Windows 10: Microsoft testet Security-Feature Kernel Data Protection

KDP versetzt Teile des Windows-10-Kernels und Treiber in einen schreibgeschützten Zustand – entsprechende Speicheradressen lassen sich dann nur noch auslesen.

In Pocket speichern vorlesen Druckansicht 40 Kommentare lesen
Windows 10: Microsoft testet Security-Feature Kernel Data Protection

(Bild: c't)

Lesezeit: 2 Min.

Microsoft baut das Ökosystem rund um "Secured-core PCs" mit Sicherheitsfokus aus. Im Insider-Ring von Windows 10 testet das Unternehmen derzeit Kernel Data Protection (KDP), die künftig Teil des finalen Betriebssystems werden soll. KDP versetzt Teile des Kernels und ausgesuchte Treiber in einen Read-only-Zustand: Das Betriebssystem kann auf entsprechende Speichersektionen zugreifen, den Code darin aber nicht verändern.

Die Technik soll Schlupflöcher schließen, bei der Angreifer signierte, aber unsichere Treiber nutzen, um Berechtigungen an einem PC zu ändern und so bösartige Treiber zu installieren. Auch Anti-Cheat- und Digital-Rights-Mangement-Systeme (DRM) könnten profitieren, wie Microsoft im Blog ausführt.

Das Ganze ist Teil der Virtualization-Based Security (VBS) und funktioniert daher nur im Zusammenspiel mit AMD-, Intel- und ARM-Prozessoren, die Hardware-Virtualisierung unterstützen. AMD-V und Intel VT sind heutzutage üblich.

Bisher sieht Microsoft zwei Funktionsweisen vor: KDP kann Software im Kernel-Modus statisch in einen schreibgeschützten Zustand versetzen oder dynamisch Speicher ausgehend von einem Sicherheits-Pool freigeben. In letztem Fall darf der Code nur einmalig initialisiert werden. Der Sicherheits-Kernel verifiziert fortlaufend Speicher, den die KDP verwaltet, zusätzlich wird er durch Second-Level-Address-Translation-Tabellen (SLAT) des Hypervisors geschützt.

Durch KDP erhofft sich Microsoft derweil positive Auswirkungen auf das Ökosystem, da Treiberentwickler mit Virtualisierung in Berührung kommen. Zudem soll Windows 10 performanter laufen, weil das Betriebssystem weniger Datenchecks durchführen muss. Speicherfehler ließen sich simpler diagnostizieren.

(mma)