С приближением окончания поддержки операционной системы Windows 10 компания Microsoft прилагает всё больше усилий, чтобы побудить пользователей перейти на Windows 11 — даже если для этого придётся отказаться от текущего ПК и приобрести новый, способный работать с новой ОС.

Источник изображения: Microsoft

В рамках последней попытки побудить пользователей перейти с устаревающей ОС на новую компания описала преимущества системы Trusted Platform Module (TPM) и того, как она делает Windows 11 лучше и безопаснее предшественника. Microsoft выделила четыре фактора, которые делают TPM такой полезной:

• TPM защищает ваши данные. Она может шифровать информацию, затрудняя хакерам доступ к конфиденциальным данным. Это особенно важно для защиты личных сведений, финансовой информации и чувствительных файлов.
• Она гарантирует надёжность программного обеспечения. TPM проверяет целостность программного обеспечения и прошивки системы. Эта функция, называемая безопасной загрузкой, помогает предотвратить запуск вредоносных программ при старте устройства.
• Защита от физического вмешательства. Если кто-то попытается физически вмешаться в оборудование, TPM сможет обнаружить изменения и заблокировать загрузку системы, тем самым защитив устройство от аппаратных атак.
• TPM поддерживает расширенные функции безопасности. Многие из наиболее эффективных средств защиты Windows 11 работают благодаря TPM. Эти инструменты помогают сохранить данные в безопасности даже в случае утери или кражи устройства.

Хотя TPM и Windows 11 действительно обеспечивают более высокий уровень безопасности, важно понимать, что Microsoft сделала поддержку TPM 2.0 обязательным системным требованием для установки Windows 11. Именно поэтому многие старые ПК с Windows 10 не подлежат обновлению.

Ранее Microsoft публиковала руководство, следуя которому можно было установить Windows 11 на компьютеры, не соответствующие минимальным системным требованиям. Для этого требовалось внести изменения в реестр, что позволяло обойти ограничения, касающиеся современных процессоров и модуля TPM 2.0. Однако компания настоятельно не рекомендовала использовать этот способ, поскольку он мог привести к «серьёзным проблемам» при ошибках со стороны пользователя. Спустя некоторое время Microsoft удалила это руководство.

Напомним, что после прекращения официальной поддержки Windows 10 в октябре этого года у пользователей некоторое время сохранится возможность получать обновления безопасности для этой ОС. Однако данная возможность будет платной.

Поддержка Windows 10 прекратится в октябре 2025 года, но далеко не все компьютеры получится обновить до Windows 11 штатными средствами, и Microsoft посоветовала их владельцам не питать иллюзий — системное требование о наличии Trusted Platform Module (TPM) 2.0 для актуальной системы «обсуждению не подлежит».

Источник изображения: microsoft.com

Компания опубликовала в блоге материал под названием «TPM 2.0 — необходимость для безопасной и перспективной Windows 11», в котором ясно дала понять, что не снизит строгие требования для новой системы, даже чтобы побудить людей обновиться с Windows 10. Наличие этого модуля среди системных требований новой платформы оказалось неожиданным, когда её анонсировали в 2021 году, и сегодня практически все современные ПК поставляются с TPM. Это чип или программный модуль, который участвует в шифровании данных, подтверждает цифровые подписи и применяется в других связанных с криптографией операциях.

«TPM 2.0 играет решающую роль в улучшении защиты личности и данных на устройствах под управлением Windows, а также в поддержании целостности вашей системы. TPM 2.0 также обеспечивает Windows 11 готовность к будущему. Один из способов добиться этого — помочь защитить важную информацию, когда функции ИИ проникают в физическую, облачную и серверную архитектуру», — пишет старший менеджер по продуктам в Microsoft Стивен Хоскинг (Steven Hosking). TPM активно используется функциями безопасности в Windows 11: Credential Guard, Windows Hello for Business, шифрование BitLocker и защита загрузки Secure Boot.

Microsoft рассматривает TPM 2.0 как «не подлежащий обсуждению стандарт для будущего Windows», поэтому системные требования к оборудованию пересматриваться не будут. Компьютеры под Windows 11 также должны поддерживать функции безопасности, основанные на виртуализации и проверки целостности кода с защитой гипервизором (HVCI), а значит, система может работать только на процессорах, выпущенных после 2018 года.

Несмотря на ограничения Microsoft, в течение многих лет энтузиасты находили обходные пути, позволяющих запускать Windows 11 на неподдерживаемом оборудовании. Изначально Microsoft не применяла проверку аппаратного соответствия для виртуализированных версий Windows 11, но в последние годы компания плотнее занялась вопросом обхода ограничений. Улучшенные проверки совместимости в Windows 11 24H2 заставили такие инструменты, как Flyby11, использовать для установки Windows 11 подход, применяемый при установке Windows Server. Корпоративные клиенты могут воспользоваться официальной Windows 11 LTSC 2024, которая работает без TPM, но требования в отношении процессоров остаются актуальными.

