近日微軟宣布推出具有集成的硬件，固件，軟件和身份保護(hù)功能的安全核心PC，這將是目前最安全的Windows 10設(shè)備，Windows OEM產(chǎn)品必須滿足微軟列出的嚴(yán)格安全要求才能獲得此認(rèn)證。這些新型安全核心PC面向數(shù)據(jù)敏感度最高的行業(yè)用戶，例如政府，金融服務(wù)和醫(yī)療保健單位當(dāng)中的工作人員。


 

安全核心PC主要特色在于，它們使用現(xiàn)代CPU中基于硬件的安全性，將系統(tǒng)啟動(dòng)到受信任狀態(tài)，從而防止高級(jí)惡意軟件篡改系統(tǒng)，并在固件級(jí)別進(jìn)行攻擊。一旦安全地啟動(dòng)了CPU，操作系統(tǒng)就可以接手控制。管理程序強(qiáng)制的代碼完整性，可確保操作系統(tǒng)內(nèi)核中所有代碼都是可信任的。
 

1.受保護(hù)的安全核心設(shè)備使用現(xiàn)代處理器中基于硬件的安全性將系統(tǒng)啟用到受信狀態(tài)防止基于固件層面的攻擊等。

2.只要處理器被啟動(dòng)操作系統(tǒng)就可以直接控制，系統(tǒng)管理程序強(qiáng)制執(zhí)行數(shù)據(jù)完整性驗(yàn)證確保內(nèi)核代碼未遭到篡改。

3.用戶均需要使用 Windows Hello 生物驗(yàn)證登錄 , 第二代身份驗(yàn)證系統(tǒng)確保在安全環(huán)境中隔離用戶以及憑據(jù)等。

4.融合安全啟動(dòng)、TPM 2.0可信認(rèn)證模塊、內(nèi)核代碼保護(hù)以及操作系統(tǒng)層面的系統(tǒng)防護(hù)確保所有代碼簽名并驗(yàn)證。

然后，用戶使用WindowsHello安全登錄。雙重憑據(jù)保護(hù)功能，確保用戶身份，同時(shí)在安全的VBS環(huán)境中隔離和保護(hù)域憑據(jù)。各種Windows OEM廠商，包括包括戴爾，dynabook，惠普，聯(lián)想，松下，Dynabook和Surface，都將提供安全核心PC。
 

微軟推出此類設(shè)備的目的：

微軟在博客中表示當(dāng)前高級(jí)別的黑客攻擊不僅僅基于軟件，而是試圖直接攻擊固件讓操作系統(tǒng)啟動(dòng)時(shí)便遭到監(jiān)視。

從固件層面攻擊能夠讓攻擊者具有更高級(jí)別的權(quán)限執(zhí)行更多惡意操作，同時(shí)還可以破壞安全機(jī)制讓用戶無(wú)法發(fā)掘。

由于端點(diǎn)保護(hù)和檢測(cè)解決方案都是在操作系統(tǒng)上運(yùn)行的，因此基于固件層面的攻擊讓這些安全防御機(jī)制不再有效。

如何確保高度機(jī)密行業(yè)的數(shù)據(jù)安全是微軟非常重視的內(nèi)容，所以微軟推出安全核心設(shè)備確保企業(yè)數(shù)據(jù)不會(huì)被竊取。