硬件信任根
受信任的平台模块 (TPM)
受信任的平台模块 (TPM) 技术旨在提供基于硬件的与安全性相关的功能。 TPM 为系统硬件、平台所有者和用户提供安全和隐私权益。 Windows Hello、BitLocker、System Guard和其他 Windows 功能依赖于 TPM 提供密钥生成、安全存储、加密、启动完整性度量和证明等功能。 这些功能反过来又有助于组织加强对其标识和数据的保护。 2.0 版 TPM 包括对较新算法的支持,这些算法提供了改进,例如支持更强大的加密。 若要升级到Windows 11,现有Windows 10设备在很大程度上满足 CPU、RAM、存储、固件、TPM 等的最低系统要求。 所有新的Windows 11设备都内置了 TPM 2.0。 使用 Windows 11,新设备和升级设备都必须具有 TPM 2.0。 此要求可增强所有Windows 11设备的安全态势,并有助于确保这些设备能够受益于未来依赖于硬件信任根的安全功能。
了解更多信息
Microsoft Pluton 安全处理器
Microsoft Pluton安全处理器是Microsoft与硅合作伙伴密切合作的结果。 Pluton 使用硬件安全处理器增强对Windows 11设备的保护,该处理器为加密密钥和其他机密提供额外保护。 Pluton 旨在通过将安全芯片直接集成到处理器中来减少攻击面。 它可以用作 TPM 2.0 或独立安全处理器。 当安全处理器位于主板上单独的离散芯片上时,硬件信任根和 CPU 之间的通信路径可能容易受到物理攻击。 将 Pluton 嵌入 CPU 会更难利用通信路径。
Pluton 支持 TPM 2.0 行业标准,使客户能够立即受益于依赖于 TPM 的 Windows 功能的增强安全性,包括 BitLocker、Windows Hello 和 System Guard。 Pluton 还可以支持 TPM 2.0 规范无法实现的其他安全功能。 这种扩展性允许通过Windows 更新随着时间的推移提供更多 Pluton 固件和 OS 功能。
与其他 TPM 一样,即使攻击者安装了恶意软件或实际拥有电脑,也无法轻松地从 Pluton 中提取凭据、加密密钥和其他敏感信息。 将敏感数据(如加密密钥)安全地存储在 Pluton 处理器中(与系统其余部分隔离)有助于确保攻击者无法访问敏感数据,即使攻击者使用推理执行等新兴技术也是如此。
Pluton 还解决了在整个电脑生态系统中使其自己的安全处理器固件保持最新的主要安全挑战。 目前,客户从不同的源接收安全固件更新,这可能使得很难获取有关安全更新的警报,并使系统处于易受攻击状态。 Pluton 为其固件提供了一个灵活的、可更新的平台,该平台实现了由Microsoft创作、维护和更新的端到端安全功能。 Pluton 与 Windows 更新 服务集成,受益于十多年来在跨 10 亿个终结点系统可靠地交付更新方面的运营经验。 Microsoft Pluton 可用于选择新的 Windows 电脑。
Pluton 旨在确保长期安全复原能力。 随着人工智能影响的威胁形势不断上升,内存安全将变得越来越重要。 为了满足这些需求,除了促进安全处理器固件的可靠更新外,我们还选择了开源 Tock 系统作为基于 Rust 的基础,以开发 Pluton 安全处理器固件,并积极为 Tock 社区做出贡献。 这种与开放社区的协作可确保严格的安全审查,并使用 Rust 可缓解内存安全威胁。
最终,Pluton 建立了 Copilot + PC 的安全骨干,这要归功于与我们的硅协作者和 OEM 的紧密合作关系。 Qualcomm Snapdragon X、AMD Ryzen AI 和 Intel Core Ultra 200V 移动处理器 (代号为 Lunar Lake) 处理器平台均将 Pluton 作为其安全子系统。
了解更多信息