Aracılığıyla paylaş

Durum ayrımı ve yalıtımı

  • Makale
  • Şunlara uygulanır:
    HoloLens 2

Durum ayırma ve yalıtım, işletim sisteminin güvenilen bir duruma önyüklemesi için gerekenler gibi HoloLens 2 işletim sisteminin kritik kısımlarını değişiklikten korur. Yalıtım teknolojisiyle güvenilmeyen uygulamalar, sistem güvenliğini etkilememeleri için yalıtılmış bir korumalı alan ortamına taşınır.

Durum ayrımı

HoloLens 2 durum ayrımı, güvenlik ve hizmet verilebilirliği (güncelleştirme) büyük ölçüde artırır ve uygulama verilerinizin korunmasına yardımcı olur. Durum ayrımı aşağıdaki gibi çalışır:

  • Çekirdek işletim sistemi, çekirdek işletim sistemi biriminde depolanır (işletim sistemini güncelleştiren güvenilir veya doğrulanmış Microsoft işletim sistemi).
  • İşletim sisteminin çalışma zamanında değiştirilebilen bölümleri (indirilebilir sürücüler ve yapılandırmalar gibi), verileri bölümlendirmek ve güvenli, ayrı depolama konumlarında depolamak için daha fazla durum ayrımı kullanır.
  • Her güvenli depolama konumunun kendisiyle ilişkilendirilmiş farklı güvenlik ilkeleri vardır ve aşağıdaki bölümde açıklandığı gibi çeşitli güvenlik avantajları sunar.

Durum ayrımı avantajları

  • Güvenlik: HoloLens 2'de öne çıkan durum ayrımı platform bütünlüğünü, kötü amaçlı yazılım dayanıklılığını ve kullanıcı veri korumasını önemli ölçüde artırır. İşletim sisteminin değişmez bölümünü ayırarak ve salt okunur veya bütünlük korumalı hale getirerek, durum ayrımı kötü amaçlı yazılımların soğuk yeniden başlatmada kalıcı olmasını zorlaştırır.
  • Güncelleştirmeler: HoloLens 2 ile, temel işletim sistemi değiştirilemez hale geldikten ve cihazdaki diğer verilerden temiz bir şekilde ayrıldıktan sonra, güncelleştirmeler basit ve güvenilir hale gelir. Buna ek olarak, durum ayrımı, işletim sisteminin tek adımda (atomik ünite) değiştirilmesine izin veren önemli ölçüde daha hızlı güncelleştirmeler için önemli bir temel oluşturur.
  • Cihaz sıfırlama: HoloLens 2 sıfırlama, iç ve dış depolama konumları dahil olmak üzere cihazda kullanıcı tarafından oluşturulan verileri ve kullanıcı uygulaması verilerini temizler. Geçerli işletim sistemi uygulamalarını ve güvenlik açısından kritik uygulamaları ve geçerli Microsoft ve OEM özelleştirilmiş uygulamalarını (Önceden Yüklenmiş) korur. Bu Önceden Yüklenmiş uygulamalar, sıfırlama tamamlandıktan sonra cihazda yeniden doldurulabilir

Durum ayırma durumları

Durum ayrımı, işletim sisteminin yalnızca Microsoft güvenilen cihaz bileşenleri tarafından değiştirilebilmesini ve yeniden başlatmalar arasında yalnızca yüksek değerli durumun kalıcı olmasını sağlar; diğer sistem durumu yalnızca önyükleme oturumu sırasında bulunur ve yeniden başlatma sonrasında atılır. Durum ayrımının hızlı bir şekilde olması, cihazı fabrika durumuna geri döndürür. Windows Holographic for Business durumları şu ayrı kategorilere ayrılabilir:

  • Çekirdek işletim sistemi – Değişmez durum
  • İşletim Sistemi Verileri – Değiştirilebilir durum
  • Kullanıcı Verileri – Değiştirilebilir durum

Bu HoloLens 2 işletim durumlarının her biri aşağıdaki bölümde açıklanmıştır.

Çekirdek işletim sistemi

Sabit bir durum, değiştirilemez ve yalnızca güncelleştirmelerin yüklenmesi sırasında Microsoft tarafından değiştirilebilen yürütülebilir dosyaları ve verileri içerir. Çekirdek işletim sisteminin böyle bir güncelleştirmesi sırasında, istenen en son işletim durumunu içeren yeni bir görüntü etkinleştirilir. Değişmeyen durum salt okunur olarak işaretlenir (veya başka bir şekilde bütünlük korumalıdır), yükseltilmiş ayrıcalıklara sahip kötü amaçlı yazılımların kalıcılığını önler. Aşağıdaki yürütülebilir dosyalar ve veriler sabit durumda korunur:

  • Windows Holographic gelen kutusu sürücüleri
  • İşletim sistemi ikili dosyaları
  • Windows gelen kutusu sürücüleri
  • Windows kayıt defteri kovanında (HKLM) depolanan statik Windows Holografik ayarları
    • Örnek: HKLM, bir makinede yüklü uygulamaların yapılandırma bilgilerini depolar. Ayrıca donanımı ve ilgili sürücüleri algılamaya yönelik bilgileri de depolar. Bunları sabit (bütünlük ve salt okunur korumalı) durumda koruyarak, çekirdek işletim sisteminin her zaman güvenilir bir durumda önyüklemesini sağlarız. Buna ek olarak, bir cihaz sıfırlandığında, cihazın yalnızca bu sabit bölümde yer alan bileşenlerde önkurulmasını sağlayabiliriz.

