Surface 安全性概述

随着网络威胁的发展,打击网络威胁的战略也必须发展。 Microsoft Surface 采用主动的“零信任”方法来应对新出现的威胁,方法是默认在每个级别(从硬件到云服务,从产品概念到停用)嵌入高级安全功能,确保 Surface 设备在整个生命周期内保持高度安全、适应性和复原能力。

芯片到云的安全性是 Surface 策略的核心。 我们默认启用强大的Windows 11安全功能,提供强大的平台保护。 当我们走向支持 AI 的未来时,Surface 通过内置保护的基础帮助组织加强其跨硬件、OS、数据、应用和标识的安全态势。

受保护的 Surface 供应链

为了帮助确保 Surface 设备“在设计上是安全的,默认情况下是安全的,在部署中是安全的”,Microsoft在整个产品生命周期中应用严格的安全控制措施。 这些控件涵盖物理硬件和软件组件。 Surface 设备从概念开始接受严格的安全审查,从设计、开发、生产、交付和维护到整个阶段。 这些全面的安全评审在整个设备生命周期中都支持无缝的信任链。

在制造级别,Microsoft定期进行供应商审核,以防止勒索软件、网络钓鱼和恶意软件等潜在威胁。 此外,Surface 设备还受益于 海关-贸易反恐伙伴关系 (C-TPAT) 运输资产保护协会 (TAPA) 安全计划,进一步保护全球贸易,并支持全球运输 Surface 设备的安全物流。

对于软件,Microsoft (SDL) 开发了安全开发生命周期 ,并在所有产品中应用了此框架,以主动适应不断变化的威胁形势和法规要求,例如 美国行政命令 14028 (“改善国家网络安全”) 。 此外,Microsoft及其供应商必须对软件组件进行数字签名,使用安全通道和协议进行通信,并为 Surface 设备提供及时且定期的更新,以解决任何潜在问题。 最后,Surface UEFI 开发与 Microsoft 的开源 Project Mu 合作,为每个 Surface 设备提供完全 Microsoft拥有的统一可扩展固件接口 (UEFI) 堆栈 ,从而减少对非Microsoft固件提供商的依赖,为设备的最低和最敏感级别提供透明度和保护。

通过拥有硬件设计和固件开发,Microsoft将供应链风险降到最低,允许对任何潜在漏洞做出快速响应。 通过这些主动做法,Surface 设备旨在满足数字和物理供应链安全性的最高标准。 这种统一的内部方法增强了 Surface 设备在出厂前的安全性。

Microsoft设计 & 生成组件

Microsoft设计和维护 Surface 设备,以在任何工作环境中为客户提供全面控制、主动保护和安心。 Surface 设备配备了Microsoft领先的安全功能,可保护你免受复杂的攻击并简化设备管理。

内置 Surface 安全性

从按下电源按钮到关闭设备的那一刻起,Surface 在其生命周期的每个阶段都提供先进的内置安全性。

每个运行Windows 11现成的 Surface 设备都使用受信任的平台模块 (TPM) 2.0,通过防止篡改和管理用于各种安全操作的加密密钥来帮助确保平台完整性。 TPM 支持 硬件信任根,这是一个专用模块,可帮助创建基于硬件的安全边界,以确保设备在受信任状态下启动。 TPM 和信任根共同充当集成加密和安全操作的安全定位点,为 BitLocker基于虚拟化的安全 (VBS) 内存完整性/HVCI、增强 Sign-In 安全性 (ESS) Windows Hello 企业版以及其他安全操作奠定了安全基础。

通过 VBS 和 HVCI 分别提供的虚拟化和完整性检查,设备的内核与 安全内核的操作系统分开托管,这意味着即使操作系统遭到入侵,内核仍受到保护。 此外 ,内核 DMA 保护 通过保护内核免受外部外围设备对内存进行未经授权的访问,帮助保护设备内存免受直接内存访问 (DMA) 驱动器攻击。

为了在开机时支持设备启动的完整性,安全启动使用设备的信任根来防止未经授权的固件在启动时运行。 通过 Microsoft构建的 UEFITPM 2.0 启用,它有助于确保在 OS 加载之前仅运行经过授权的固件。 此固件必须源自Microsoft、其独立硬件供应商 (IHV) 或批准的开源存储库,并在传输和预配到设备期间保持未修改状态。 此过程在启动序列的每个阶段(从按下电源按钮到启动 OS)保护固件的完整性。 作为System Guard安全启动的一部分,Surface 设备还使用动态信任度量根 (DRTM) 固件攻击面减少 (FASR) 保护启动,这两者都建立了基于硬件的信任根,旨在确保启动过程的完整性并防范固件级攻击。

