閱讀英文

共用方式為


Surface 安全性概觀

隨著網路威脅的發展,對抗威脅的策略也必須不斷演進。 Microsoft Surface 採用主動式的「零信任」方法,透過預設在每個層級內嵌進階安全性功能來解決新興威脅,從硬體到雲端服務、從產品期望到解除委任—確保 Surface 裝置在整個生命週期中保持高度安全、可調適且具復原性。

晶片到雲端安全性是 Surface 策略的核心。 我們預設會提供強大的平台保護,並啟用強大的 Windows 11 安全性功能。 隨著我們邁向啟用 AI 的未來,Surface 可協助組織以內建保護的基礎,在硬體、OS、數據、應用程式和身分識別之間強化其安全性狀態。

受保護的 Surface 供應鏈

為了協助確保 Surface 裝置「依設計安全、預設安全且在部署中安全」,Microsoft在整個產品生命週期中套用嚴格的安全性控制。 這些控制件涵蓋實體硬體和軟體元件。 Surface 裝置會經歷嚴格的安全性檢閱,從韌體、進行設計、開發、生產、傳遞和維護開始。 這些完整的安全性檢閱支援整個裝置生命週期中順暢的信任鏈結。

在製造層級,Microsoft定期執行供應商稽核,以防止勒索軟體、網路釣魚和惡意代碼等潛在威脅。 此外,Surface 裝置也受益於 針對 (C-TPAT) 與傳輸 資產保護關聯 (TAPA) 安全性計劃,進一步保護全球交易,並支援全球貨運 Surface 裝置的安全物流。

針對軟體,Microsoft開發 安全開發生命週期 (SDL) ,並在所有產品上套用此架構,以主動適應不斷變化的威脅環境和法規需求,例如 美國第 14028 (「改善美國的網路安全性」) 。 此外,Microsoft及其供應商必須以數位方式簽署軟體元件、使用安全通道和通訊協議進行通訊,以及提供及時且定期的 Surface 裝置更新,以解決任何潛在的問題。 最後,Surface UEFI 開發合作夥伴與Microsoft的開放原始碼 Project Mu 合作,為每個 Surface 裝置提供完全 Microsoft擁有的整合可擴展固件介面 (UEFI) 堆棧 ,這可減少對非Microsoft韌體提供者的依賴,為裝置最低且最敏感層級提供透明度和保護。

藉由同時擁有硬體設計和韌體開發,Microsoft將供應鏈風險降至最低,以允許提示回應任何潛在的弱點。 透過這些主動式做法,Surface 裝置的設計目的是要符合數位和實體供應鏈安全性的最高標準。 這種整合的內部方法可增強 Surface 裝置在離開處理站之前的安全性。

Microsoft設計 & 建置的元件

Microsoft設計和維護 Surface 裝置,以在任何工作環境中為客戶提供全面的控制、主動式保護和安心。 Surface 裝置配備Microsoft的領先安全性功能,可保護您免於遭受複雜的攻擊,並簡化裝置管理。

內建 Surface 安全性

從您按下電源按鈕到關閉裝置的時間,Surface 在其生命週期的每個階段都提供領先邊緣的內建安全性。

每個 Windows 11 執行的 Surface 裝置都會使用信賴平臺模組 (TPM) 2.0,藉由防止竄改和管理各種安全作業的密碼編譯密鑰,來協助確保平臺完整性。 TPM 支援 硬體信任根目錄,這是一個專用模組,可協助建立硬體型安全性界限,以確保裝置以受信任的狀態開機。 TPM 和信任根目錄會一起作為整合式加密和安全作業的安全錨點,建立 BitLocker 的安全性基礎、虛擬式安全性 (VBS) 記憶體完整性/HVCI、增強 Sign-In 安全性 (適用於 Windows Hello 企業版 的 ESS) ,以及其他安全作業。

透過 VBS 和 HVCI 分別提供的虛擬化和完整性檢查,裝置的核心會與 安全核心的作業系統分開裝載,這表示即使操作系統遭到入侵,核心仍會受到保護。 此外 ,核心 DMA 保護 可保護裝置記憶體免於直接記憶體存取, (DMA) 磁碟驅動器式攻擊,方法是保護核心免於取得未經授權的記憶體取權。

為了在開機時支援裝置開機的完整性,安全開機會使用裝置的信任根目錄,以防止未經授權的韌體在開機時執行。 由 Microsoft建置的 UEFITPM 2.0 啟用,有助於確保只有授權的韌體才會在 OS 載入之前執行。 此韌體必須來自Microsoft、其獨立硬體廠商 (IHV) 或核准的開放原始碼存放庫,並在傳輸和布建到裝置期間保持未修改。 此程式可保護開機順序每個階段的韌體完整性,從按電源按鈕到啟動作業系統。 作為安全啟動 系統防護 一部分,Surface 裝置也會使用動態信任根度量來保護開機 (DRTM) 或韌體受攻擊面縮小 (FASR) ,這兩者都會建立硬體型信任根目錄,其設計目的是要確保開機程式的完整性,並防範韌體層級的攻擊。

