近日微軟宣布推出具有集成的硬件,固件,軟件和身份保護(hù)功能的安全核心PC,這將是目前最安全的Windows 10設(shè)備,Windows OEM產(chǎn)品必須滿足微軟列出的嚴(yán)格安全要求才能獲得此認(rèn)證。這些新型安全核心PC面向數(shù)據(jù)敏感度最高的行業(yè)用戶,例如政府,金融服務(wù)和醫(yī)療保健單位當(dāng)中的工作人員。
安全核心PC主要特色在于,它們使用現(xiàn)代CPU中基于硬件的安全性,將系統(tǒng)啟動到受信任狀態(tài),從而防止高級惡意軟件篡改系統(tǒng),并在固件級別進(jìn)行攻擊。一旦安全地啟動了CPU,操作系統(tǒng)就可以接手控制。管理程序強(qiáng)制的代碼完整性,可確保操作系統(tǒng)內(nèi)核中所有代碼都是可信任的。
1.受保護(hù)的安全核心設(shè)備使用現(xiàn)代處理器中基于硬件的安全性將系統(tǒng)啟用到受信狀態(tài)防止基于固件層面的攻擊等。
2.只要處理器被啟動操作系統(tǒng)就可以直接控制,系統(tǒng)管理程序強(qiáng)制執(zhí)行數(shù)據(jù)完整性驗證確保內(nèi)核代碼未遭到篡改。
3.用戶均需要使用 Windows Hello 生物驗證登錄 , 第二代身份驗證系統(tǒng)確保在安全環(huán)境中隔離用戶以及憑據(jù)等。
4.融合安全啟動、TPM 2.0可信認(rèn)證模塊、內(nèi)核代碼保護(hù)以及操作系統(tǒng)層面的系統(tǒng)防護(hù)確保所有代碼簽名并驗證。
然后,用戶使用WindowsHello安全登錄。雙重憑據(jù)保護(hù)功能,確保用戶身份,同時在安全的VBS環(huán)境中隔離和保護(hù)域憑據(jù)。各種Windows OEM廠商,包括包括戴爾,dynabook,惠普,聯(lián)想,松下,Dynabook和Surface,都將提供安全核心PC。
微軟推出此類設(shè)備的目的:
微軟在博客中表示當(dāng)前高級別的黑客攻擊不僅僅基于軟件,而是試圖直接攻擊固件讓操作系統(tǒng)啟動時便遭到監(jiān)視。
從固件層面攻擊能夠讓攻擊者具有更高級別的權(quán)限執(zhí)行更多惡意操作,同時還可以破壞安全機(jī)制讓用戶無法發(fā)掘。
由于端點保護(hù)和檢測解決方案都是在操作系統(tǒng)上運行的,因此基于固件層面的攻擊讓這些安全防御機(jī)制不再有效。
如何確保高度機(jī)密行業(yè)的數(shù)據(jù)安全是微軟非常重視的內(nèi)容,所以微軟推出安全核心設(shè)備確保企業(yè)數(shù)據(jù)不會被竊取。