本帖最后由 驭龙 于 2025-1-6 19:54 编辑
本帖,大家可以一起讨论安全软件与硬件安全技术的应用与实际使用,我也是个普通用户,所以本帖讨论没有对错,只是来分析和讨论硬件安全技术对计算机安全的影响和使用,大家的讨论结果,我会更新在本帖一楼,欢迎各位饭友和大佬来一起讨论。
因为这是在讨论各大安全厂商支持TDT技术的帖子,所以发在国外区并不违规
省流的先说一下什么设备支持vpro平台完整技术,由于vpro平台是为企业用户打造的安全防线,因此消费级主板也就是芯片组是不支持vpro平台完整技术的,目前支持完整vpro技术的电脑都是品牌机中的商用电脑才支持,但也不是全部商用电脑都支持vpro,简单一句话如果你的设备机身上贴有vpro平台认证徽标,就是支持完整vpro技术的电脑,没有就是不完整支持。
设备如果通过vpro平台认证,机体上会贴有如下三个vpro徽标中的一个。
==================================================================
2025年1月6日,Intel发文介绍了vPRO的最新进展和技术介绍,其中vPRO平台已经映射到ATT&CK Versions: 15.1的一百五十多条硬件级缓解。
官方原话:
Security Operations (SecOps) teams deploy powerful agents across endpoint PC fleets to inspect every process for signs of malware. Security software vendors have mapped their capabilities to the MITRE ATT&CK framework to show where they provide solutions. Managed Security Providers help enterprises triage daily alerts in XDR, SIEM, and co-pilot security tools. Pretty sophisticated, but the applicability of hardware security, in the PCs you already own, to real-world attacks has remained a mystery… until now.
In the first part of this blog series, we will discuss the impact of a new MITRE Center for Informed Defense (CTID) industry project: PC Security Stack Mappings - Hardware Enabled Defense. This project mapped Intel vPro® security features to 150 cumulative and unique threat tactics, (sub)-techniques and procedures (TTPs) where PC hardware delivers out-of-the-box protections with optimized security software (Figure 1) 1. The results prove that the choice of PC hardware has a significant impact on the ability of security software and OS features to help protect corporate assets against advanced cyber adversaries. Let’s look at how this comes together:
机器翻译:
安全运营 (SecOps) 团队在端点 PC 队列中部署强大的端点,以检查每个流程中是否存在恶意软件迹象。安全软件供应商已将其功能映射到 MITRE ATT&CK 框架,以展示他们提供解决方案的位置。托管安全提供商可帮助企业对 XDR、SIEM 和 copilot 安全工具中的每日警报进行分类。相当复杂,但硬件安全在您已经拥有的 PC 中对现实世界攻击的适用性仍然是一个谜......直到现在。
在本博客系列的第一部分中,我们将讨论新的 MITRE 知情防御中心 (CTID) 行业项目的影响:PC 安全堆栈映射 - 硬件启用的防御。该项目将英特尔博锐®安全功能映射到 150 种累积和独特的威胁策略、(子)技术和程序 (TTP),其中 PC 硬件通过优化的安全软件提供开箱即用的保护(图 1) 1。结果证明,PC 硬件的选择对安全软件和操作系统功能的能力有重大影响,以帮助保护公司资产免受高级网络对手的攻击。让我们看看这些是如何组合在一起的:
这里我们就不说太多关于一百五十多条硬件级攻击缓解的细节了,因为大多数用户的设备都不是vPRO平台,所以后续只是说说TDT部分吧,当然,还是要先看一下MITRE的介绍:
MITRE ATT&CK® is a free, open global knowledge base of adversarial tactics and techniques based on real-world observations. It is the gold standard taxonomy used by companies worldwide to better understand the why and how of adversarial behavior during an attack. This has evolved into an ecosystem of security solutions that use functional MITRE dashboards to present real-time views into the security risk and posture for an enterprise. Finally, it has become an indispensable tool for procurement to help evaluate security solution coverage- guiding SecOps to deploy a true threat informed defense.
Over the span of many months, MITRE CTID collaborated with over thirty experts from Intel, Microsoft, CrowdStrike, and ATTACK IQ to map and rank the significance of hardware optimized security software features against MITRE ATTACK framework tactics and (sub)-techniques. The project used a modern AI PC build with the full set of Intel vPro security protections enabled on a typical enterprise class security software stack.
