ows|微软坚持 Win11 最低硬件配置要求:可实现 99.8% 无崩溃体验( 二 )


可信平台模块(TPM)的要求使 Windows 11 成为一款真正的无密码操作系统,解决了网络钓鱼和其他基于密码的攻击,当 TPM 不存在时,攻击者更容易执行。在 2020 财年的微软数字防御报告中,微软发现那些禁用传统认证并转向多因素认证(MFA)--或基于密码的系统(如 Windows Hello)的组织所遭受的破坏减少了 67%。在 Windows Hello 系统中,TPM 与 PIN 或生物识别相机/指纹读取器一起工作,在硬件中安全地存储密钥,在认证过程中取代用户的密码,并且更难以窃取或欺骗。TPM 还用于许多其他的 Windows 11 功能,如 Bitlocker 和设备加密,它利用 TPM 来存储磁盘加密密钥。来自 Forrester 的研究表明,2020 年全球安全决策者报告的违规事件中,20% 涉及智能手机和笔记本电脑等资产的丢失或被盗。Windows 11 中的 Bitlocker 全磁盘加密技术限制了敏感数据因丢失或被盗设备而丢失的可能性。TPM 还被用来将基于网络的凭证安全地“绑定”到设备上,防止最近许多漏洞中出现的凭证类型的提取和盗窃。Windows 11 要求 TPM 2.0 而不是 TPM 1.2,是因为它提供了安全优势,特别是支持更新、更强的加密算法。
UEFI 安全启动要求确保系统启动时只使用由设备制造商、芯片供应商或微软签署的代码。它通过确保所有代码由特定实体签署,并在硬件中记录加密哈希值,这些哈希值也可以被发送到云端以验证完整性。如果一个系统可以在操作系统启动之前被破坏,那么所有的内核、用户和终端安全工具都会被完全破坏。造成数亿损失的“NotPetya”攻击,利用传统的 bios 在启动前注入勒索软件代码,现在可以通过安全启动来缓解这一问题。安全启动的价值和最佳实践也得到了美国国家安全局的验证。自 2013 年 6 月 26 日以来,微软一直要求 OEM 厂商使用预置启用的 UEFI 安全启动,并希望所有的 Windows 11 设备都能为客户提供这种功能。
除了提高可靠性外,受支持的处理器在芯片层面上增加了安全能力。这些处理器提供了虚拟化扩展和虚拟化性能改进。Windows 11 支持基于虚拟化的安全(VBS),它实现了几种安全功能,包括内存完整性,也被称为管理程序保护的代码完整性(HVCI)。HVCI 禁止向 Windows 内核注入动态代码。HVCI 还提供了驱动程序控制,并确保所有加载的驱动程序符合微软和用户设定的允许驱动程序策略。VBS 还实现了对常见企业凭证类型(如 NTLM)的凭证保护,这是一种在“pass-the-hash”式攻击中看到的攻击技术,并且是 System Guard Runtime 证明的基础,这是一种零信任能力,向云提供基于硬件的防篡改健康声明,是芯片到云的零信任方法的一部分。美国国防部(DoD)要求在 Windows 10 上为他们的设备提供基于虚拟化的安全。微软表示,虽然在升级到 Windows 11 时不要求 VBS,但相信它所提供的安全优势非常重要,所以微软希望最低系统要求能确保每台运行 Windows 11 的 PC 都能满足国防部所依赖的相同安全性。通过与 OEM 和芯片合作伙伴合作,微软将在明年的大多数新 PC 上启用 VBS 和 HVCI。微软将继续寻找机会,随着时间的推移在更多的系统中扩展 VBS。