网站搜索

什么是适用于 Windows 11 的安全核心 PC?

家用 PC 可能面临与商用机器截然不同的威胁,这就是 Microsoft 及其制造合作伙伴为企业开发 Secured-Core PC 的原因。但是,所有版本的 Windows 11 都包含其中的一些安全功能。让我们看一下 Secured-Core PC 与家用笔记本电脑的比较。

安全基线

Windows 11 上的安全性从保持安全的基础开始,Microsoft 称之为安全基线。这些基线可能因设备类型和行业特定威胁(例如网络安全或机密数据保护)而异。

“安全基线”一词专门针对 Windows Pro 机器,但大多数现代 PC(包括 Windows 11 家庭版设备)都使用一些基础知识来保持安全。一个例子是可信平台模块版本 2.0 (TPM 2.0),众所周知,微软开始要求 Windows 11 机器使用它。 TPM 是一种硬件级安全功能,它以安全的方式存储加密密钥以验证硬件和软件、启用 BitLocker 加密(如果可用)以及保护生物识别身份和其他数据。

下一个关键的基准功能是安全启动,它只允许签名(已知)的操作系统运行。这有助于防止可能感染系统的 rootkit 和其他讨厌的恶意软件。具有生物特征身份验证的 Windows Hello 也被认为是一个基本的基准。

最后,还有 BitLocker 驱动器加密,可在不使用时保护您的数据安全。 BitLocker 不适用于 Windows 11 家用电脑,但有些支持称为 Windows 设备加密的较轻版本。

那么什么是安全核心 PC?

Microsoft 及其合作伙伴将 Secured-Core PC 瞄准那些因其所在行业或职业而需要更高安全级别的人。例如,政府可能需要 Secured-Core PC 来处理高度特权的信息,银行也是如此,或拥有备受追捧的知识产权的企业,或在关键基础设施上工作的工程师。这些人可能面临高级威胁,包括针对他们的机器的针对性攻击和物理攻击,以窃取重要数据或身份验证数据。 Secured-Core 专注于广泛的潜在固件攻击,即使在擦除操作系统或更换组件后,这些攻击(如果成功)也可以保留在机器上。

那么使用 Secured Core 可以获得哪些额外的安全级别?一个例子是内存访问保护。当恶意设备通过 Thunderbolt、PCIe 或其他一些高速接口连接到 PC 以直接访问内存时,这可以防止直接内存访问 (DMA) 攻击。

它可以从那里运行恶意软件、尝试获取加密密钥或获得对系统的控制权。微软在 2020 年的 Microsoft Ignite 期间展示了如何做到这一点以及内存访问保护如何减轻这些攻击的示例。要使 DMA 攻击起作用,通常攻击者必须首先对易受攻击的设备进行物理访问。显然,我们大多数人不必担心企业间谍会潜入我们的酒店房间来窃取我们的笔记本电脑。然而,公司和政府确实如此。

Secured Core PC 的另一个功能是基于虚拟化的安全性 (VBS) 和 Hypervisor 代码完整性,其主要吸引力在于内存完整性,这是 Windows 11 家庭版中的一项可选安全功能。在 Secured-Core PC 上,这是默认启用的,较新的预装 PC 和装有 Windows 11 家庭版的笔记本电脑也可能会激活它。但是,升级到 Windows 11 的旧系统通常不会。

为了防止恶意破坏您的系统,Memory Integrity 在虚拟环境中运行关键进程,将它们与系统隔离开来,并减少恶意攻击的机会。然而,为此,它使用了 PC 的虚拟化功能。

这意味着如果您通过 VirtualBox 等程序运行虚拟机,或者如果您尝试使用 Ryzen Master 等程序对系统超频,您可能会遇到麻烦。通常情况下,内存完整性不会很好地处理这些程序。如果您遇到问题,您将不得不启动到安全模式以关闭内存完整性,或者甚至在蓝屏死机出现在您的显示器上之前争先恐后地打开 Windows 安全并关闭该功能。

如果您的硬件较旧且驱动程序已过时,内存完整性也不会运行。好消息是,如果您确实遇到驱动程序问题,Windows 会提醒您注意该问题,并且在问题解决之前不允许您激活内存完整性。

在所有这些警告之后,如果您想尝试在升级后的 Windows 11 家用电脑上打开内存完整性,请单击开始 > 所有应用 > Windows 安全,打开 Windows 安全应用。

在左侧栏中选择 Device Security,然后在出现在 Core Isolation 下的页面上选择链接“Core Isolation Details”。

最后,在 Memory Integrity 下将滑块从 Off 切换到 On。

Windows 11 然后会要求您重新启动计算机。在那之后,愿命运与你同在。

Secured Core 的另外两个主要功能是 System Guard 和动态信任度量根 (DRTM)。这两个功能协同工作以确保系统在启动和运行期间保持安全。

System Guard 专注于在启动时保护计算机系统的完整性,然后通过远程和本地的验证方法确保系统处于良好状态。这包括 IT 部门能够使用 TPM 2.0 在设备上存储和保护的数据远程分析系统启动过程的结果。

DRTM 是 System Guard 的一部分。它允许系统在不受信任的状态下启动(从 Windows 的角度来看),以克服必须在阳光下验证主板 BIOS 的每个可能变体并将其列入白名单的问题。然后在启动过程开始后不久,DRTM 确保所有系统 CPU 通过已知且受信任的路径来启动和运行系统。

要阅读有关 System Guard 和 DRTM 的更多技术细节,请查看 Microsoft 的在线文档。

开始裸机

基本上,Secured-Core PC 是为了对抗试图在操作系统加载之前潜入恶意软件的高级威胁。对于拥有与能源安全或极其宝贵的知识产权相关的关键数据的 PC 而言,这是一项关键功能。

Windows 家庭 PC 可以使用其中一些功能或类似功能,如果您购买新 PC,其中许多功能将默认激活。如果您构建了系统或从 Windows 10 升级,它们通常不会被激活,但您可以打开它们。安全启动是一个明智的选择,但应谨慎对待内存完整性,尤其是在较旧的机器上。

您可以在 Microsoft 网站上查看可用的 Secured-Core PC 列表。