机器翻译:
MITRE ATT&CK® 是一个免费、开放的全球知识库,其中包含基于真实世界观察的对抗性战术和技术。 它是全球公司使用的黄金标准分类法,用于更好地了解攻击期间对抗行为的原因和方式。这已经演变成一个安全解决方案生态系统,它使用功能性 MITRE 仪表板来呈现企业安全风险和状况的实时视图。最后,它已成为采购不可或缺的工具,可帮助评估安全解决方案的覆盖范围,指导 SecOps 部署真正的威胁知情防御。
在数月的时间里,MITRE CTID 与来自 Intel、Microsoft、CrowdStrike 和 ATTACK IQ 的 30 多位专家合作,针对 MITRE ATTACK 框架策略和(子)技术,对硬件优化安全软件功能的重要性进行映射和排序。该项目使用现代 AI PC 构建,并在典型的企业级安全软件堆栈上启用了全套英特尔博锐安全保护。
XXXX Intel vPro AI PC- For mapping and emulation test validation, MITRE used a XXX PC with an Intel Core Ultra Processor. activates Intel security capabilities, enriching its own unique built-in below-the-OS defenses, when it manufacturers an Intel vPro device.
Intel vPro Security- Delivers 30 silicon features that protect three attack surfaces: below the OS (firmware verification2 and secure boot), App and Data Protections (virtualization & encryption), and Advanced Threat Protections (Intel® Threat Detection Technology for EDRs & AVs)
Microsoft Secured-core PCs- These new Intel vPro Security mappings to MITRE ATT&CK help to deliver a more secure Windows 11 for the enterprise. When Intel vPro capabilities are present and configured by OEMs, the Windows OS reports out that PC build is Secured-core PC compliant, helping enable Windows 11’s protections (e.g., including advanced protection of firmware and dynamic root of trust measurement).3 MITRE mapped over 90 hardware assisted mitigations to TTPs (Windows 11 + Microsoft Defender).
Endpoint Detection and Response- MITRE mapped two solutions to give a representation of a primary security platform typically run by an enterprise.
Microsoft Defender- Integral feature of the Windows operating system. It leverages Intel® Threat Detection Technology (Intel® TDT), including CPU-assisted AI-based ransomware & cryptojacking detection, and Accelerated Memory Scanning that offloads tasks to the integrated Intel iGPU. (Microsoft TTP counts are cumulative- see Secured-core PC bullet above)
CrowdStrike Falcon- Deployed as a kernel level agent, Falcon has implemented Intel TDT and Intel CPU telemetry capabilities to uncover attacks executing in memory (e.g., Falcon’s Advanced Memory Scanning to detect file-less malware and Hardware Enhanced Exploit Detection that uncovers ROP exploit attacks). MITRE mapped over 85 hardware assisted mitigations to TTPs.
Threat Emulation via ATTACK IQ- To validate mappings and prove functional security controls do stop attack tactics as designed; MITRE selected a sub-set of scenarios for testing. MITRE emulated around 20 TTPs and details can be found on their project web site.
机器翻译:
XXXXX英特尔博锐 AI PC - 为了进行映射和仿真测试验证,MITRE 使用了配备英特尔酷睿 Ultra 处理器的XXX PC。在制造 Intel vPro 设备时激活了 Intel 安全功能,丰富了自己独特的内置操作系统下防御。
Intel vPro Security- 提供30种保护三个攻击面的硅功能:在操作系统下方(固件验证2和安全启动,应用程序和数据保护,应用程序和数据保护,以及高级威胁保护(Intel®威胁检测技术用于EDRs和AVs)
Microsoft 安全核心电脑 - 这些与 MITRE ATT&CK 的新 Intel vPro Security 映射有助于为企业提供更安全的 Windows 11。当 OEM 提供并配置英特尔博锐功能时,Windows 操作系统会报告称 PC 版本符合安全核心 PC,从而帮助启用 Windows 11 的保护(例如,包括固件的高级保护和动态信任根测量)。MITRE 将 90 多个硬件辅助缓解措施映射到 TTP(Windows 11 + Microsoft Defender)。
端点检测和响应 - MITRE 映射了两种解决方案,以表示通常由企业运行的主要安全平台。
Microsoft Defender - Windows 操作系统的组成部分。它利用英特尔®威胁检测技术(英特尔® TDT),包括CPU辅助的基于AI的勒索软件和加密劫持检测,以及将任务卸载到集成的英特尔iGPU的加速内存扫描。(Microsoft TTP 计数是累积的 - 请参阅上面的安全核心 PC 项目符号)
CrowdStrike Falcon- 作为内核级部署,Falcon 实施了 Intel TDT 和 Intel CPU 遥测功能,以发现在内存中执行的攻击(例如,Falcon 的高级内存扫描用于检测无文件恶意软件,硬件增强的漏洞检测用于发现 ROP 漏洞利用攻击)。MITRE 将超过 85 个硬件辅助缓解措施映射到 TTP。
通过 ATTACK IQ 进行威胁仿真 - 为了验证映射并证明功能安全控制确实可以按设计阻止攻击策略;MITRE 选择了一组用于测试的方案。MITRE 模拟了大约 20 个 TTP,详细信息可以在他们的项目网站上找到。
非常遗憾的是支持最新MITRE映射硬件级攻击缓解的产品只有MD和CSF,所以看到这条消息,就在刚刚,我已经把ESET卸载了,虽然ESET也支持vPRO的TDT,但是,Intel文章显示,这次接入MITRE映射只有MD和CS,所以我毫不犹豫的卸载ESET了,毕竟我的设备是vPro产品,接下来,来看看MD的工作原理,注意是MD不是MDB或者MDE哦,就是免费版的MD。
Sample REvil Ransomware Attack Chain Scenario
Below we illustrate how hardware-optimized security software capabilities in Windows 11 and Microsoft Defender can help disrupt a Ransomware attack chain.