這些現成的安全性功能有許多是 安全核心計算機 (SCPC) 的基礎,其整合了硬體、韌體和虛擬化,以保護裝置免於遭受各種威脅,包括惡意代碼、實體擁有問題 (例如遺失或竊取) ,以及存取攻擊。 即使裝置遭到入侵,SCPC 也有助於保護數據。

自 2021 年底起,每個執行 Windows 11 的 Surface 裝置都是 Secured-Core 電腦,且已啟用現成的最高保護層級。 下列安全性功能是所有 SCPC Surface 裝置預設啟用的這些功能子集:

功能 描述 瞭解更多資訊
信賴平臺模組 (TPM) 2.0 安全的密碼編譯處理器,藉由提供安全性機制來確保平臺完整性,以防止竄改和管理密碼編譯密鑰的功能,例如解除鎖定系統磁碟驅動器、磁碟加密、測量開機程式,以及生物特徵辨識驗證。 信賴平台模組技術概觀
硬體信任根目錄 套用裝置的 TPM 和信任根度量功能,以協助建立受信任的開機狀態,以減輕韌體弱點。 它會建立以硬體為基礎的安全性界限,將系統記憶體與OS隔離,以保護重要服務和敏感數據不受OS弱點影響,並透過證明支援系統完整性。 硬體根信任
BitLocker 提供加密來解決數據遭竊或遺失、遭竊或未解除委任裝置的數據暴露威脅。 啟用時,BitLocker 可協助確保即使裝置落到未經授權的手部,數據仍無法存取。 Bitlocker 概觀
虛擬化型安全性 (VBS) 使用硬體虛擬化來建立安全的記憶體區域,並將其與一般操作系統隔離。 Windows 可以使用此「虛擬安全模式」來裝載一些安全性解決方案,以保護安全作業免於在操作系統中遭受任何潛在的弱點或惡意探索。 虛擬化型安全性 (VBS)
記憶體完整性

也稱為 Hypervisor 強制程式代碼完整性 (HVCI)
協助維護核心中的程式代碼完整性,核心是操作系統的高度特殊許可權區域。 它會在執行之前檢查所有內核模式驅動程式和二進位檔,並防止未簽署的驅動程式或系統檔案載入記憶體中。 在隔離的環境中運作時,它會根據核心簽署原則來驗證核心程序代碼完整性。 啟用程式碼完整性的虛擬化型保護
增強 Sign-In 安全性 (ESS) 使用 VBS 和 TPM 2.0 進行生物特徵辨識的隔離且安全通訊以進行驗證,以啟用具有生物特徵辨識無密碼登入的 Windows Hello。 Windows Hello 增強式登入安全性 (ESS)
Windows Hello 企業版 允許使用雙因素驗證的無密碼登入,其依據是安全的生物特徵辨識 (ESS) 或 PIN,以及系結至企業身分識別的裝置特定認證。 此驗證方法可為使用者提供更高的安全性和便利性。 Windows Hello 企業版的運作方式
安全的核心 在虛擬化環境中運作,藉由確保通過所有程式代碼完整性原則檢查,來防止 Windows OS。 針對隔離環境使用 VBS 和 HVCI,以防範潛在的 OS 弱點。 安全的核心
核心 DMA 保護 防止外部周邊取得未經授權的記憶體存取。 協助防範由 DMA 驅動的攻擊。 核心 DMA 保護
Microsoft建置的 UEFI 設定裝置並啟動由 Microsoft 和 Surface 共同開發之 OS 的韌體。 提供韌體運行時間服務,並透過 Microsoft Intune,透過雲端式或內部部署管理大幅改善對硬體的控制。 Surface UEFI:開機的演進、安全性 & 裝置管理,以建置領先業界的安全計算機



管理 Surface UEFI 設定
安全開機 在傳遞至下一個開機階段之前,先檢查每個開機軟體片段的簽章,以確保裝置只會開機受信任的軟體。 此程式會在 UEFI、開機載入器、核心和應用程式環境之間建立簽章強制遞交,以封鎖開機順序中的惡意代碼攻擊或其他潛在威脅。 安全開機
DRTM (的動態信任根) 在運行時間期間,強制 CPU 關閉動態建立之硬體信任根目錄的已知和測量程式代碼路徑,以將裝置從不受信任的狀態開機,以支援系統完整性。 強制在 Windows 10 上使用安全啟動來測量和證明韌體程序代碼
韌體受攻擊面縮小 (FASR) 建立認證的開機路徑,藉由限制韌體環境中的可執行程序代碼,將韌體暴露於潛在攻擊的風險降到最低。 韌體受攻擊面縮小 (FASR)

