào bảo mật như TPM 2.0 và các CPU mới hơn sẽ kích hoạt các tính năng như VBS và UEFI Secure Boot để bảo vệ người dùng khỏi bị lợi dụng.
Điều đó nói rằng, hầu hết người dùng Windows vẫn đang sử dụng các máy cũ hơn. Vì vậy, Microsoft phải thuyết phục mọi người mua PC mới. Và điều đó sẽ không dễ dàng.