机器翻译:
REvil 勒索软件攻击链场景示例
下面我们说明了 Windows 11 和 Microsoft Defender 中的硬件优化安全软件功能如何帮助破坏勒索软件攻击链。
按照Intel的说法,设备制造商生产的vPRO电脑,默认就调用了vPRO的各种安全缓解技术,最新的这些硬件级安全缓解技术是在安全核心电脑上启用的,依靠MD获得大部分硬件级安全缓解,但MD支持的硬件级安全缓解技术映射条目是少于CrowdStrike Falcon的,尽管如此,MD也是支持TDT最好的安全软件之一,最强的CrowdStrike Falcon我们就不要想了,玩不到的。
ATT&CK Versions: 15.1完整的缓解映射条目信息。
TDT部分的详细信息,可以查看相关链接
https://center-for-threat-informed-defense.github.io/mappings-explorer/external/intel-vpro/attack-15.1/domain-enterprise/intel-vpro-08.20.2024/intel-tdt/
不得不说,CrowdStrike AMS支持的才是最完整的TDT啊,不过跟我们关系不大,我们还是看MD吧,它才是我们可以触及的产品。
在我看到这篇文章以后,我毫不犹豫的卸载ESET,回归只剩下执行监控的MD,上次TDT状态被禁用,让我心有余悸,所以想看看这次能不能重新启用,在其中开启AMS功能以后,MD是成功全状态启用了TDT,而且也是最新版本的TDT引擎,也就是调用核显的多个模块,完成AMS和TDT支持的状态。
M p E n s u r e P r o c e s s M i t i g a t i o n P o l i c y ( 0 x 5 ) : h r = 0 x 1
Q u e r y i n g M p G e t T D T F e a t u r e S t a t u s E x ( M P _ T D T _ S T A T U S _ V 5 ) . . .
{ " C P U C a p a b i l i t i e s " : " 0 x 0 0 0 0 0 0 1 7 " , " I s T d t C a p a b l e " : " S u p p o r t e d " , " M o d e " : " r s w " , " P l a t f o r m I n f o " : " { \ " c p u _ v e n d o r \ " : \ " G e n u i n e I n t e l \ " , \ " c p u _ b r a n d \ " : \ " I n t e l ( R ) C o r e ( T M ) i 5 - 1 4 5 0 0 \ " , \ " c p u _ f a m i l y \ " : \ " 6 \ " , \ " c p u _ m o d e l \ " : \ " 1 9 1 \ " , \ " c p u _ s t e p p i n g \ " : \ " 2 \ " , \ " p e r f m o n _ v e r s i o n \ " : \ " 5 \ " , \ " p t \ " : t r u e , \ " i n t e l _ g p u \ " : t r u e , \ " g p u _ d r i v e r _ d e s c r i p t i o n \ " : \ " I n t e l ( R ) U H D G r a p h i c s 7 7 0 \ " , \ " g p u _ d r i v e r _ v e r s i o n \ " : \ " 3 2 . 0 . 1 0 1 . 5 5 4 2 \ " , \ " p e r f m o n _ f r e e z e \ " : t r u e , \ " o s _ i n f o \ " : \ " 2 6 1 0 0 ( W i n d o w s 1 0 E n t e r p r i s e ) \ " , \ " t d t _ v e r s i o n \ " : \ " 4 . 7 . 4 . 3 3 9 \ " } " , " T d t L a s t S t a t u s " : " 0 " , " T d t S i l o T y p e " : " E " , " T d t S t a t u s " : " E n a b l e d " , " T e l e m e t r y E n a b l e d " : " D i s a b l e d " } M p C m d R u n : E n d T i m e : � hT N � 1 �g � 0 6 � 2 0 2 5 1 7 : 2 2 : 5 5
MD的TDT引擎版本是4.7,而ESET的TDT引擎版本是4.3么?ESET把TDT标记为V4,可MD的TDT是V5,这就是区别吗?