其中许多现成的安全功能构成了 安全核心电脑 (SCPC) 的基础,它集成了硬件、固件和虚拟化,以保护设备免受各种威胁,包括恶意软件、物理拥有问题 ((如丢失或被盗) )以及访问攻击。 SCPC 有助于保护数据,即使设备遭到入侵。

自 2021 年底以来,每台运行 Windows 11 的 Surface 设备都是一台 Secured-Core 电脑,并启用了开箱即用的最高保护级别。 以下安全功能是默认为所有 SCPC Surface 设备启用的这些功能的子集:

功能 Description 了解更多信息
受信任的平台模块 (TPM) 2.0 一个安全的加密处理器,通过提供安全机制来防止篡改,并为解锁系统驱动器、磁盘加密、测量启动过程和生物识别身份验证等功能生成和管理加密密钥,以确保平台完整性。 受信任的平台模块技术概述
硬件信任根 通过应用设备的 TPM 和信任根度量功能来缓解固件漏洞,帮助建立受信任的启动状态。 它创建基于硬件的安全边界,将系统内存与 OS 隔离,以保护关键服务和敏感数据免受 OS 漏洞的伤害,并通过证明支持系统完整性。 硬件信任根
BitLocker 提供加密,以解决因设备丢失、被盗或未充分解除授权的设备导致的数据被盗或数据泄露的威胁。 启用后,BitLocker 可帮助确保即使设备落入未经授权的手中,数据仍不可访问。 BitLocker 概述
基于虚拟化的安全性 (VBS) 使用硬件虚拟化创建安全内存区域并将其与常规操作系统隔离。 Windows 可以使用此“虚拟安全模式”来托管许多安全解决方案,以保护安全操作免受操作系统中任何潜在漏洞或攻击的危害。 基于虚拟化的安全性 (VBS)
内存完整性

也称为 虚拟机监控程序强制实施的代码完整性 (HVCI)
帮助维护内核中的代码完整性,内核是操作系统的一个高特权区域。 在执行之前,它会检查所有内核模式驱动程序和二进制文件,并阻止未签名的驱动程序或系统文件加载到内存中。 在独立环境中运行,它根据内核签名策略验证内核代码完整性。 启用基于虚拟化的代码完整性保护
增强 Sign-In 安全性 (ESS) 使用 VBS 和 TPM 2.0 进行隔离和安全的生物识别通信进行身份验证,以启用生物识别无密码登录Windows Hello。 Windows Hello 增强的登录安全性
Windows Hello 企业版 允许使用基于安全生物识别的双重身份验证进行无密码登录, (与企业标识绑定的 ESS) 或 PIN 和特定于设备的凭据。 这种身份验证方法为用户提供了提升的安全性和便利性。 Windows Hello 企业版的工作原理
受保护的内核 在虚拟化环境中运行,通过确保所有代码完整性策略检查都通过来保护 Windows OS。 将 VBS 和 HVCI 用于隔离环境,以保护内核免受潜在 OS 漏洞的危害。 受保护的内核
内核 DMA 保护 防止外部外围设备未经授权访问内存。 帮助防范驱动器 DMA 攻击。 内核 DMA 保护
Microsoft生成的 UEFI 用于配置设备和启动由 Microsoft 和 Surface 共同开发的 OS 的固件。 提供固件运行时服务,并且具有Microsoft Intune,通过基于云的或本地管理显著提高了对硬件的控制。 Surface UEFI:在启动、安全 & 设备管理方面的演变,以构建行业领先的安全电脑



管理 Surface UEFI 设置
安全启动 在传递到下一启动阶段之前,通过检查每个启动软件的签名,确保设备仅启动受信任的软件。 此过程在 UEFI、引导加载程序、内核和应用程序环境之间建立签名强制转换,以阻止恶意软件攻击或启动序列中的其他潜在威胁。 安全启动
动态信任根度量 (DRTM) 通过在运行时期间强制 CPU 关闭已知且测量的代码路径,使动态建立的硬件信任根,以支持系统完整性,将设备从不受信任的启动到受信任状态。 强制固件代码在Windows 10上通过安全启动进行测量和证明
固件攻击面减少 (FASR) 建立经过认证的启动路径,通过限制固件环境中的可执行代码,将固件受到潜在攻击的可能性降到最低。 固件攻击面减少 (FASR)

Surface 商业安全优势

远程管理

IT 管理员可以远程管理 Surface 设备。 使用 IntuneWindows Autopilot 的 Microsoft Intune 管理中心可以从 Azure 云对 Surface 设备进行完全远程管理,并在启动时向用户提供完全配置的设备。 擦除和停用功能使 IT 能够快速为新的远程用户重新调整设备用途,或者擦除被盗的设备。 这些功能可实现快速且安全的响应,允许远程删除所有公司数据,并将 Surface 重新配置为全新的设备。