Surface 商業安全性優勢

遠端管理

IT 系統管理員可以從遠端管理 Surface 裝置。 Microsoft Intune 系統管理中心搭配 Intune 和 Windows Autopilot 可讓您從 Azure 雲端對 Surface 裝置進行完整遠端管理,並在啟動時將完整設定的裝置提供給使用者。 抹除和淘汰功能可讓 IT 為新的遠端使用者快速重新規劃裝置,或抹除遭竊的裝置。 這些功能可提供快速且安全的回應,允許遠端移除所有公司數據,並將 Surface 重新設定為全新的裝置。

作為 Microsoft Intune的一部分,裝置韌體設定介面 (DFCI) 允許以雲端為基礎的韌體設定管理,包括遠端停用硬體和鎖定 UEFI 設定。 同樣地, Surface Enterprise Management Mode (SEMM) 是保護和管理組織內韌體設定的另一個管理解決方案。

回應式安全性

在快速演進的數位年齡中,快速且主動回應的能力至關重要。 適用於端點的 Microsoft Defender 提供 AI 驅動的即時防護來抵禦進階威脅,協助保護敏感數據和通訊。 組織藉由使用韌體和OS應用程式的Microsoft維護堆疊,從商務 Windows Update的功能中獲益。 此服務可讓系統保持最新的安全性保護,並允許IT管理已受管理的裝置。

功能 描述 瞭解更多資訊
Microsoft Intune 雲端端點管理解決方案,可協助組織管理使用者存取、應用程式和裝置,確保安全地存取公司資源。 它藉由強制執行裝置合規性、與防禦服務整合,以及保護身分識別和應用程式數據,來支援 零信任 安全性模型。 Microsoft Intune 安全地管理身分識別、管理應用程式及管理裝置
Windows Autopilot 啟用新裝置的雲端式設定和預先設定,以準備具生產力的使用,並將IT系統管理員的壓力降到最低。 它也可以用來重設、重新規劃或復原裝置,以簡化 Windows 裝置生命週期。 Windows Autopilot 概觀
裝置韌體設定介面 (DFCI) 允許在 Windows Autopilot 中註冊並透過 Microsoft Intune 管理的裝置上遠端管理 UEFI 設定。 它可讓您遠端控制韌體設定、停用硬體元件,以及強制執行授權的設定,以加強裝置安全性。 在 Surface 裝置上管理 DFCI
Surface 企業管理模式 (SEMM) 跨內部部署、混合式和雲端環境啟用 UEFI 韌體設定的集中式企業管理。 可讓IT系統管理員準備 UEFI 組態設定,並將安裝在 Surface 裝置上。 開始使用 Surface Enterprise 管理模式
適用於端點的 Microsoft Defender 可偵測、預防及回應複雜威脅的企業級安全性平臺。 為受控 Surface 裝置提供強大的 AI 驅動端點安全性。 適用於端點的 Microsoft Defender
商務用 Windows Update 可讓IT系統管理員直接將這些系統連線到 Windows Update 服務,讓其組織的 Windows 用戶端裝置隨時保持最新狀態,並提供最新的安全性更新和 Windows 功能。 什麼是商務用 Windows Update?

調整安全性

隨著威脅環境的發展,Surface 開始在選取的裝置中採用更多安全性功能。 這些功能尚未整合到整個 Surface 產品群組,但會在接下來幾年跨不同的產品線進行調整。 以下是產品特定的一些安全性功能:

功能 描述 瞭解更多資訊
記憶體安全擴充 程序設計語言 Rust 可確保某些記憶體安全保證,相較於傳統 C 程式代碼,可減少高達 70% 的弱點。 Surface 軟體和韌體中的目標元件會轉譯成 Rust,從部分 UEFI 和微控制器單元開始 (MCU) 堆棧,以及建立 Rust 驅動程式開發的驅動程序架構。 透過 Project Mu 進行 UEFI 開發的 Rust 支援



開放原始碼 Rust 驅動程式開發平臺
Microsoft體安全性處理器 Microsoft體安全性處理器是內建於 CPU 中的安全加密處理器,以在裝置核心上提供安全性。 Microsoft Pluton 安全處理器
Microsoft-德文 TPM Microsoft體支援 TPM 2.0 作為信任的晶片根目錄,以保護敏感性資訊和加密密鑰。 它也支援透過 Windows 匯報 擷取安全性增強功能。 Microsoft作為信賴平台模組
Copilot+ PC 具有內建類神經處理器的計算機 (NPU) ,可加速人工智慧 (AI) 裝置內的體驗和作業。 深入瞭解 Copilot+ 計算機和從 Surface Windows 11 計算機

雖然這些安全性功能會擴充,但更多 Surface 裝置會將其預設整合到其產品中。 例如,具有內建類神經處理器的新 Windows 電腦 Copilot+ 電腦 (NPU) ,可加速人工智慧 (AI) 體驗和裝置內的作業,除了本頁所述的完整 Surface 安全性功能套件之外,還包含預設啟用的 Microsoft 的處理器。

參考

FASR 功能專屬於 Intel 設計的 Surface 產品。 FASR 不適用於使用 Qualcomm (QC) 或 AMD 處理器設計的 Surface 產品。