가정용 PC는 업무용 컴퓨터와 매우 다른 위협에 직면할 수 있으므로 Microsoft와 해당 제조 파트너가 기업용 Secured-Core PC를 개발했습니다. 그러나 일부 보안 기능은 모든 버전의 Windows 11에 포함되어 있습니다. Secured-Core PC를 집에 있는 랩톱과 비교하여 살펴보겠습니다.
보안 기준
Windows 11의 보안은 Microsoft에서 보안 기준이라고 부르는 보안을 유지하기 위한 기본 사항에서 시작됩니다. 이러한 기준은 장치 유형 및 웹 보안 또는 기밀 데이터 보호와 같은 산업별 위협에 따라 달라질 수 있습니다.
“보안 기준”이라는 용어는 특히 Windows Pro 컴퓨터에 관한 것이지만 Windows 11 Home 장치를 비롯한 대부분의 최신 PC에서 보안을 유지하기 위해 사용하는 몇 가지 기본 사항이 있습니다. 한 가지 예는 Microsoft가 Windows 11 시스템에 요구하기 시작한 TPM 2.0(Trusted Platform Module Version 2.0)입니다. TPM은 하드웨어 및 소프트웨어 인증을 위한 안전한 방식으로 암호화 키를 저장하는 하드웨어 수준 보안 기능으로, 사용 가능한 경우 BitLocker 암호화를 활성화하고 생체 인식 ID 및 기타 데이터를 보호합니다.
다음 주요 기본 기능은 서명된(알려진) 운영 체제만 실행할 수 있는 보안 부팅입니다. 이는 시스템을 감염시킬 수 있는 루트킷 및 기타 악성 코드를 방지하는 데 도움이 됩니다. 생체 인식 ID 인증을 사용하는 Windows Hello도 필수 기준으로 간주됩니다.
마지막으로 BitLocker 드라이브 암호화가 있어 사용하지 않을 때 데이터를 안전하게 보호합니다. BitLocker는 Windows 11 Home PC에서 사용할 수 없지만 일부는 Windows 장치 암호화라는 더 가벼운 버전을 지원합니다.
보안 코어 PC란 무엇입니까?
Microsoft와 그 파트너는 자신이 속한 산업이나 직업 때문에 더 높은 수준의 보안이 필요한 사람들을 위해 Secured-Core PC를 목표로 합니다. 정부는 예를 들어 은행과 같이 매우 중요한 정보를 처리하기 위해 Secured-Core PC를 원할 수 있습니다. , 또는 수요가 많은 지적 재산을 보유한 기업 또는 핵심 인프라에서 작업하는 엔지니어. 이러한 사람들은 중요한 데이터나 인증 데이터를 훔치기 위해 컴퓨터에 대한 표적 공격 및 물리적 공격을 비롯한 지능형 위협에 직면할 수 있습니다. Secured-Core는 운영 체제를 지우거나 구성 요소를 교체한 후에도 시스템에 남아 있을 수 있는 광범위한 잠재적인 펌웨어 공격에 초점을 맞춥니다.
그렇다면 Secured Core로 얻을 수 있는 추가 보안 수준은 무엇입니까? 한 가지 예는 메모리 액세스 보호입니다. 이는 악성 장치가 Thunderbolt, PCIe 또는 기타 고속 인터페이스를 통해 PC에 연결하여 메모리에 직접 액세스할 때 DMA(직접 메모리 액세스) 공격으로부터 보호합니다.
거기에서 맬웨어를 실행하거나 암호화 키를 얻으려고 시도하거나 시스템을 제어할 수 있습니다. Microsoft는 2020년에 Microsoft Ignite 중에 메모리 액세스 보호가 이러한 공격을 어떻게 완화하고 어떻게 수행할 수 있는지에 대한 예를 보여주었습니다. DMA 공격이 작동하려면 일반적으로 공격자가 취약한 장치에 대한 물리적 액세스부터 시작해야 합니다. 분명히, 우리 대부분은 노트북을 해킹하기 위해 호텔 방에 몰래 들어오는 기업 스파이에 대해 걱정할 필요가 없습니다. 그러나 기업과 정부는 그렇게 합니다.
Secured Core PC의 또 다른 기능은 가상화 기반 보안(VBS)이며, Hypervisor Code Integrity의 주요 매력은 Windows 11 Home의 선택적 보안 기능인 Memory Integrity입니다. Secured-Core PC에서는 기본적으로 활성화되어 있으며 Windows 11 Home이 설치된 최신 사전 제작 PC 및 랩톱에서도 활성화될 수 있습니다. 그러나 Windows 11로 업그레이드한 이전 시스템은 일반적으로 그렇지 않습니다.