ESET的TDT新引擎调用的核显驱动,MD也是有调用的,所以MD现在是正常启用TDT了
Intel Graphics Shader Compiler for Intel(R) Graphics Accelerator和User Mode Driver for Intel(R) Graphics Technology的几个核显驱动模块
User Mode Driver for Intel(R) Graphics Technology用户层驱动以及两个Intel Graphics Shader Compiler for Intel(R) Graphics Accelerator模块,为TDT提供了功能支持。
MD为TDT提供支持的新KSL (Kernel Support Library)驱动,也就是MpKslDrv驱动已经常驻内存,意味着TDT完全被激活。
好了,今天的这次更新就到这里,如果有什么最新的关于TDT或者vPRO相关内容,我再继续更新本帖。
==================================================================
2024年12月27日,TDT功能已经成为企业级产品的重要功能,今年上半年,趋势科技小企业级产品宣布支持TDT,后续的大企业产品也应该已经支持TDT,只是暂时还没有跟进,由此可见TDT是被各大企业级产品应用到实际使用的技术,不只是纸上谈兵的PPT功能。
https://www.trendmicro.com/en_us ... ttack-solution.html
趋势科技上半年就宣布旗下Trend Micro Worry-Free Business Solution 支持TDT功能,成为支持Intel下一代安全的产品,对付无文件攻击的下一代产品,同时表示未来其他企业版产品也会支持TDT,由此可见TDT功能越来越被企业级的安全厂商看重,越来越多的产品支持TDT了,关于趋势科技对TDT的看法:
By integrating Intel TDT, Trend enhances its ability to detect fileless attacks earlier in the kill chain as it first attempts to gain a foothold in memory prior to launching adversarial attack objectives. Early detection is key to preventing lateral movement from one host PC to other users in the fleet. Intel TDT offloads the compute-intensive memory scanning from the CPU to the integrated GPU for high-throughput parallel processing. Trend achieved up to a 7-10X improvement in memory scanning capacity which enables broader regions of memory to be scanned for threats, more often, without impacting the user’s computing experience. For Trend customers, this integration translates to a host of benefits to stop the entry of a broad range of attacks, including ransomware, that commonly leverages fileless entry techniques. In today's digital age, where downtime or data breaches can result in significant financial and reputational damage, this proactive stance against emerging threats is invaluable. Furthermore, by leveraging Intel's hardware-based detection, Trend can offer a more scalable and resilient security solution that adapts to the evolving threat landscape, ensuring that customers' defenses remain robust over time.
由此可见,趋势科技是极其称赞TDT功能为他们的产品带来的好处,这也就能明白之前一直在吹捧TDT的ESET并不是孤身一人,现在有同伴了,另外MDE也是鼓吹TDT的主要成员之一,还有国内见不到的CS也是TDT的大力支持者,然消费级产品中能享有TDT的也就是半吊子的MD和毛豆了,还有就是Acronix了,有完整支持TDT的可能只有ESET了,MD不抽风的话,也是支持TDT不错的。
说了这么多,TDT具体原理是什么呢?究竟与传统的防御勒索软件的功能有什么区别呢?让我们来看看TDT的工作原理:
Intel TDT的运作原理
Intel TDT通过遥测CPU中的性能检测单元(performance monitoring unit, PMU)与加速机器学习启发机制,检测潜在的威胁。部分恶意程序会由于执行的任务影响到CPU性能;而勒索软件显然因为其大量的文件加密行为属于这类程序中。同样类型的恶意程序还包括挖矿病毒。
