随着组织继续努力解决如何管理混合劳动力的问题,企业防火墙外的安全性继续在日常 IT 运营中发挥重要作用。
继 10 月发布的 Windows 11 发布后,微软上周发布了首款配备 Pluton 芯片到云安全技术的 PC,该系统拥有旨在支持混合工作的功能。 该技术旨在保护远程工作者和其他人的计算机。
在 CES 上,微软宣布联想和芯片制造商 AMD 推出了首款笔记本电脑——ThinkPad Z13 和 ThankPad Z16——它们原生配备了 Pluton 安全芯片。 ThinkPad Z13 的起价为 1,549 美元,ThinkPad Z16 的起价为 2,099 美元。 这两款笔记本电脑都将于 5 月上市,联想表示内置 Pluton 芯片不会产生额外费用。
[ 买家指南:如何选择合适的商务笔记本电脑 ]
Pluton 将在 2022 Lenovo ThinkPad 平台(特别是使用 AMD 6000 系列处理器的 Z13、Z16、T14、T16、T14s、P16s 和 X13)上默认禁用。 联想发言人表示,客户将能够自行启用 Pluton。
当被问及为什么最初禁用该芯片时,该发言人表示,企业客户“告诉我们,他们对将引入其网络的任何新的安全相关软件或功能进行了广泛的测试和评估,并可以选择在他们认为合适的情况下在他们的设备上启用 Pluton . 随着 Pluton 进入市场,我们有时间评估客户对工厂启用的需求,我们将审查启用 [it]。”
Pluton 处理器旨在提供比现有可信平台模块 (TPM) 更好的保护,因为它是一种专用安全芯片,可处理 BitLocker、Windows Hello 和 System Guard 等安全功能。
Windows 11 附带了大量安全更新,其中最重要的是无法禁用现有功能,例如 UEFI、安全簿和加密 TPM。 Windows 11 是一个零信任就绪操作系统,旨在确保从芯片到云端的安全,内置可验证的安全验证并默认开启。
[‘IT 有一个新的’It Crowd’:加入 CIO Tech Talk 社区]
TPM 2.0 用于生成和保护加密密钥、用户凭据和其他敏感数据,使恶意软件和攻击者无法访问或篡改数据。
Pluton 芯片是一种专用的安全处理器,由微软与顶级硅制造商(包括 AMD 和高通)共同开发。 它旨在通过更安全地存储用户凭证(包括指纹信息)、身份、个人数据和加密密钥来保护 PC 免受一些最复杂的恶意软件攻击。 嵌入式安全处理器将 TPM 2.0 的功能与通过 Windows 更新无缝更新和动态添加新安全功能的能力结合在一起,Windows 更新是在计算机上安装最新软件/固件的 Microsoft 服务。
据微软称,“紧密集成的硬件和软件”通过增加额外的可见性和控制来帮助防止安全漏洞,并且更能适应威胁形势的变化。
Pluton 芯片集成在设备 CPU 的管芯中,因此攻击者更难访问。 存储在其中的敏感信息无法删除——即使攻击者安装了恶意软件或实际拥有了 PC——因为该芯片与系统的其余部分隔离开来。 分立芯片还有助于防止新兴的攻击技术,例如利用 CPU 行为和功能的推测执行(侧通道攻击)。
据微软发言人称,Pluton 可以充当 TPM 或与第三方独立 TPM 一起为设备提供额外的安全性。
“我们的合作伙伴可以选择和灵活地提供带有或不带有第三方 TPM 的 Pluton,”微软发言人在给 Computerworld 的电子邮件回复中说。 “当 Pluton 配置为 TPM 时,它会保护用于帮助加密和保护存储在系统上的客户数据的 BitLocker 密钥。”
Gartner 副总裁分析师 Patrick Hevesi 表示,Pluton 芯片的最大好处是可能消除针对独立 TPM 到 CPU 通信通道的物理侧通道攻击。
侧信道攻击并不针对密码系统本身的弱点; 取而代之的是,该恶意软件会寻找可能表明加密系统运行情况的信息泄漏。 例如,声音攻击可以记录用户击键的声音以窃取他们的密码,或者计算机屏幕发出的电磁场 (EMF) 辐射可用于在信息加密之前查看信息。
“由于 Pluton 安全过程将直接内置到片上系统 (SoC) 芯片中,因此在不破坏芯片的情况下应该无法进入通道,”Hevesi 通过电子邮件说。 “此外,根据微软的规范,密钥永远不会离开 Pluton Security 边界,这将有助于防止像推测执行和其他密钥材料类型的攻击。”
Pluton 架构的另一个好处是,微软将控制对安全处理器的固件更新,并允许直接从 Windows Update 进行更新; 据 Hevesi 称,这使公司能够控制和保护固件代码,并在新版本的 Windows 推出时继续添加新的安全功能。
微软还将能够在单个 SoC 处理器上推进硬件和软件安全功能,例如安全启动、测量启动和基于虚拟化的安全性。
“这将有助于防止甚至试图改变内核或操作系统启动过程的远程攻击。由于物理层和基于软件的安全功能集成,Pluton 芯片将有助于保护远程设备,”Hevesi 说。 “这项技术还可以应用于本地设备,以防止物理内部攻击,他们还将这项技术添加到云中的 Azure Sphere。”
并非所有人都相信新的 Pluton 芯片是万能的安全保障。
IDC 安全与信任研究服务研究副总裁 Michael Suby 表示,SoC 平台是一项有用的进步,短期内不会从根本上改变企业的 PC 采购决策。
“威胁行为者的潜在攻击序列可能会秘密占有高管的笔记本电脑,打开设备并在硬件级别感染它,然后离开设备,对高管和潜在的 IT 安全团队来说似乎也未受到干扰,” 苏比说。
联想的新款笔记本电脑采用 AMD Ryzen 6000 系列处理器,在新款 Windows 11 PC 上集成了 Pluton Security 芯片。 Pluton 芯片基于 Microsoft Xbox 和 Microsoft Azure Sphere 多年来使用的技术。
“随着我们进入这个混合工作的新时代,你需要现代安全解决方案,无论你身在何处都能提供端到端的保护,”微软发言人说。 “Windows 11 旨在提高开箱即用的安全标准,以启用 Windows Hello、设备加密、基于虚拟化的安全性 (VBS)、管理程序保护的代码完整性 (HVCI) 和安全启动等保护——这些组合 已被证明可以减少 60% 的恶意软件。”
微软表示,Windows 11 中的许多升级和协作芯片设计都受到了混合工作主题的启发。
“很明显,过去几年培养了我们的合作伙伴已将这些知识融入到这些设备的设计中。 这些学习——以及新的工作方式——也影响了 Windows 11 设计中的许多创新,”微软设备合作伙伴销售副总裁 Nicole Dezen 在一篇博客文章中说。
