Microsoft Pluton-Sicherheitsprozessor
Der Microsoft Pluton-Sicherheitsprozessor ist eine Chip-zu-Cloud-Sicherheitstechnologie, die auf Zero Trust-Prinzipien basiert. Microsoft Pluton bietet hardwarebasierte Vertrauensstellungen, sichere Identitäten, sichere Nachweise und Kryptografiedienste. Die Pluton-Technologie ist eine Kombination aus einem sicheren Subsystem, das Teil des System on Chip (SoC) ist, und der von Microsoft erstellten Software, die auf diesem integrierten sicheren Subsystem ausgeführt wird.
Microsoft Pluton ist derzeit auf Geräten mit AMD Ryzen® 6000, 7000, 8000, Ryzen AI und Qualcomm Snapdragon® 8cx Gen 3 und Snapdragon X Serie verfügbar. Microsoft Pluton kann auf Geräten mit Pluton-fähigen Prozessoren unter Windows 11, Version 22H2 und höher, aktiviert werden.
Was ist Microsoft Pluton?
Microsoft Pluton wurde von Microsoft entwickelt und von Silicon-Partnern entwickelt und ist ein sicherer Kryptografieprozessor, der in die CPU integriert ist, um die Codeintegrität und den neuesten Schutz mit Updates sicherzustellen, die von Microsoft über Windows Update bereitgestellt werden. Pluton schützt Anmeldeinformationen, Identitäten, personenbezogene Daten und Verschlüsselungsschlüssel. Informationen sind erheblich schwieriger zu entfernen, selbst wenn ein Angreifer Schadsoftware installiert oder den PC vollständig physisch besitzt.
Microsoft Pluton wurde entwickelt, um die Funktionalität des Trusted Platform Module (TPM) bereitzustellen und andere Sicherheitsfunktionen bereitzustellen, die über das hinausgehen, was mit der TPM 2.0-Spezifikation möglich ist, und ermöglicht die Bereitstellung anderer Pluton-Firmware- und Betriebssystemfeatures im Laufe der Zeit über Windows Update. Weitere Informationen finden Sie unter Microsoft Pluton als TPM.
Pluton basiert auf bewährter Technologie, die in Xbox und Azure Sphere verwendet wird, und bietet in Zusammenarbeit mit führenden Siliziumpartnern gehärtete integrierte Sicherheitsfunktionen für Windows 11-Geräte. Weitere Informationen finden Sie unter Meet the Microsoft Pluton processor – The security chip designed for the future of Windows PCs( Meet the Microsoft Pluton processor – The security chip designed for the future of Windows PCs).
Wie kann Pluton Kunden helfen?
Pluton wurde mit dem Ziel entwickelt, Kunden bessere End-to-End-Sicherheitserfahrungen zu bieten. Dazu werden drei Dinge ausgeführt:
- Zero-Trust-Sicherheit und Zuverlässigkeit: Kundensicherheitsszenarien umfassen häufig Geräte und Clouddienste. Windows-PCs und -Dienste wie Microsoft Entra und Intune müssen harmonisch zusammenarbeiten, um reibungslose Sicherheit zu gewährleisten. Pluton wurde in enger Zusammenarbeit mit Microsoft-Teams entworfen, erstellt und gewartet, um sicherzustellen, dass Kunden sowohl hohe Sicherheit als auch Zuverlässigkeit erhalten.
- Innovation: Die Pluton-Plattform und die von ihr bereitgestellte Funktionalität werden durch Kundenfeedback und die Threat Intelligence von Microsoft informiert. Als Beispiel werden Pluton-Plattformen in AMD- und Intel-Systemen von 2024 beginnen, eine Rust-basierte Firmware-Grundlage zu verwenden, da die Speichersicherheit wichtig ist.
- Kontinuierliche Verbesserung: Die Pluton-Plattform unterstützt das Laden neuer Firmware, die über Betriebssystemupdates bereitgestellt wird. Diese Funktionalität wird zusammen mit dem typischen Mechanismus von UEFI-Kapselupdates unterstützt, die die Pluton-Firmware aktualisieren, die sich im SPI-Flash des Systems befindet und während des frühen Systemstarts geladen wird. Die zusätzliche Unterstützung für das dynamische Laden gültiger neuer Pluton-Firmware durch Betriebssystemupdates ermöglicht kontinuierliche Verbesserungen sowohl für Fehlerbehebungen als auch für neue Features.
