Tại sao Windows 11 bảo mật hơn nhiều so với Windows 10?

Windows 10 đã có những vấn đề bảo mật. Từ Spectre và Meltdown đến lỗi Print Spooler gần đây, danh sách các lỗ hổng Windows 10 rất “phong phú”. Do đó, thật nhẹ nhõm khi thấy Microsoft tăng cường gấp đôi bảo mật trong Windows 11.

Windows 11 sẽ là một hệ điều hành bảo mật hơn so với Windows 10. Trọng tâm mới của Microsoft về bảo mật trong Windows 11 sẽ xoay quanh một số tính năng chính. Vì vậy, hãy cùng xem xét các tính năng bảo mật quan trọng giúp tăng cường khả năng phòng thủ của Windows 11.

1. Trusted Platform Module (TPM)

Kể từ khi Microsoft thông báo rằng Windows 11 yêu cầu hỗ trợ Trusted Platform Module (TPM) 2.0, chủ đề này đã trở nên gây tranh cãi. Mặc dù chip TPM đã xuất hiện hơn một thập kỷ, nhưng các nhà sản xuất thiết bị và người dùng cho đến nay vẫn chưa coi trọng chúng.

Chip TPM là một kho mật mã lưu trữ các khóa mã hóa, mật khẩu và chứng chỉ. Chip TPM sử dụng các mục được lưu trữ để xác định và xác thực thiết bị, phần mềm và người dùng.

Ví dụ, trong Windows 11, Windows Hello hoạt động cùng với chip TPM 2.0 để bảo mật quá trình đăng nhập. Chip TPM 2.0 lưu trữ một bí mật liên quan đến Windows Hello và sử dụng bí mật đó để xác thực người dùng.

Theo Microsoft trên Windows Blogs, lý do để sử dụng TPM 2.0 mới thay vì TPM 1.2 cũ hơn là vì TPM 2.0 hỗ trợ các thuật toán mật mã tốt hơn.

Nói cách khác, chip TPM 2.0 sẽ đảm bảo rằng các PC chạy Windows 11 được xác thực và không bị xâm phạm.

2. Virtualization-Based Security (VBS)

Microsoft đã bao gồm tính năng Virtualization-Based Security (VBS) trong Windows 11. Tính năng này nhằm mục đích bảo vệ các giải pháp bảo mật chống lại các cuộc tấn công exploit, bằng cách lưu trữ các giải pháp này bên trong một phân đoạn (segment) bộ nhớ hệ thống được cô lập và bảo mật.

Nói một cách đơn giản hơn, VBS lấy một phần bộ nhớ hệ thống, cô lập nó với phần còn lại của hệ điều hành và sử dụng không gian đó để lưu trữ các giải pháp bảo mật. Bằng cách làm này, Microsoft đang bảo vệ các giải pháp bảo mật vốn là mục tiêu chính của hầu hết những cuộc tấn công mạng.

Mặc dù hỗ trợ VBS có sẵn trong Windows 10 nhưng tính năng này không được sử dụng theo mặc định. Microsoft đang thay đổi điều này với Windows 11. Công ty đã thông báo rằng họ sẽ bật VBS trên hầu hết phiên bản Windows 11 theo mặc định trong năm tới.

3. Hypervisor-Protected Code Integrity (HVCI)

Hypervisor-Protected Code Integrity là một tính năng của VBS bảo vệ môi trường bộ nhớ hệ thống bị cô lập mà VBS tạo ra. HVCI đảm bảo rằng Windows kernel, hay còn gọi là bộ não của hệ điều hành, không bị xâm phạm.

Do nhiều hoạt động exploit dựa vào việc sử dụng chế độ kernel để có quyền truy cập vào hệ thống, HVCI thực hiện một công việc quan trọng trong việc đảm bảo rằng kernel an toàn và không thể được sử dụng để tấn công hệ thống.

HVCI đảm bảo bộ não của Windows (kernel) không làm điều gì đó ngu ngốc có thể ảnh hưởng đến bảo mật của hệ thống.

Windows 10 đi kèm với HVCI. Nhưng nó làm giảm hiệu suất của các CPU cũ đi khá nhiều. Đây là một lý do tại sao Microsoft yêu cầu CPU AMD thế hệ thứ 8 trở lên và Zen 2 trở lên, vì hãng này có phần cứng dành riêng cho HVCI.

Nói tóm lại, Windows 11 sẽ an toàn hơn đáng kể so với Windows 10 theo mặc định thông qua việc sử dụng HVCI và VBS.

5. UEFI Secure Boot

Trước khi nói về UEFI Secure Boot, hãy làm rõ một điều: Tất cả các công cụ và giao thức bảo mật của Windows không thể làm gì nếu hệ thống của bạn bị xâm phạm trước khi boot.

Nói một cách đơn giản, nếu Windows khởi động với mã độc, thì cuộc tấn công exploit có thể vượt qua tất cả các biện pháp bảo mật. UEFI Secure Boot đảm bảo điều này không xảy ra bằng cách xác minh rằng máy tính chỉ khởi động bằng code từ một nguồn đáng tin cậy. Nguồn này có thể là nhà sản xuất PC, nhà sản xuất chip hoặc Microsoft.

Tất cả các máy Windows 11 sẽ đi kèm với UEFI Secure Boot ngay từ đầu. Điều này sẽ cung cấp cho các máy Windows 11 một khả năng bảo mật đáng kể so với các thiết bị Windows 10.

Microsoft đang đảm bảo rằng hệ điều hành mới được bảo mật ngay từ đầu. Phần cứng tập trung vào bảo mật như TPM 2.0 và các CPU mới hơn sẽ kích hoạt những tính năng như VBS và UEFI Secure Boot để bảo vệ người dùng trước các cuộc tấn công exploit.

Tuy nhiên, hầu hết người dùng Windows vẫn đang sử dụng các máy cũ. Vì vậy, Microsoft phải thuyết phục mọi người mua PC mới. Và điều đó sẽ không dễ dàng.