Windows 硬體安全性

深入瞭解 Windows 中的硬體安全性功能支援。

硬體根信任

功能名稱 描述
Windows Defender 系統防護 在安全核心計算機中,Windows Defender 系統防護 安全啟動會使用稱為「測量的動態信任根目錄」的技術來保護開機 (DRTM) 。 使用DRTM時,系統一開始會遵循一般的 UEFI 安全開機程式。 不過,在啟動之前,系統會進入硬體控制的信任狀態,強制 CPU () 硬體保護的程式碼路徑。 如果惡意代碼 rootkit/bootkit 略過 UEFI 安全開機並位於記憶體中,DRTM 會防止它存取受虛擬化型安全性環境保護的秘密和重要程序代碼。 韌體受攻擊面縮小技術可用來取代支援 Microsoft Surface 等裝置上的DRTM。
信賴平台模組 (TPM) TPM 為系統硬體、平台擁有者和使用者提供安全性和隱私權權益。 Windows Hello、BitLocker、Windows Defender 系統防護 和其他 Windows 功能依賴 TPM 來取得金鑰產生、安全記憶體、加密、開機完整性測量和證明等功能。 2.0 版的規格包含較新演演算法的支援,可改善驅動程式簽署和密鑰產生效能。

從 Windows 10 開始,Microsoft 的硬體認證要求所有新的 Windows 計算機都必須包含內建且默認啟用的 TPM 2.0。 使用 Windows 11,新的和升級的裝置都必須有 TPM 2.0。
Microsoft 之間的連線 Microsoft 擴充安全性處理器是由 Microsoft 與晶片合作夥伴合作所設計。 功能增強 Windows 裝置的保護,其具有硬體信任根目錄,可為密碼編譯密鑰和其他秘密提供額外的保護。 在將安全性晶元直接整合到處理器時,其設計目的是要減少受攻擊面。 它可以與不連續的 TPM 2.0 搭配使用,或作為獨立安全性處理器使用。 當信任根目錄位於主機板上個別的離散晶元上時,信任根目錄與 CPU 之間的通訊路徑可能會容易遭受實體攻擊。 Cryptn 支援 TPM 2.0 產業標準,可讓客戶立即受益於依賴 TPM 的 Windows 功能增強式安全性,包括 BitLocker、Windows Hello 和 Windows Defender 系統防護。

除了提供根信任之外,在 TPM 2.0 規格之外,此擴充性還支援 TPM 2.0 規格以外的其他安全性功能,並可讓您透過 Windows Update 一段時間傳遞其他的體字韌體和 OS 功能。 已啟用 Windows 11 裝置已啟用,且具有此功能的選項選取範圍也隨之增加。

晶片輔助安全性

功能名稱 描述
虛擬化型安全性 (VBS) 除了新式硬體信任根目錄之外,最新晶元中還有許多其他功能可強化操作系統以抵禦威脅,例如保護開機程式、保護記憶體的完整性、隔離安全性敏感性計算邏輯等等。 兩個範例包括虛擬化型安全性 (VBS) 和受 Hypervisor 保護的程式碼完整性 (HVCI) 。 虛擬化型安全性 (VBS) 也稱為核心隔離,是安全系統中的重要建置組塊。 VBS 使用硬體虛擬化功能來裝載與操作系統分隔的安全核心。 這表示即使操作系統遭到入侵,安全核心仍會受到保護。

從 Windows 10 開始,所有新裝置都必須隨附在BIOS中默認啟用的 VBS和 HCVI 韌體支援。 客戶接著可以在 Windows 中啟用 OS 支援。
使用新安裝的 Windows 11,預設會針對符合必要條件的所有裝置開啟 VBS 和 HVCI 的 OS 支援。
受 Hypervisor 保護的程式代碼完整性 (HVCI) 受 Hypervisor 保護的程式代碼完整性 (HVCI) 也稱為記憶體完整性,會使用 VBS 在安全 VBS 環境內執行內核模式程式代碼完整性 (KMCI) ,而不是在主要 Windows 核心內執行。 這有助於防止嘗試修改核心模式程式代碼的攻擊,例如驅動程式。 KMCI 角色是檢查所有核心程式碼是否已正確簽署,而且在允許執行之前並未遭到竄改。 HVCI 有助於確保只能在內核模式中執行已驗證的程序代碼。

從 Windows 10 開始,所有新裝置都必須隨附在BIOS中默認啟用的 VBS和 HCVI 韌體支援。 客戶接著可以在 Windows 中啟用 OS 支援。
使用新安裝的 Windows 11,預設會針對符合必要條件的所有裝置開啟 VBS 和 HVCI 的 OS 支援。
硬體強制堆疊保護 硬體強制堆疊保護會整合軟體和硬體,以防禦網路威脅,例如記憶體損毀和零時差惡意探索。 根據控制流程強制技術 (來自 Intel 和 AMD 陰影堆疊的 CET) ,硬體強制執行的堆疊保護旨在防範嘗試在堆疊上劫持傳回位址的惡意探索技術。
核心直接記憶體存取 (DMA) 保護 核心 DMA 保護可防止外部周邊取得未經授權的記憶體存取。 像是直接記憶體存取 (DMA 等實體威脅) 攻擊通常會在系統擁有者不存在時快速發生。 PcIe Hot plug devices such such as Peripheralbolt, USB4, and CFexpress allow users to attach new classes of external peripherals, including graphics card or other PCI devices, to their PCS with the plug-and-play ease of USB. 由於PCI熱插即用埠是外部且容易存取的,因此裝置很容易受到由 DMA 驅動的攻擊。

安全核心電腦

功能名稱 描述
安全核心計算機韌體保護 Microsoft 已與 OEM 合作夥伴合作,提供稱為安全核心計算機的特殊裝置類別。 裝置隨附在韌體層或裝置核心上啟用的其他安全性措施,以支援 Windows。 安全核心計算機可協助防止惡意代碼攻擊,並藉由在啟動時以硬體強制執行的信任根目錄啟動為乾淨且受信任的狀態,將韌體弱點降到最低。 依預設會啟用虛擬化型安全性。 此外,使用內建的 Hypervisor 受保護程式代碼完整性 (HVCI) 防護系統記憶體,安全核心計算機可確保所有可執行檔僅由已知和核准的授權單位簽署。 安全核心計算機也會防範實體威脅,例如磁碟驅動器式直接記憶體存取 (DMA) 攻擊。
安全核心組態鎖定 安全核心組態鎖定是安全核心計算機 (SCPC) 功能,可防止使用者對安全性設定進行不必要的變更。 使用設定鎖定時,OS 會監視設定每個功能的登錄機碼,並在偵測到漂移時,在幾秒內還原為 IT 所需的 SCPC 狀態。