这些性能的影响会在PMU的遥测数据中反映出来,而机器学习模型会通过这些数据识别潜在能够标志恶意软件存在的可疑或者异常行为。OS中运行的安全产品可以基于Intel TDT的信号进行进一步的扫描和修复。从本质层面来看,这是从CPU等级进行基于行为的恶意软件检测。
英特尔商业客户组战略规划与架构的高级主任Michael Nordquist表示:“传统的防御注重于通过反钓鱼、备份、或者其他主动行为加强防御——这些都是非常好的实践,但是攻击往往还是能成功。在这些情况下,Intel TDT可以从最早的文件加密行为开始检测勒索病毒,并且立刻提示AV/EDR软件修复攻击。这样不仅可以将让受感染的终端受到的损伤得到限制,还能防范攻击横向移动到其他终端,或者纵向移动到网络以及云应用。这样的防范措施,对于企业而言是无价的。”
传统的防御手段为什么效果不理想:
勒索病毒是如何逃过传统检测的
检测勒索病毒从来就不是个简单的事。攻击者总能找到方法逃过安全产品的检查啊 。一些强大的黑客组织会通过人工黑客攻击行为,并且持续数月之久的探查,在企业网络中平行移动,从而清楚地知道攻击目标使用的恶意软件检测工具,然后提前进行测试,确保他们的攻击负载不会被发现。勒索病毒得以成功的很大原因就在于此。
除了基于特征的检测之外,安全产品也试图通过监测文件行为中的异常情况,来发现类似勒索病毒的行为。举例而言,在某些地址读写大量文件,或者连续读写大量特定类型的文件,都表示有可以行为。被覆盖文件和原内容的巨大区别也是一种勒索病毒攻击行为的标志,因为被加密的文件和原始文件内容完全不同。另外,试图删除VSS备份也是一种勒索病毒的攻击行为。尽管说这些行为都能用于检测勒索病毒,但是攻击者依然能够隐藏这些行为,比如减缓及文件加密速度,或者分批执行加密。
一些勒索病毒攻击者会采取更多的手段。比如,Ragnar Locker和Maze已经开始通过滥用虚拟化技术来隐藏他们在内存中的恶意进程。他们在被攻击者计算机上部署Oracle VirtualBox,建立轻量的Windows虚拟机,让这些虚拟机接入整个主机OS的硬盘,然后在虚拟机里执行勒索病毒,这样反病毒系统就无法查看相关进程。
安全厂商Cybereason的CTO,Yonatan Striem-Amit提到:“虚拟机的使用主要为了隐藏内存,这样安全软件就无法扫描勒索病毒内存,但是勒索程序却依然需要和文件系统进行交互来进行加密。无论是行为的信号,还是英特尔的性能指标,都能够发现藏匿的勒索病毒:无论是否能读取进程内存。在这种方式中,进程内存就显得不那么关键,因此通过虚拟机隐藏行为的方式也不那么有效了。”
TDT的优势:
Intel TDT将机器学习转至GPU
大部分现代CPU都会嵌入一个GPU,通过直接存储器访问(Direct Memory Access, DMA)读取计算机的物理RAM。这种技术能让GPU更高性能地处理它们的任务,并且和主机OS共享RAM。Intel TDT利用这个功能加速在集成的Intel Iris Xe显卡上的机器学习检测模型,从而释放CPU算力执行其他任务。
在Striem-Amit看来:“如今,将操作系统存在的信号和应用行为、CPU级别的性能指标、能够线性运行更复杂的机器学习算力,三者结合,可以比之前更精确地发现勒索病毒攻击。这种技术的演进能让我们将操作系统的可视化能力和CPU级别的性能指标相辅相成,了解是否真实存在勒索病毒行为。”
现在,按照Intel官方的说法,已经有如下企业产品应用了TDT功能,而且效果明显,这就说明TDT功能对付勒索软件的效果是尤为突出的,可惜的是支持TDT的大多数是EDR产品,加上只有vPro平台才能发挥最大效果,因此普通用户才很难见到TDT强大的效果:
官方英文原文:
Because malware deploys obfuscation and cloaking techniques, traditional file-based threat detection techniques can miss it many of the attacks that Intel TDT can detect. However, when ISVs integrate Intel TDT into their antivirus and EDR solutions, they can detect malware earlier.
By pairing AI PCs with EDR software from Microsoft, Acronix, Bytesatwork, CrowdStrike, Check Point, Trend Micro, Sequretek, Fidelis, Kingsoft, and ESET, IT fleet managers can step up defenses using the PC hardware itself to aid in detections.
From an efficacy standpoint, SE Labs’ recent tests showed that Intel TDT detected 93 percent of the top ransomware attacks. These results are so significant that security industry analysts now factor in Intel TDT enablement when ranking ISVs’ security solutions.