Также Microsoft начнёт донимать пользователей, сумевших установить Windows 11 на несовместимый компьютер, предупреждениями. В свежем документе службы поддержки Microsoft говорится следующее: «Когда Windows 11 устанавливается на устройство, не соответствующее минимальным системным требованиям, на рабочий стол Windows 11 добавляется водяной знак. В «Настройках» также может появиться уведомление о том, что требования не соблюдены».

Если водяные знаки вас не пугают, Microsoft дополнительно отговаривает пользователей от установки обновленной ОС на неподдерживаемое оборудование, добавляя отказ от ответственности. Отказ от ответственности гласит, что любые повреждения ПК «из-за отсутствия совместимости не покрываются гарантией производителя».

Недавно стало известно об уязвимости BitLocker — гипотетический злоумышленник может перехватывать ключи шифрования при помощи недорогого одноплатного компьютера Raspberry Pi Pico ценой меньше $5. В качестве примера использовался десятилетний ноутбук, и это дало повод предположить, что современные модели уязвимости не подвержены. Как выяснилось, даже современные лэптопы 2023 года под управлением Windows 11 всё ещё могут взламываться схожим образом.

Источник изображения: lenovo.com

Процесс получения ключа шифрования за минувшие десять лет немного усложнился, но принципиальный способ остался прежним — это перехват данных, которые транслируются по незашифрованным каналам от процессора к дискретному чипу TPM (Trusted Platform Module). Исследователь вопросов безопасности Стью Кеннеди (Stu Kennedy) создал на GitHub страницу, где перечислены модели ноутбуков с подтверждённой уязвимостью из-за выделенного чипа TPM, включая Lenovo X1 Carbon, Dell Latitude E5470 и Microsoft Surface Pro 3 с чипами TPM 2.0. Для осуществления атаки используются шины SPI, I2C или LPC.

Следует отметить, что этот метод атаки срабатывает только при наличии у злоумышленника физического доступа к компьютеру — удалённо перехватить ключ шифрования не получится. Чтобы защититься, можно выбрать и дополнительные меры, например использовать пароль при запуске или воспользоваться USB-ключом. Ключ шифрования BitLocker сохраняется на чипе TPM по умолчанию — в настройках системы предпочитаемый метод можно изменить. Кроме того, многие современные чипы Intel и AMD располагают встроенным TPM, а значит, перехватить его данные при обмене с процессором уже не получится.

BitLocker — одно из наиболее доступных и популярных сегодня решений в области шифрования данных. Это встроенная функция Windows 10 Pro и 11 Pro, но её слабым местом является выделенный чип TPM (Trusted Platform Module) на материнской плате, данные которого можно быстро перехватить при помощи одноплатного компьютера Raspberry Pi Pico с ценником менее $5.

Источник изображения: youtube.com/@stacksmashing

На некоторых системах процессор обменивается ключом шифрования диска с чипом TPM по шине LPC, и этот ключ передаётся без шифрования, что позволяет злоумышленнику перехватывать критически важные данные между двумя компонентами. Гипотезу решили подтвердить при помощи ноутбука Lenovo десятилетней давности — нечто подобное можно было бы реализовать и на некоторых более современных машинах, но для перехвата трафика шины LPC, возможно, потребовалось бы больше усилий.

В данном случае информация с шины LPC оказалась доступной через свободный разъем. Автор опыта построил недорогое устройство на базе Raspberry Pi Pico, которое смогло подключаться к этому разъёму, соприкасаясь с ним контактами. Недорогой одноплатный компьютер запрограммировали на считывание последовательности единиц и нулей с частотой 25 МГц, то есть каждые 40 нс.

Результат оправдал ожидания: Raspberry Pi Pico успешно считал у TPM ключ шифрования диска. Накопитель с зашифрованным системным диском Windows подключили к машине под Linux, ввели полученный ключ шифрования и открыли доступ ко всем файлам и папкам на диске. Автор проекта засёк время на секундомере и повторил свой опыт — он вскрыл компьютер и считал ключ менее чем за 43 с.

Следует отметить, что этот способ взлома работает только на материнских платах с выделенным чипом TPM. Функции этого чипа встраиваются в современные процессоры Intel и AMD и реализуются программно через fTPM (Firmware TPM) — в этом случае взлом с помощью Raspberry Pi Pico не сработает.