banner large

Apa itu PC Secured-Core untuk Windows 11?

Comment
X
Share
Laptop Windows 11 perak dengan latar belakang hitam.
Microsoft

PC Rumahan dapat menghadapi ancaman yang sangat berbeda dari mesin bisnis, itulah sebabnya Microsoft dan mitra manufakturnya mengembangkan PC Secured-Core untuk perusahaan. Namun, beberapa fitur keamanannya disertakan di semua versi Windows 11. Mari kita lihat bagaimana PC Secured-Core dibandingkan dengan laptop Anda di rumah.

Dasar Keamanan

Keamanan di Windows 11 dimulai dengan dasar-dasar untuk tetap aman, yang disebut Microsoft sebagai dasar keamanan. Garis dasar ini dapat bervariasi berdasarkan jenis perangkat dan ancaman khusus industri seperti keamanan web atau perlindungan data rahasia.

Istilah “baseline keamanan” secara khusus tentang mesin Windows Pro, namun ada beberapa dasar yang kebanyakan PC modern, termasuk perangkat Windows 11 Home, gunakan untuk tetap aman. Salah satu contohnya adalah Trusted Platform Module Version 2.0 (TPM 2.0), yang mulai dibutuhkan Microsoft untuk mesin Windows 11. TPM adalah fitur keamanan tingkat perangkat keras yang menyimpan kunci enkripsi dengan cara yang aman untuk mengautentikasi perangkat keras dan perangkat lunak, mengaktifkan enkripsi BitLocker jika tersedia, serta melindungi identitas biometrik dan data lainnya.

Fitur dasar utama berikutnya adalah Boot Aman, yang hanya mengizinkan sistem operasi yang ditandatangani (dikenal) untuk berjalan. Ini membantu mencegah rootkit dan malware jahat lainnya yang dapat menginfeksi sistem. Windows Hello dengan otentikasi identitas biometrik juga dianggap sebagai dasar yang penting.

Terakhir, ada enkripsi drive BitLocker, yang menjaga data Anda tetap aman saat tidak digunakan. BitLocker tidak tersedia untuk PC Windows 11 Home, tetapi beberapa mendukung versi yang lebih ringan yang disebut Windows Device Encryption.

Jadi Apa Itu PC Secured-Core?

Microsoft dan mitranya membidik PC Secured-Core untuk orang-orang yang membutuhkan tingkat keamanan yang lebih tinggi karena industri atau profesi mereka. Pemerintah mungkin menginginkan PC Secured-Core untuk menangani informasi yang sangat istimewa, misalnya, seperti halnya bank , atau bisnis dengan kekayaan intelektual yang sangat dicari, atau insinyur yang mengerjakan infrastruktur penting. Orang-orang ini dapat menghadapi ancaman tingkat lanjut termasuk serangan bertarget dan fisik terhadap mesin mereka untuk mencuri data penting atau data otentikasi. Secured-Core berfokus pada berbagai potensi serangan firmware, yang (bila berhasil) dapat tetap berada di mesin bahkan setelah menghapus sistem operasi atau mengganti komponen.

Laptop perak menjalankan Windows 11 di atas meja kayu.
Microsoft

Jadi, apa tingkat keamanan ekstra yang Anda dapatkan dengan Secured Core? Salah satu contohnya adalah Perlindungan Akses Memori. Ini melindungi terhadap serangan Direct Memory Access (DMA) ketika perangkat jahat terhubung ke PC melalui Thunderbolt, PCIe, atau antarmuka berkecepatan tinggi lainnya untuk mendapatkan akses langsung ke memori.

Dari sana ia dapat menjalankan malware, mencoba mendapatkan kunci enkripsi, atau menguasai sistem. Microsoft menunjukkan contoh bagaimana hal ini dapat dilakukan dan bagaimana Perlindungan Akses Memori mengurangi serangan ini selama Microsoft Ignite pada tahun 2020. Agar serangan DMA berfungsi, biasanya penyerang harus memulai dengan akses fisik ke perangkat yang rentan. Jelas, kebanyakan dari kita tidak perlu khawatir tentang mata-mata perusahaan yang menyelinap ke kamar hotel untuk mencuri laptop kita. Perusahaan dan pemerintah, bagaimanapun, melakukannya.

Fitur lain dari Secured Core PCs adalah keamanan berbasis virtualisasi (VBS), dan Hypervisor Code Integrity yang menjadi daya tarik utamanya adalah Memory Integrity, fitur keamanan opsional di Windows 11 Home. Pada PC Secured-Core ini diaktifkan secara default, dan PC dan laptop pra-bangun yang lebih baru dengan Windows 11 Home mungkin juga mengaktifkannya. Namun, sistem lama yang ditingkatkan ke Windows 11 biasanya tidak.

