Аппаратный корень доверия

• Применяется к:

  Windows 11

Доверенный платформенный модуль (TPM)

Технология доверенных платформенных модулей (TPM) предназначена для предоставления аппаратных функций, связанных с безопасностью. TTPM обеспечивают преимущества безопасности и конфиденциальности для системного оборудования, владельцев платформ и пользователей. Windows Hello, BitLocker, System Guard и другие функции Windows используют TPM для таких возможностей, как создание ключей, безопасное хранилище, шифрование, измерения целостности загрузки и аттестация. Эти возможности, в свою очередь, помогают организациям усилить защиту своих удостоверений и данных. Версия TPM версии 2.0 включает поддержку новых алгоритмов, которая обеспечивает такие улучшения, как поддержка более надежного шифрования. Чтобы выполнить обновление до Windows 11, существующие Windows 10 устройства в значительной степени соответствуют минимальным системным требованиям к ЦП, ОЗУ, хранилищу, встроенному ПО, TPM и т. д. Все новые Windows 11 устройства поставляются со встроенным TPM 2.0. При использовании Windows 11 новые и обновленные устройства должны иметь TPM 2.0. Это требование повышает уровень безопасности на всех Windows 11 устройствах и помогает гарантировать, что эти устройства могут воспользоваться преимуществами будущих возможностей безопасности, которые зависят от аппаратного корня доверия.

Подробнее

• Спецификации TPM Windows 11
• Включение TPM 2.0 на компьютере
• Обзор технологии доверенного платформенного модуля

Обработчик безопасности Microsoft Pluton

Процессор безопасности Microsoft Pluton является результатом тесного сотрудничества Корпорации Майкрософт с партнерами по кремнию. Pluton повышает защиту Windows 11 устройств с помощью аппаратного процессора безопасности, который обеспечивает дополнительную защиту криптографических ключей и других секретов. Pluton предназначен для уменьшения уязвимой области путем интеграции микросхемы безопасности непосредственно в процессор. Его можно использовать как TPM 2.0 или как автономный процессор безопасности. Если процессор безопасности находится на отдельной дискретной микросхеме на системной плате, путь связи между аппаратным корневым сервером доверия и ЦП может быть уязвим для физической атаки. Внедрение Pluton в ЦП затрудняет использование пути связи.

Pluton поддерживает отраслевой стандарт TPM 2.0, позволяя клиентам немедленно воспользоваться преимуществами повышенной безопасности для функций Windows, использующих TTPM, включая BitLocker, Windows Hello и System Guard. Pluton также может поддерживать другие функции безопасности, помимо возможностей спецификации TPM 2.0. Эта расширяемость позволяет предоставлять больше встроенного ПО Pluton и функций ОС с течением времени через клиентский компонент Центра обновления Windows.

Как и в случае с другими TTPM, учетные данные, ключи шифрования и другую конфиденциальную информацию невозможно извлечь из Pluton, даже если злоумышленник установил вредоносную программу или физически владеет компьютером. Безопасное хранение конфиденциальных данных, таких как ключи шифрования, в процессоре Pluton, который изолирован от остальной части системы, помогает гарантировать, что злоумышленники не смогут получить доступ к конфиденциальным данным, даже если злоумышленники используют новые методы, такие как спекулятивное выполнение.

Pluton также решает основную проблему безопасности, так как обновление встроенного ПО собственного процессора безопасности во всей экосистеме ПК. Сегодня клиенты получают обновления встроенного ПО системы безопасности из разных источников, что может затруднить получение оповещений об обновлениях системы безопасности и поддержание систем в уязвимом состоянии. Pluton предоставляет гибкую обновляемую платформу для встроенного ПО, которая реализует комплексные функции безопасности, созданные, поддерживаемые и обновленные корпорацией Майкрософт. Pluton интегрирована со службой клиентский компонент Центра обновления Windows, благодаря более чем десятилетнему опыту работы в надежной доставке обновлений в более чем миллиарде систем конечных точек. Microsoft Pluton доступен на отдельных новых компьютерах с Windows.

Компания Pluton стремится обеспечить долгосрочную устойчивость к безопасности. С ростом ландшафта угроз под влиянием искусственного интеллекта безопасность памяти станет все более важной. Чтобы удовлетворить эти требования, в дополнение к обеспечению надежных обновлений встроенного ПО процессора безопасности, мы выбрали систему Tock с открытым кодом в качестве основы на основе Rust для разработки встроенного ПО процессора безопасности Pluton и активного участия в сообществе Tock. Это сотрудничество с открытым сообществом обеспечивает тщательный контроль безопасности, а использование Rust устраняет угрозы безопасности памяти.

В конечном счете, Pluton создает основу безопасности для Copilot + PC, благодаря тесным партнерским отношениям с нашими кремниевыми партнерами и изготовителями оборудования. Платформы процессоров Qualcomm Snapdragon X, AMD Ryzen AI и Intel Core Ultra 200V (под кодовым названием Lunar Lake) включают Pluton в качестве подсистемы безопасности.

Подробнее

• Процессор Microsoft Pluton — микросхема безопасности, предназначенная для будущего компьютеров с Windows
• Обработчик безопасности Microsoft Pluton