Microsoft Pluton 安全處理器
Microsoft體安全性處理器是以 零信任 原則為核心建置的晶片到雲端安全性技術。 Microsoft體會提供以硬體為基礎的信任根目錄、安全身分識別、安全證明和密碼編譯服務。 機碼技術是安全子系統的組合,這是 Chip (SoC) 上的 System 的一部分,並Microsoft撰寫在此整合式安全子系統上執行的軟體。
Microsoft目前適用於 AMD Ryzen® 6000、7000、8000、Ryzen AI 和 Qualcomm Snapdragon® 8cx Gen 3 和 Snapdragon X 系列處理器的裝置。 Microsoft可在具有具有可執行 Windows 11 版本 22H2 和更新版本之具有機碼處理器的裝置上啟用此功能。
什麼是Microsoft??
由Microsoft和晶元合作夥伴所建置,Microsoft體是CPU內建的安全密碼編譯處理器,可確保程式代碼完整性,以及透過Windows Update Microsoft所傳遞更新的最新保護。 機碼會保護認證、身分識別、個人資料和加密密鑰。 即使攻擊者安裝惡意代碼或完全擁有計算機,也很難移除資訊。
Microsoft體設計來提供信賴平臺模組 (TPM) 的功能,並提供 TPM 2.0 規格所可能以外的其他安全性功能,並允許透過 Windows Update 一段時間傳遞其他的擴充韌體和 OS 功能。 如需詳細資訊, 請參閱將 Microsoft 為 TPM。
偵測器是以 Xbox 和 Azure Sphere 中所使用的經過證實技術為基礎,並與領先晶片合作夥伴共同作業,為 Windows 11 裝置提供強化的整合式安全性功能。 如需詳細資訊, 請參閱符合Microsoft機處理器 – 專為 Windows 計算機的未來而設計的安全性晶片。
如何幫助客戶?
其建置目的是要為客戶提供更好的端對端安全性體驗。 其做法是執行三件事:
- 零信任的安全性和可靠性:客戶安全性案例通常橫跨裝置和雲端服務。 Microsoft Entra 和 Intune 等 Windows 計算機和服務必須搭配運作,以提供無摩擦的安全性。 在跨Microsoft與小組密切合作中,設計、建置和維護機架構,以確保客戶獲得高安全性和可靠性。
- 創新:客戶的意見反應和Microsoft的威脅情報會告知您的平臺及其所提供的功能。 例如,在 2024 AMD 和 Intel 系統中,由於記憶體安全的重要性,因此會開始使用 Rust 架構韌體基礎。
- 持續改進:機碼平臺支援載入透過操作系統更新傳遞的新韌體。 這項功能與一般 UEFI 太空艙更新機制一起支援,這些更新會更新位於系統 SPI 快閃上且在早期系統開機期間載入的擴充體韌體。 透過操作系統更新以動態方式載入有效新版的易失韌體的額外支援,有助於持續改善錯誤修正和新功能。
實用範例:使用裝置型條件式存取原則的零信任安全性
越來越重要的零信任工作流程是條件式存取 – 根據驗證要求是否來自有效且狀況良好的來源,來控制對 Sharepoint 檔等資源的存取。 例如,Microsoft Intune 支援條件式存取的不同工作流程,包括 裝置型條件式存取 ,可讓組織設定原則,以確保受控裝置在授與組織應用程式和服務的存取權之前狀況良好且符合規範。
若要確保 Intune 在強制執行這些原則時,能準確瞭解裝置的健康情況,最好是在相關安全性功能的狀態上具有防竄改記錄。 這是硬體安全性很重要的地方,因為在裝置上執行的任何惡意軟體都可能會嘗試提供錯誤訊號給服務。 TPM 等硬體安全性技術的核心優點之一,就是它具有系統狀態的防竄改記錄。 服務可以以密碼編譯方式驗證 TPM 所報告的記錄和相關聯的系統狀態確實來自 TPM。
若要讓端對端案例真正大規模地成功,硬體型安全性不足。 由於企業資產的存取權是根據 TPM 記錄所報告的安全性設定進行限制,因此務必可靠地提供這些記錄。 零信任安全性基本上需要高可靠性。
在使用 Marketplacen 時,當它設定為系統的 TPM 時,使用條件式存取的客戶會獲得與在體上緊密整合和共同作業所帶來之安全性架構和實作的優點,這些可靠性來自於在體上與其他Microsoft元件和服務之間的緊密整合和共同作業。
Microsoft機安全性架構概觀
新細明安全性子系統包含下列層級:
| 描述 | |
|---|---|
| 硬體 | 機碼安全性處理器是緊密整合到SoC子系統的安全元素。 它提供信任的執行環境,同時提供保護敏感性資源和重要專案所需的密碼編譯服務,例如密鑰、數據等。 |
| 韌體 | Microsoft授權的韌體提供必要的安全功能,並公開操作系統軟體和應用程式可用來與 Marketplacen 互動的介面。 韌體會儲存在主機板上可用的快閃記憶體中。 當系統開機時,韌體會載入為擴充硬體初始化的一部分。 在 Windows 啟動期間,如果操作系統中已載入此韌體 (或從 Windows Update 取得的最新韌體) 複本。 如需詳細資訊,請參閱 韌體載入流程 |
| 軟體 | 可供終端使用者使用的作業系統驅動程式和應用程式,可讓您順暢地使用受德文安全性子系統所提供的硬體功能。 |
韌體載入流程
當系統開機時,會從序列周邊介面 (SPI) 主機板上可用的快閃記憶體載入要執行的體硬體初始化。 不過,在 Windows 啟動期間,操作系統會使用最新版的體字韌體。 如果無法使用較新的韌體,Windows 會使用硬體初始化期間載入的韌體。 下圖說明此程式:
Windows 版本和授權需求
下表列出支援 Microsoft 的 Windows 版本:
| Windows 專業版 | Windows 企業版 | Windows 專業教育版/SE | Windows 教育版 |
|---|---|---|---|
| 是 | 是 | 是 | 是 |
Microsoft下列授權會授與Microsoft者授權權利:
| Windows 專業版/專業教育版/SE | Windows 企業版 E3 | Windows 企業版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
|---|---|---|---|---|
| 是 | 是 | 是 | 是 | 是 |
如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀。