Обработчик безопасности Microsoft Pluton
Процессор безопасности Microsoft Pluton — это технология безопасности от микросхемы в облако, созданная на основе принципов "Никому не доверяй ". Microsoft Pluton предоставляет аппаратный корень доверия, безопасное удостоверение, безопасную аттестацию и криптографические службы. Технология Pluton представляет собой сочетание защищенной подсистемы, которая является частью системы на микросхеме (SoC) и программного обеспечения корпорации Майкрософт, работающего в этой интегрированной безопасной подсистеме.
Microsoft Pluton в настоящее время доступен на устройствах с процессорами AMD Ryzen® 6000, 7000, 8000, Ryzen AI и Qualcomm Snapdragon® 8cx Gen 3 и Snapdragon X серии. Microsoft Pluton можно включить на устройствах с процессорами с поддержкой Pluton под управлением Windows 11 версии 22H2 и более поздних версий.
Что такое Microsoft Pluton?
Разработанная корпорацией Майкрософт и созданная партнерами по кремнию, Microsoft Pluton — это защищенный криптопроцессор, встроенный в ЦП для обеспечения целостности кода и последней защиты с помощью обновлений, предоставляемых корпорацией Майкрософт через Центр обновления Windows. Pluton защищает учетные данные, удостоверения, персональные данные и ключи шифрования. Информацию значительно сложнее удалить, даже если злоумышленник устанавливает вредоносную программу или имеет полное физическое владение компьютером.
Microsoft Pluton предназначен для предоставления функциональных возможностей доверенного платформенного модуля (TPM) и предоставления других функций безопасности, выходящих за рамки спецификации TPM 2.0, а также позволяет предоставлять другие функции встроенного ПО Pluton и ОС с течением времени через Центр обновления Windows. Дополнительные сведения см. в статье Microsoft Pluton как TPM.
Pluton основан на проверенных технологиях, используемых в Xbox и Azure Sphere, и предоставляет защищенные интегрированные возможности безопасности для устройств с Windows 11 в сотрудничестве с ведущими партнерами по кремнию. Дополнительные сведения см. в статье Знакомство с процессором Microsoft Pluton — микросхемой безопасности, предназначенной для будущего компьютеров с Windows.
Как Pluton может помочь клиентам?
Pluton создается с целью предоставления клиентам более совершенных комплексных возможностей безопасности. Он делает это, выполняя три действия:
- Безопасность и надежность без доверия. Сценарии безопасности клиентов часто охватывают устройства и облачные службы. Компьютеры с Windows и службы, такие как Microsoft Entra и Intune, должны согласованно работать вместе, чтобы обеспечить беспроистрастную безопасность. Pluton разрабатывается, создается и обслуживается в тесном сотрудничестве с командами корпорации Майкрософт, чтобы обеспечить клиентам высокий уровень безопасности и надежности.
- Инновации. Платформа Pluton и ее функциональные возможности зависят от отзывов клиентов и аналитики угроз Майкрософт. Например, платформы Pluton в системах AMD и Intel 2024 года начнут использовать основу встроенного ПО на основе Rust, учитывая важность безопасности памяти.
- Непрерывное совершенствование: платформа Pluton поддерживает загрузку нового встроенного ПО, доставляемого с помощью обновлений операционной системы. Эта функция поддерживается наряду с типичным механизмом обновлений капсулы UEFI, которые обновляют встроенное ПО Pluton, которое находится на вспышке SPI системы и загружается во время ранней загрузки системы. Дополнительная поддержка динамической загрузки допустимого нового встроенного ПО Pluton через обновления операционной системы упрощает непрерывное улучшение исправлений ошибок и новых функций.
Практический пример: безопасность "никому не доверяй" с помощью политик условного доступа на основе устройств
Все более важным рабочим процессом "никому не доверяй" является условный доступ— доступ к ресурсам, таким как документы Sharepoint, на основе проверки того, поступают ли запросы из допустимого и работоспособного источника. Например, Microsoft Intune поддерживает различные рабочие процессы для условного доступа, включая условный доступ на основе устройств , что позволяет организациям устанавливать политики, гарантирующие работоспособность и соответствие управляемых устройств, перед предоставлением доступа к приложениям и службам организации.