Untuk mencegah kompromi berbahaya dari sistem Anda, Integritas Memori menjalankan proses utama di dalam lingkungan virtual untuk mengisolasi mereka dari sistem dan mengurangi kemungkinan serangan berbahaya. Namun, untuk melakukan ini, ia menggunakan kemampuan virtualisasi PC.

Ini berarti Anda mungkin mengalami masalah jika Anda menjalankan mesin virtual melalui program seperti VirtualBox, atau jika Anda mencoba untuk meng-overclock sistem Anda dengan sesuatu seperti Ryzen Master. Lebih sering daripada tidak, Integritas Memori tidak akan bermain bagus dengan program-program ini. Jika Anda mengalami masalah, Anda harus mem-boot ke mode aman untuk mematikan Integritas Memori, atau bahkan berlomba untuk membuka Keamanan Windows dan mematikan fitur sebelum Blue Screen of Death terciprat ke monitor Anda.

Integritas memori juga tidak akan berjalan jika Anda memiliki perangkat keras lama dengan driver usang. Kabar baiknya adalah jika Anda memiliki masalah driver, Windows akan memperingatkan Anda tentang masalah tersebut dan tidak akan mengizinkan Anda untuk mengaktifkan Memory Integrity sampai masalah teratasi.

Jika, setelah semua peringatan itu, Anda ingin mencoba menyalakan Integritas Memori pada PC Windows 11 Home yang ditingkatkan, lalu buka aplikasi Keamanan Windows dengan mengklik Mulai > Semua Aplikasi > Keamanan Windows.

"Keamanan Windows" dalam daftar aplikasi di Windows 11

Di rel sebelah kiri pilih Keamanan Perangkat, lalu pada halaman yang muncul di bawah Isolasi Inti pilih tautan “Rincian Isolasi Inti.”

Aplikasi Keamanan Windows menampilkan opsi menu Keamanan Perangkat dan opsi Isolasi Inti

Terakhir, di bawah Integritas Memori, geser penggeser dari Mati ke Hidup.

Windows 11 kemudian akan meminta Anda untuk me-reboot mesin Anda. Setelah itu, semoga takdir menyertai Anda.

Dua fitur utama tambahan dari Secured Core adalah System Guard dan Dynamic Root of Trust Measurement (DRTM). Kedua fitur ini bekerja sama untuk memastikan sistem tetap aman selama boot dan saat berjalan.

System Guard difokuskan untuk melindungi integritas sistem komputer selama start-up dan kemudian memastikan bahwa sistem dalam keadaan baik melalui metode verifikasi jarak jauh dan lokal. Ini termasuk kemampuan departemen TI untuk menganalisis dari jarak jauh hasil proses boot sistem menggunakan data yang disimpan dan dilindungi pada perangkat oleh TPM 2.0.

DRTM adalah bagian dari Penjaga Sistem. Ini memungkinkan sistem untuk memulai dalam keadaan tidak tepercaya (dari sudut pandang Windows) untuk mengatasi keharusan memverifikasi dan memasukkan daftar putih setiap kemungkinan varian BIOS motherboard di bawah matahari. Kemudian segera setelah proses boot dimulai, DRTM memastikan bahwa semua CPU sistem melalui jalur yang dikenal dan tepercaya untuk mengaktifkan dan menjalankan sistem.

Untuk membaca lebih lanjut detail teknis tentang System Guard dan DRTM, lihat dokumentasi online Microsoft.

Turun ke Bare Metal

Pada dasarnya, PC Secured-Core adalah tentang memerangi ancaman tingkat lanjut yang mencoba menyelinap masuk malware sebelum sistem operasi dimuat. Fitur penting untuk PC yang memiliki data penting terkait, katakanlah, keamanan energi atau kekayaan intelektual yang sangat berharga.

Beberapa fitur ini, atau yang serupa, tersedia untuk PC Windows Home, dan jika Anda membeli PC baru, banyak di antaranya akan diaktifkan secara default. Jika Anda telah membangun sistem Anda atau memutakhirkan dari Windows 10, mereka sering kali tidak diaktifkan, tetapi Anda dapat mengaktifkannya. Boot Aman adalah hal yang mudah, tetapi Integritas Memori harus diperlakukan dengan hati-hati, terutama pada mesin yang lebih tua.

Anda dapat melihat daftar PC Secured-Core yang tersedia di situs web Microsoft.

Leave a Reply

Your email address will not be published.