不知道前面趋势科技说的是不是真的,如果TDT真的能让趋势的Endpoint产品性能有大幅提升,那确实可以试一试,毕竟小企业产品似乎也是可以提取Client的,只是相对麻烦的在设置上。
PS:说一句题外话,ESET你不再孤单了,又有新朋友跟你一起吹TDT的强大了。
=========================================================
2024年12月18日,我在ESET区发了我是一边骂骂咧咧的说ESET不行,一边欢欢喜喜的自己偷着用ESET【新TDT引擎大加强?】帖子,更新了ESET的TDT引擎最新变化,由于属于ESET产品的信息,所以没有在本帖更新,具体内容,可点击帖子链接查看。
2024年9月21日,更新体验TDT功能。
没错,我又来炫耀我的vPro设备了,不过这次与前几次更新不一样,这次体验的是ESET提供的TDT功能支持,凡是符合ESET条件的电脑,都可以开启ESET的TDT功能,而且比隔壁MD提供的更加完整,但是ESET的TDT仅针对勒索软件Ransomware,不检测其他类型的威胁。
在下面的链接中提供了ESET的检测设备是否支持TDT的方法,饭友们可自行对比。
https://support.eset.com/en/kb83 ... upported-processors
使用PowerShell输入:
- get-wmiobject win32_processor
获得处理器参数与下图对比,即可确认设备是否支持TDT功能
例如我的设备参数是6 191 2,对比上图中的信息,是支持TDT功能的设备。
ESET在支持TDT的设备上,高级设置中,HIPS分支下的Ransomware Shield子功能中就会出现Intel Threat Defense Technology功能开关。
在开启TDT的状态下,ESET核心进程EKRN会加载三个新的模块,分别是ESET的TDT引擎,以及Intel的显卡控制库,还有DX技术的DirectXApps.sdb数据库。
是否存在核显控制库的加载,可能与硬件设备以及核心显卡的驱动版本有关系,我的核显是14代的UHD 770桌面核显,驱动版本是32.0.101.5542
核心显卡的驱动位置在C:\Windows\System32\DriverStore\FileRepository\iigd_dch.inf_amd64_XXXXXXXXXXX文件夹中:
ESET调用的核显控制运行时库IntelControlLib.dll就在该位置
如果关闭TDT功能,EKRN会卸载上述三个模块,不再使用核心显卡的控制器执行TDT功能,也不会调用处理器的硬件TDT接口,失去TDT检测能力。
ESET的TDT功能,不单单有2MB大小的引擎模块,还有一个7MB+大小的特征库,名为em059,它是没被直接加载的,应该是通过TDT引擎调用,或者按需加载。
TDT特征库模块,可能会因为硬件功能的不同被分配不同的TDT特征库,我这边被分配的是em59,版本号是1001
TDT特征库签名时间是2024年4月12日,并非新版本ESET获得的功能
不同的硬件设备可能会获得不同的TDT特征库,以便支持对应硬件的TDT功能,因此你的TDT特征库可能与我展示的版本不同。
这里有ESET官方提供的两个PDF文件,介绍了ESET的TDT功能和运作原理,大致运行机制如下图:
感兴趣的朋友可以自行阅读,没啥特别的,就不啰嗦这些内容了。
https://www.eset.com/fileadmin/E ... -brief-final-v5.pdf
https://www.eset.com/fileadmin/E ... tel-smg-eset-ig.pdf
在本帖之前的内容中和MD区TDT帖子中,都提到过TDT的功能,其中极为罕见的是anomalous behavior detection (ABD)异常行为检测的技术,这功能在MD上都是被禁用的TDT遥测技术,然而在ESET的核心控制组件EM018也就是HIPS引擎中有这样一条命令core_telemetry_publisher.abd_enabled以及abd_detection":Abnormal control flows detected!
因此,ESET的TDT在支持的设备上是开启ABD功能,这算得上是比较罕见的情况,但不确定在非vPro设备上是否开启ABD检测。(备注:按照Intel官方说法,没有vPro支持的设备应该没有ABD功能)
这里吐槽一句,ESET对TDT功能的状态没有明确给出启用了多少TDT功能,透明度跟比MD差不少,MD可是提供了TDT功能开启状态的详细信息查询,所以我不确定ESET在我的设备上启用多少TDT功能,这是比较遗憾的地方。
ESET的TDT功能检测到的威胁报毒名是如下几个行为特征:
Trojan.Win32/Beh.Tdt.A
Trojan.Win32/Beh.Tdt.CML
Trojan.Win32/Beh.Tdt.TGL
Trojan.Win32/Beh.Tdt.ALDRL
ESET使用的TDT版本也是V4版本,目前(2024年9月21日)是version": "4.3.0.181"
值得注意的,虽然ESET的独立的TDT引擎和TDT特征库,但是核心的控制和检测是由HIPS引擎提供的,TDT行为检测勒索软件的能力是HIPS引擎附属功能,不是独立功能,TDT功能是被HIPS引擎调用的,所以无法独立使用。
按照ESET官方说法,ESET的勒索软件保护,使用TDT功能,可以检测到隐蔽性极强的勒索软件,哪怕勒索软件把自己隐藏在VM环境中,TDT功能也可以识别,因为CPU执行了勒索软件的数据,必然会被TDT功能捕获,从而识别隐藏的勒索软件威胁。
