Microsoft в безопасности ПК делает ставку на Pluton

14 январь, 2022 - 11:05

Современные сложные угрозы в сочетании с распределенностью персонала требуют решений для защиты на каждом уровне вычислений – от чипа до облака. Чтобы обеспечить это своим клиентам, Microsoft сделала несколько важных шагов, выпустив ПК с защищенным ядром (secured–core PC), Windows 11 и процессор безопасности Microsoft Pluton.

Процессор безопасности компания впервые применила в Xbox и Azure Sphere, для безопасного хранения конфиденциальных данных, таких как ключи шифрования. Они интегрированы в микросхему, и поэтому злоумышленникам сложнее получить к ним доступ, даже если они физически владеют устройством. Такая конструкция помогает предотвратить доступ к криптографическому материалу с помощью новых методов атак.

На выставке CES 2022 Lenovo и AMD представили один из первых ПК с использованием процессоров Microsoft Pluton.

Прошивку процессора безопасности Pluton можно будет обновлять через Центр обновления Windows вместе со стандартными средствами управления. Такая тесная интеграция аппаратного и программного обеспечения, как отмечается, помогает защититься от уязвимостей с помощью дополнительной прозрачности и контроля, а также позволит пользователям будущих выпусков Windows адаптироваться к изменениям в ландшафте угроз.

Даже если злоумышленник физически полностью завладеет ПК, процессоры безопасности AMD и Pluton разработаны так, чтобы совместно устранить вектор атаки, которым могли бы воспользоваться злоумышленники.

Отмечается, что гибкая и безопасная платформа Pluton помогает повысить уровень защиты в различных ситуациях, с которыми сталкиваются пользователи. Решение можно настроить тремя способами:
- как доверенный платформенный модуль TPM;
- как процессор безопасности, используемый для сценариев без TPM, таких как обеспечение доверия к платформе;
- OEM-производители могут выбрать поставку с отключенным Pluton.

Для таких устройств, как Lenovo ThinkPad Z13 и Z16, это означает, что, когда Pluton настроен как TPM 2.0 для Windows 11, чип помогает защитить учетные данные Windows Hello, обеспечивая их дополнительную аппаратную изоляцию от злоумышленников. Система шифрования устройства может использовать Pluton, если он настроен в качестве TPM, чтобы надежно защитить ключи шифрования от физических атак и скрыть данные от посторонних глаз. Гибкость Pluton и инновации, поддерживаемые партнерами экосистемы Microsoft, позволяют использовать аппаратные возможности безопасности Pluton в сценариях, выходящих за рамки TPM.

Windows будет использовать Pluton для безопасной интеграции с другими аппаратными компонентами безопасности в системе, чтобы обеспечить большую прозрачность состояния платформы для конечного пользователя Windows и, в конечном итоге, для ИТ-администраторов, которые получат новые сигналы устойчивости платформы для использования в рабочих процессах с условным доступом (conditional access) и нулевым доверием (zero trust).

В будущем эти сигналы также будут передаваться в облачные службы, такие как Intune, через сервис Microsoft Azure Attestation, чтобы ИТ-администраторы с их помощью могли сделать еще один шаг вперед в парадигме безопасности нулевого доверия и проверять как можно больше параметров, прежде чем разрешить доступ к любым привилегированным ресурсам.