İşletim sistemi verileri

Çalışma zamanında değiştirilebilir olan (ve işletim sistemi işlevi için kritik olmayan) yürütülebilir dosyaların ve verilerin bozulduğunda veya tehlikeye atıldığında yeniden oluşturulabileceğini unutmayın. Yüksek değerli değiştirilebilir durum, işletim sistemi tarafından kalıcı hale getirmek için işlevsel olarak gereklidir veya işletim sisteminin kapatılması ve/veya desteklenen Windows işletim sistemi ve cihaz senaryoları tarafından yeniden başlatmalar arasında kalıcı olması beklenir. Yüksek değerli değiştirilebilir duruma örnek olarak şunlar verilebilir:

  • BT Yönetici tüm kullanıcılar için konumu devre dışı bırakma gibi genel cihaz ayarlarını yapılandırdı.
  • Wi-Fi ağ bağlantısı erişimi veri-cihaz tarafından anımsanan ağlar ve ilişkili bağlantı parolaları.
  • Ayarlar, günlükler dahil kilitlenme bilgi dökümleri.
  • Yeni bulunan cihazlar için isteğe bağlı olarak indirilen sürücüler. HoloLens 2'da yüksek değerli bir değiştirilebilir durum, diskte kaydedilmiş bir dosya olarak veya kalıcı bir kayıt defteri kovanında bulunan işletim sistemi Veri güvenliği konumunda bulunur.

Kullanıcı verileri

Son durum kategorisi, UWP uygulamaları veya işletim sistemi tarafından üretilen veya kalıcı hale gelen kullanıcı verilerini temsil eder. İndirmeler, Belgeler, Videolar, kullanıcı profilleri ve HKEY_CURRENT_USER hive gibi bilinen tüm kullanıcı klasörleri de bu konumda depolanır. Bu veriler doğru kimlik bilgileri olmadan ayıklanamaz; Verilerinizin nasıl korunduğu hakkında daha fazla bilgi edinmek için bkz . Şifreleme ve Veri Koruması.

Yalıtım

Bu dengeyi elde etmek için HoloLens 2 önyükleme, donanım denetimi, oturum açma gibi birincil işlevler için kullanılan temel bir işletim sistemine sahiptir. Çekirdek işletim sisteminde çalışan yalnızca iki uygulama kümesi vardır: önceden yüklenmiş uygulamalar ve UWP uygulamaları.

Kod imzalama

Dijital olarak imzalanan kod, yürütülebilir dosyalar ve betiklerin güvenilir bir kaynak tarafından imzalandıktan sonra değiştirilmediğinin doğrulanmasına olanak tanır, bu nedenle kimlik doğrulaması ve bütünlük sağlar. Varsayılan olarak güvenen HoloLens 2 yetkililer Microsoft ve Microsoft Store'dır. BT yöneticileri ClientCertificateInstall ve RootCATrustedCertificates CSP'leri aracılığıyla cihaza yeni sertifikalar ekleyebilir. Diğer dışarıdan yüklenen veya İş kolu uygulamalarınagüvenmek için AllowAllTrustedApps ilkesini de kullanabilirler. Sertifikalar, "Cihaz" kullanılıyorsa HKLM/Root içinde veya "Kullanıcı" kullanılıyorsa HKCU'da depolanan yerel makine sertifika deposunda bulunur.

Defender korumaları

HoloLens 2, kullanıcılara gelişmiş bir güvenlik düzeyi sağlamak için Microsoft hizmetlerini kullanır:

  • Defender SmartScreen işletim sistemi tarafından Windows Holographic'te otomatik olarak etkinleştirilir ve edge'de kimlik avına ve kötü amaçlı yazılımlara karşı korumanın yanı sıra kötü amaçlı olabilecek dosyaların indirilmesine karşı da koruma sağlar. Kullanıcı tarafından kapatılamaz, ancak ilke aracılığıyla devre dışı bırakılabilir.

  • Defender Güvenlik Duvarı yetkisiz ağ trafiğinin cihazınıza ve cihazınızdan akmasını engeller. Varsayılan olarak etkindir ve müşteri tarafından yerel eylemler veya ilkeler aracılığıyla yapılandırılamaz.

  • Windows Defender Uygulama Denetimi: HoloLens 2, BT yöneticisinin cihaza uygulama denetimi ilkeleri göndermesini sağlayan WDAC'yi destekler. Daha fazla bilgi için bkz. MSFT Intune ile HoloLens 2 cihazlarda WDAC kullanma.

BT yöneticileri, Bu ilkeler aracılığıyla AllowSmartScreen ve tarayıcı davranışı aracılığıyla SmartScreen davranışını yönetebilir.