比较遗憾的是我这vPro设备新机是办公用的,不太可能实机测毒,加上开启智能应用控制Smart App Control功能,所以无法实机测毒,因此无法为饭友们提供ESET的TDT发威时刻,还请见谅。
如果以后有机会,我进一步测试TDT功能的效果,我会跟饭友们分享我的发现,好了,本次更新到此结束。
==================================================================
2024年9月1日,更新部分内容:
由于我对vPRO平台有特殊的执着,因此我入手的新电脑选择的就是vPRO认证的,带有vPRO徽标的商用一体机电脑,原本本帖发帖时间太久,我已经无法更新内容,现在被版主大人重新开启,我也借此机会,更新本帖,来解释一下之前尚未明确的问题。
首先是硬件CPU处理器和主板芯片组以及安全处理器TPM和有线LAN网卡全部支持vPRO技术的前提下,也未必获得vPRO技术的保护,因为在满足以上硬件条件的基础上,UEFI固件,BIOS设置中必须开启名为英特尔® Trusted Execution Technology(英特尔可信执行技术),缩写为Intel TXT。
下图是某想的BIOS设置TXT截图:
如果想获得vPRO平台的保护,就必须在BIOS固件设置中开启TXT技术,否则,即便你的硬件满足vPRO全部条件,也无法获得vPRO的保护,这也是大部分非OEM商用电脑无法使用vPRO技术加持的原因,据我所知,在某戴的自选配置中,如果选择开启vPRO是需要额外加钱的Essentials是一百八十多¥,Enterprise是二百三十多左右,然后才会获得vPRO平台功能和徽标。
有vPRO Essentials的价格
无vPRO Essentials的价格
由此可见,想获得vPRO技术的加持,还真的是困难重重啊,只有OEM厂商的部分商用电脑才有vPRO徽标,开启vPRO硬件护盾技术。
顺便一提,有vPRO徽标的设备,极有可能是海外大名鼎鼎的安全核心PC,但具体是不是安全核心PC还是要看OEM厂商的固件开放情况,以及购买产品的型号,所以有vPRO不等于有安全核心PC,这是大家需要注意的地方哦。
接下来以我的电脑为例,给各位饭友展示一下vPRO平台的开启状态
还是用我们熟悉的AIDA64软件,来检测vPRO部分功能的状态,例如TXT和CET以及TME等技术。
在DMI选项中的Intel vPro中,可以看到我的设备是启用CPU TXT以及BIOS TXT技术的,因此我这台设备自然是vPro平台产品。
在主板的CPUID信息中,可以看到我的设备也支持CET控制流强制技术,以及TME全内存加密技术,由于我的是Essentials版本,所以没有总内存加密技术的多密钥技术。
以上是AIDA64上能够可查的vPRO技术,接下来,我在展示一下vPro设备在Windows 11 24H2 安全中心中设备安全性,所展示的功能和特性。
我的设备上,设备安全性分为五个,安全核心电脑,内核隔离,安全处理器,安全启动,数据加密。
安全核心电脑,这是OEM制造商选择性开放的功能,我这台买之前并不知道是安全核心电脑,开机以后才发现是安全核心电脑,我感觉我赚大了。
内核隔离,我这边有七个功能,其中MDAG是企业版系统的功能,跟vPRO关系不大,也就是MDSG的固件保护三级,是TXT赋予的高级功能,目前是固件保护的最高级别。
截图不够,下面有个Microsoft易受攻击的驱动程序阻止列表,没截到。
内核模式硬件强制堆栈保护,也就是CET硬件技术,这个是不需要vPRO认证就有的,只需要硬件CPU是11代以及AMD Zen3以后的处理器都可以获得。
安全处理器就是TPM芯片,但TPM有分固件级和硬件级,TPM固件级,可能抠主板上的电池基本就废了
我这TPM是新唐的硬件TPM芯片
安全启动和数据加密没啥好说的,就不在这里说废话了。
而TDT技术,也是不需要vPRO认证就可以获得大部分功能的,具体功能获得情况,可以看本帖最下方的vPRO功能列表。
MD已经为我们开启大部分TDT功能,具体内容请移步MD区,我另一个关于TDT的帖子。
MD开启TDT功能查询
好了,后续有新的内容,我再更新本帖。
===================================================================
某商用电脑对vpro的开启要求如下:
intel vpro requires Windows 10 Pro 64 bit or higher, a vPro supported processor, vPro enabled chipset, vPro enabled wired LAN and/or Wi-Fi 6E WLAN and TPM 2.0. Some functionality requires
additional 3rd party software in orderto run. Features of vPro® Essentials and Enterprise vary. See http://intel.com/vpro 英特尔博锐需要 Windows 10 Pro 64 位或更高版本、支持博锐的处理器、支持博锐的芯片组、支持博锐的有线局域网和/或 Wi-Fi 6E WLAN 和 TPM 2.0。某些功能需要
其他第三方软件以运行。vPro® Essentials 和 Enterprise 的功能各不相同。查看 http://intel.com/vpro
自从Intel发布12代酷睿处理器,Intel就一直在推广vpro平台的各种安全技术,其中TDT技术是可被安全软件广泛应用的技术,很多安全软件厂商也已跟进的将TDT技术融入自家产品中,那么为什么除了ESET外,就没有其他安全厂商把TDT加入家用产品呢?