Ein praktisches Beispiel: Zero-Trust-Sicherheit mit gerätebasierten Richtlinien für bedingten Zugriff
Ein zunehmend wichtiger Zero-Trust-Workflow ist der bedingte Zugriff, der den Zugriff auf Ressourcen wie SharePoint-Dokumente basierend auf der Überprüfung, ob Anforderungen von einer gültigen, fehlerfreien Quelle stammen, gating the access to gating access to resources like SharePoint documents based on verifying whether requests are coming from a valid, healthy source. Microsoft Intune unterstützt beispielsweise verschiedene Workflows für bedingten Zugriff, einschließlich gerätebasierten bedingten Zugriff , mit dem Organisationen Richtlinien festlegen können, die sicherstellen, dass verwaltete Geräte fehlerfrei und konform sind, bevor sie Zugriff auf die Apps und Dienste der Organisation gewähren.
Um sicherzustellen, dass Intune im Rahmen der Erzwingung dieser Richtlinien ein genaues Bild über die Integrität des Geräts erhält, verfügt es idealerweise über manipulationssichere Protokolle zum Status der relevanten Sicherheitsfunktionen. Hier ist die Hardwaresicherheit von entscheidender Bedeutung, da jede auf dem Gerät ausgeführte Schadsoftware versuchen könnte, falsche Signale an den Dienst zu senden. Einer der Hauptvorteile einer Hardwaresicherheitstechnologie wie tpm ist, dass sie über ein manipulationssicheres Protokoll des Zustands des Systems verfügt. Dienste können kryptografisch überprüfen, ob Protokolle und der zugehörige Systemstatus, die vom TPM gemeldet werden, tatsächlich vom TPM stammen.
Damit das End-to-End-Szenario wirklich erfolgreich im großen Stil ist, reicht die hardwarebasierte Sicherheit nicht aus. Da der Zugriff auf Unternehmensressourcen basierend auf Sicherheitseinstellungen, die von den TPM-Protokollen gemeldet werden, abgegrenzt wird, ist es wichtig, dass diese Protokolle zuverlässig verfügbar sind. Zero-Trust-Sicherheit erfordert im Wesentlichen eine hohe Zuverlässigkeit.
Wenn Pluton als TPM für das System konfiguriert ist, profitieren Kunden, die den bedingten Zugriff verwenden, von den Vorteilen der Pluton-Sicherheitsarchitektur und -implementierung mit der Zuverlässigkeit, die sich aus der engen Integration und Zusammenarbeit zwischen Pluton und anderen Microsoft-Komponenten und -Diensten ergibt.
Übersicht über die Microsoft Pluton-Sicherheitsarchitektur
Das Pluton Security-Subsystem besteht aus den folgenden Ebenen:
Beschreibung | |
---|---|
Hardware | Der Pluton-Sicherheitsprozessor ist ein sicheres Element, das eng in das SoC-Subsystem integriert ist. Es stellt eine vertrauenswürdige Ausführungsumgebung bereit, während Kryptografiedienste bereitgestellt werden, die zum Schutz vertraulicher Ressourcen und kritischer Elemente wie Schlüssel, Daten usw. erforderlich sind. |
Firmware | Von Microsoft autorisierte Firmware bietet erforderliche sichere Features und Funktionen und macht Schnittstellen verfügbar, die Betriebssystemsoftware und -anwendungen für die Interaktion mit Pluton verwenden können. Die Firmware wird im Flashspeicher gespeichert, der auf der Hauptplatine verfügbar ist. Wenn das System gestartet wird, wird die Firmware als Teil der Pluton-Hardwareinitialisierung geladen. Während des Windows-Starts wird eine Kopie dieser Firmware (oder der neuesten Firmware, die von Windows Update abgerufen wurde, falls verfügbar) in das Betriebssystem geladen. Weitere Informationen finden Sie unter Firmwareladeflow. |
Software | Betriebssystemtreiber und -anwendungen, die einem Endbenutzer zur Verfügung stehen, um die nahtlose Nutzung der Hardwarefunktionen zu ermöglichen, die vom Pluton-Sicherheitssubsystem bereitgestellt werden. |
Firmwareladeflow
Wenn das System gestartet wird, erfolgt die Pluton-Hardwareinitialisierung durch Laden der Pluton-Firmware aus dem SPI-Flashspeicher (Serial Peripheral Interface), der auf der Hauptplatine verfügbar ist. Während des Windows-Starts wird jedoch die neueste Version der Pluton-Firmware vom Betriebssystem verwendet. Wenn neuere Firmware nicht verfügbar ist, verwendet Windows die Firmware, die während der Hardwareinitialisierung geladen wurde. Dieses Diagramm veranschaulicht diesen Prozess:
Windows-Edition und Lizenzierungsanforderungen
In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die Microsoft Pluton unterstützen:
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
Ja | Ja | Ja | Ja |
Microsoft Pluton-Lizenzberechtigungen werden von den folgenden Lizenzen gewährt:
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
Ja | Ja | Ja | Ja | Ja |
Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.