Чтобы Intune получал точную картину о работоспособности устройства в рамках применения этих политик, в идеале у него есть журналы, устойчивые к незаконному изменению, о состоянии соответствующих возможностей безопасности. Здесь безопасность оборудования имеет решающее значение, так как любое вредоносное программное обеспечение, запущенное на устройстве, может попытаться предоставить службе ложные сигналы. Одним из основных преимуществ аппаратной технологии безопасности, такой как TPM, является то, что она имеет устойчивый к незаконному изменению журнал состояния системы. Службы могут криптографически проверять, действительно ли журналы и связанное состояние системы, сообщаемые TPM, поступают от доверенного платформенного модуля.
Чтобы комплексный сценарий был по-настоящему успешным в большом масштабе, аппаратной безопасности недостаточно. Так как доступ к корпоративным ресурсам осуществляется на основе параметров безопасности, о которых сообщают журналы доверенного платформенного модуля, очень важно, чтобы эти журналы были надежно доступны. Безопасность без доверия по существу требует высокой надежности.
Когда Pluton настроен в качестве доверенного платформенного модуля для системы, клиенты, использующие условный доступ, получают преимущества архитектуры безопасности и реализации Pluton с надежностью, которая связана с тесной интеграцией и совместной работой между Pluton и другими компонентами и службами Майкрософт.
Обзор архитектуры безопасности Microsoft Pluton
Подсистема безопасности Pluton состоит из следующих уровней:
| Описание | |
|---|---|
| Оборудование | Pluton Security Processor — это безопасный элемент, тесно интегрированный в подсистему SoC. Он предоставляет надежную среду выполнения, предоставляя криптографические службы, необходимые для защиты конфиденциальных ресурсов и критически важных элементов, таких как ключи, данные и т. д. |
| Встроенное ПО | Авторизованное встроенное ПО Майкрософт предоставляет необходимые безопасные функции и функции, а также предоставляет интерфейсы, которые программное обеспечение и приложения операционной системы могут использовать для взаимодействия с Pluton. Встроенное ПО хранится в хранилище флэш-памяти, доступном на системной плате. При загрузке системы встроенное ПО загружается в рамках инициализации оборудования Pluton. Во время запуска Windows в операционную систему загружается копия этого встроенного ПО (или последняя версия встроенного ПО, полученная из Центра обновления Windows, если она доступна). Дополнительные сведения см. в разделе Поток загрузки встроенного ПО. |
| Программное обеспечение | Драйверы и приложения операционной системы, доступные конечному пользователю, чтобы обеспечить простое использование аппаратных возможностей, предоставляемых подсистемой безопасности Pluton. |
Поток загрузки встроенного ПО
При загрузке системы аппаратная инициализация Pluton выполняется путем загрузки встроенного ПО Pluton из флэш-накопителя serial периферийного интерфейса (SPI), доступного на системной плате. Однако во время запуска Windows операционная система использует последнюю версию встроенного ПО Pluton. Если более новое встроенное ПО недоступно, Windows использует встроенное ПО, которое было загружено во время инициализации оборудования. Этот процесс показан на следующей схеме:
Требования к выпуску и лицензированию Windows
В следующей таблице перечислены выпуски Windows, поддерживающие Microsoft Pluton:
| Windows Pro | Windows Корпоративная | Windows Pro для образовательных учреждений/SE | Windows для образовательных учреждений |
|---|---|---|---|
| Да | Да | Да | Да |
Права на лицензии Microsoft Pluton предоставляются следующими лицензиями:
| Windows Pro/Pro для образовательных учреждений/SE | Windows Корпоративная E3 | Windows Корпоративная E5 | Windows для образовательных учреждений A3 | Windows для образовательных учреждений A5 |
|---|---|---|---|---|
| Да | Да | Да | Да | Да |
Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.