作为Microsoft Intune的一部分,设备固件配置接口 (DFCI) 允许对固件设置进行基于云的管理,包括远程禁用硬件和锁定 UEFI 设置。 作为类似的替代方法, Surface Enterprise Management Mode (SEMM) 是另一种管理解决方案,用于保护和管理组织中的固件设置。

响应式安全性

在快速发展的数字时代,快速、主动地做出反应的能力至关重要。 Microsoft Defender for Endpoint提供 AI 驱动的实时保护,防止高级威胁,帮助保护敏感数据和通信。 组织通过使用Microsoft维护的固件和 OS 应用程序堆栈,受益于 Windows 更新 for Business 的强大功能。 此服务使系统与最新的安全保护保持最新,并允许 IT 管理已委托的设备。

功能 Description 了解更多信息
Microsoft Intune 基于云的终结点管理解决方案,可帮助组织管理用户访问、应用和设备,确保安全访问公司资源。 它通过强制实施设备合规性、与防御服务集成以及保护标识和应用数据,支持零信任安全模型。 Microsoft Intune安全地管理标识、管理应用和管理设备
Windows Autopilot 支持对新设备进行基于云的设置和预配置,以便为它们做好高效使用准备,并将 IT 管理员的压力降到最低。 它还可用于重置、重新调整设备用途或恢复设备,以简化 Windows 设备生命周期。 Windows Autopilot 概述
设备固件配置接口 (DFCI) 允许在 Windows Autopilot 中注册并通过Microsoft Intune管理的设备上远程管理 UEFI 设置。 它支持远程控制固件设置、禁用硬件组件,并强制实施授权配置来增强设备安全性。 在 Surface 设备上管理 DFCI
Surface 企业管理模式 (SEMM) 支持跨本地、混合和云环境集中管理 UEFI 固件设置的企业管理。 允许 IT 管理员准备 UEFI 配置设置并将其安装在 Surface 设备上。 Surface Enterprise 管理模式入门
Microsoft Defender for Endpoint 用于检测、防止和响应复杂威胁的企业级安全平台。 为受管理的 Surface 设备提供可靠的 AI 驱动终结点安全性。 Microsoft Defender for Endpoint
适用于企业的 Windows 更新 使 IT 管理员能够通过将这些系统直接连接到Windows 更新服务,使其组织的 Windows 客户端设备始终使用最新的安全更新和 Windows 功能。 什么是适用于企业的 Windows 更新?

缩放安全性

随着威胁形势的发展,Surface 开始在所选设备中采用更多安全功能。 这些功能尚未在整个 Surface 产品组合中集成,但在未来几年内将跨不同的产品线进行扩展。 下面是一些特定于产品的安全功能:

功能 Description 了解更多信息
内存安全扩展 编程语言 Rust 可确保某些内存安全保证,与传统的 C 代码相比,可以减少高达 70% 的漏洞。 Surface 软件和固件中的目标组件正在转换为 Rust,从 UEFI 和微控制器单元 (MCU) 堆栈的部分开始,以及为 Rust 驱动程序开发创建驱动程序框架。 通过 Project Mu 对 UEFI 开发的 Rust 支持



开源 Rust 驱动程序开发平台
Microsoft Pluton 安全处理器 Microsoft Pluton 安全处理器是内置于 CPU 中的安全加密处理器,以确保设备核心的安全性。 Microsoft Pluton 安全处理器
Microsoft Pluton TPM Microsoft Pluton 支持 TPM 2.0 作为硅信任根,以保护敏感信息和加密密钥。 它还支持通过 Windows 汇报引入安全增强功能。 Microsoft Pluton 作为受信任的平台模块
Copilot+ PC 具有内置神经处理单元的电脑 (NPU) ,可加速人工智能 (AI) 体验和设备中的操作。 详细了解 Surface 中的 Copilot+ 电脑和Windows 11电脑

虽然这些安全功能会进行缩放,但更多的 Surface 设备会将其作为默认集成到其产品中。 例如, Copilot+ 电脑、具有内置神经处理单元的新 Windows 电脑 (NPU) ,可加速人工智能 (AI) 设备中的体验和操作,除了本页中所述的完整 Surface 安全功能套件外,还包含默认启用的 Microsoft Pluton 处理器。

参考

FASR 功能仅适用于 Intel 设计的 Surface 产品。 FASR 不适用于使用 Qualcomm (QC) 或 AMD 处理器设计的 Surface 产品。