微软官方博客最新刊文介绍该公司联合制造商推出的安全核心设备,这是搭载Windows 10系统的最安全的设备。这类设备主要侧重点就是构建高安全环境防止攻击和泄密,主要适用于政府、金融以及医疗保健等高度敏感行业。微软设计的这类设备需要集成专用的硬件、固件、软件以及身份保护,制造商只有通过微软测试才可以获得认证。目前已参与该项目并获得认证的制造商包括联想、松下、戴尔、惠普、Dynabook以及微软自家品牌的硬件设备。
安全核心PC的亮点在于,它们使用现代CPU中基于硬件的安全性,将系统启动到受信任状态,从而防止高级恶意软件篡改系统,并在固件级别进行攻击。一旦安全地启动了CPU,操作系统就可以接手控制。管理程序强制的代码完整性,可确保操作系统内核中所有代码都是可信任的。
然后,用户使用Windows Hello安全登录。双重凭据保护功能,确保用户身份,同时在安全的VBS环境中隔离和保护域凭据。各种Windows OEM厂商,包括包括戴尔,dynabook,惠普,联想,松下,Dynabook和Surface,都将提供安全核心PC。
安全核心设备的亮点功能:
1.受保护的安全核心设备使用现代处理器中基于硬件的安全性将系统启用到受信状态防止基于固件层面的攻击等。
2.只要处理器被启动操作系统就可以直接控制,系统管理程序强制执行数据完整性验证确保内核代码未遭到篡改。
3.用户均需要使用 Windows Hello 生物验证登录 , 第二代身份验证系统确保在安全环境中隔离用户以及凭据等。
4.融合安全启动、TPM 2.0可信认证模块、内核代码保护以及操作系统层面的系统防护确保所有代码签名并验证。
微软推出此类设备的目的:
微软在博客中表示当前高级别的黑客攻击不仅仅基于软件,而是试图直接攻击固件让操作系统启动时便遭到监视。从固件层面攻击能够让攻击者具有更高级别的权限执行更多恶意操作,同时还可以破坏安全机制让用户无法发掘。由于端点保护和检测解决方案都是在操作系统上运行的,因此基于固件层面的攻击让这些安全防御机制不再有效。如何确保高度机密行业的数据安全是微软非常重视的内容,所以微软推出安全核心设备确保企业数据不会被窃取。
(来源:系统天地)