目前宣布加入TDT生态的安全厂商,可查询
https://community.intel.com/t5/B ... curity/post/1365216
可见几乎清一色的都是企业级安全产品支持TDT,包括微软也是MDE才支持完整TDT技术。
按照Intel产品规范中的信息显示,12代以后的处理器除了I3以下的型号,基本都支持vpro技术,但也有很多缩水产品没有vpro却单独有TDT,例如I7 13620H款处理器就不支持vpro却保留了TDT。
高高在上的移动端I7都有不支持vpro的型号,但桌面处理器即便I5也是完整支持vpro的,例如I5 13500处理器
13代处理器支持vpro功能的信息,可查阅:面向商业计算机的英特尔vpro平台简介
列表中凡是有4小数字以后数字的功能,都是需要vpro平台认证的,由此可见,硬件安全技术并非是处理器上支持,家用电脑就可以使用的,其中也就是TDT的部分功能可在无需vpro平台的支持下允许家庭用户使用。
在面向 Windows 的英特尔® vPro® Enterprise 平台常见问题解答有解答,也就是vpro平台是面向企业用户的,具体解答内容如下:
英特尔® vPro® Enterprise 平台的安全性如何?
英特尔® Hardware Shield 仅在符合英特尔® vPro® 标准的 Windows 电脑上提供,可为企业带来全面的硬件级安全功能。
硬件级集成电脑保护为企业工作效率提供更安全的保障,包括操作系统下层安全性、应用和数据安全性和高级威胁检测。
帮助防范与内存安全相关的全系列攻击。这些攻击长期以来避开了使用英特尔® Control-flow Enforcement Technology(英特尔® CET)的纯软件解决方案。现在,所有搭载第 12 代智能英特尔® 酷睿™ 处理器且采用英特尔® vPro® 平台的设备都可使用这一功能。 哪些笔记本电脑使用英特尔® vPro® 平台?
大多数主要电脑制造商都提供采用英特尔® vPro® 平台的笔记本电脑。查看是否有徽标,若有则表明系统满足英特尔® vPro® 平台“为卓越商务而生”的要求。
由此可见,如果购买的品牌机没有贴有vpro平台徽标,就无法完全启用vpro功能,即便你购买的是支持vpro技术的I5 13500处理器也没用。
什么样的商用设备可以支持vpro平台认证呢,首先除了处理器要有vpro技术外,更关键的是芯片组,如果芯片组不支持vpro平台资格,那么就无法使用vpro技术,而芯片组无论是H系还是B系,又或者高档的Z系,都是不支持vpro认证的,也就是说买主板的组装电脑是不会有完整vpro技术的,只有Q系和W系的企业级芯片组才会支持vpro认证。
关于芯片组是否支持vpro,可在这里查询:ARK芯片组信息
如果想进一步了解vpro平台的功能与意义,可阅读官方文档:基于硬件的企业安全性
====================================================================
上面是源自Intel的官方信息,可靠度应该没问题,那么我们现在来讨论一下,没vpro认证的电脑,究竟能使用多少vpro技术呢?
为什么这么说?虽然官方说没vpro认证的设备不支持vpro技术,实际上我们还是可以享用部分vpro技术的,例如AIDA64软件就可以检测出部分vpro功能的启用情况。
使用AIDA64软件,我可以查询到我这七代奔腾U系处理器启用了多少vpro功能(目前看不到TDT么?)
除了在计算机→DMI下可以查询到部分vpro技术的开启状态外,在主板→CPUID的安全中也可看到很多安全功能的支持情况。
吐槽一句,我这便宜的七代奔腾,是不是啥都不支持啊,太惨了。
由于我没12代以后的处理器,不清楚12代以后的处理器可以开启多少vpro功能,欢迎各位符合条件的饭友使用AIDA64来分享新处理器的信息,如果需要AIDA64的使用权限,可PM我,我来提供检测处理器的AIDA64E版,希望各位饭友可以来分享一下信息。
我们确认家用电脑开启多少VPRO安全技术以后,再进一步讨论,TDT技术的使用和测试情况。
目前确认的信息是没有vpro认证的设备,是可以使用TDT加速内存扫描技术的,也就是TDT AMS功能,这也是目前安全厂商使用最多的TDT功能,至于是否支持TDT的其他功能(如ABD RD和AI AL等),需要进一步测试,只能等其他饭友的测试了。
=========================================================
更新2024年3月14日00点33分:
按照官方给的详细信息显示,我们可以确定TDT的加速内存扫描和GPU的机械学习AL是对消费者开放的(CD也可以,但需要vpro),换句话说不需要vpro认证就可以使用,而且是6代处理器以上都可以(我的奔腾虽然是七代,可惜是奔腾,所以就不支持吗?),但是TDT的加密挖矿检测CD和勒索软件检测RD,以及异常行为检测ABD,控制流强制技术CET,这四个功能是需要vpro认证才能使用的,具体信息如下图所示。
其他信息和功能,我们可以进一步慢慢讨论。
PS:好久没发这种有意义的讨论帖了,希望和大家一起讨论和学习,感谢支持
|
[复制链接]
发表于 2024-3-13 16:45:42
楼主