시스템의 악의적인 손상을 방지하기 위해 메모리 무결성은 가상 환경 내에서 주요 프로세스를 실행하여 시스템에서 분리하고 악의적인 공격의 가능성을 줄입니다. 그러나 이를 위해 PC의 가상화 기능을 사용합니다.
즉, VirtualBox와 같은 프로그램을 통해 가상 머신을 실행하거나 Ryzen Master와 같은 것으로 시스템을 오버클럭하려는 경우 문제가 발생할 수 있습니다. 대부분의 경우 메모리 무결성은 이러한 프로그램에서 제대로 작동하지 않습니다. 문제가 발생하면 안전 모드로 부팅하여 메모리 무결성을 끄거나, 죽음의 블루 스크린이 모니터에 튀기 전에 Windows 보안을 열고 기능을 끄기 위해 경쟁해야 합니다.
오래된 드라이버가 있는 오래된 하드웨어가 있는 경우에도 메모리 무결성이 실행되지 않습니다. 좋은 소식은 드라이버 문제가 있는 경우 Windows에서 문제를 경고하고 문제가 해결될 때까지 메모리 무결성을 활성화할 수 없다는 것입니다.
이러한 모든 주의 사항 후에 업그레이드된 Windows 11 Home PC에서 메모리 무결성을 켜고 싶다면 시작 > 모든 앱 > Windows 보안을 클릭하여 Windows 보안 앱을 여십시오.
왼쪽 레일에서 Device Security를 선택한 다음 Core Isolation 아래에 표시되는 페이지에서 “Core Isolation Details” 링크를 선택합니다.
마지막으로 메모리 무결성에서 슬라이더를 끄기에서 켜기로 전환합니다.
그러면 Windows 11에서 컴퓨터를 재부팅하라는 메시지가 표시됩니다. 그 후, 운명이 당신과 함께 할 수 있습니다.
Secured Core의 두 가지 추가 주요 기능은 System Guard와 DRTM(Dynamic Root of Trust Measurement)입니다. 이 두 가지 기능은 함께 작동하여 부팅 및 실행 중에 시스템이 안전하게 유지되도록 합니다.
System Guard는 시작하는 동안 컴퓨터 시스템의 무결성을 보호하는 데 중점을 두고 원격 및 로컬 검증 방법을 통해 시스템이 양호한 상태인지 확인합니다. 여기에는 IT 부서가 TPM 2.0에 의해 장치에 저장 및 보호되는 데이터를 사용하여 시스템 부팅 프로세스의 결과를 원격으로 분석할 수 있는 기능이 포함됩니다.
DRTM은 System Guard의 일부입니다. 이를 통해 시스템이 신뢰할 수 없는 상태(Windows의 관점에서)에서 시작되어 태양 아래에서 마더보드 BIOS의 모든 가능한 변형을 확인하고 허용 목록에 추가해야 하는 문제를 극복할 수 있습니다. 그런 다음 부팅 프로세스가 시작된 직후 DRTM은 모든 시스템 CPU가 알려진 신뢰할 수 있는 경로를 통해 시스템을 시작하고 실행하도록 합니다.
System Guard 및 DRTM에 대한 자세한 기술 정보는 Microsoft의 온라인 설명서를 참조하십시오.
베어메탈로 내려가기
기본적으로 Secured-Core PC는 운영 체제가 로드되기 전에 맬웨어에 잠입하려는 지능형 위협에 맞서 싸우는 것입니다. 에너지 보안 또는 매우 귀중한 지적 재산과 관련된 중요한 데이터가 있는 PC의 중요한 기능입니다.
이러한 기능 중 일부 또는 유사한 기능은 Windows Home PC에서 사용할 수 있으며, 새 PC를 구입하면 대부분이 기본적으로 활성화됩니다. 시스템을 구축했거나 Windows 10에서 업그레이드한 경우 활성화되지 않는 경우가 많지만 켤 수는 있습니다. 보안 부팅은 간단하지만 메모리 무결성은 특히 구형 시스템에서 주의해서 다루어야 합니다.
Microsoft 웹 사이트에서 사용 가능한 Secured-Core PC 목록을 볼 수 있습니다.
2022년 최고의 노트북 
델 XPS 13
에이서 스위프트 3
ASUS ROG 제피루스 G15
HP 엔비 13
HP 스펙터 x360 13
Apple MacBook Pro(14형, M1 Pro)(2021)
ThinkPad X1 카본 9세대
레노버 크롬북 듀엣
서피스 노트북 4
애플 맥북 프로 14인치
아마존
$1999.00 
에이서 크롬북 스핀 713
