微软在Windows 10下定义了一个安全的PC

微软刚刚在其网站上发布了一个面向台式机，笔记本电脑，二合一或平板电脑的设计人员的文档。本文档详细描述了在Windows 10中设计高度安全的设备时使用的标准。否则，根据这些建议，微软将吸引未来的计算机运行其操作系统，我们将在明天使用。我们发现更安全的电脑，由于不同的材料层。

这就是为什么雷德蒙德巨人开始定义硬件的六个类别，包括处理器，架构，内存（至少8 GB），虚拟化，TPM和引导验证。

处理器中的虚拟化功能

对于这款处理器，微软建议在Intel和AMD推出第七代芯片。目标是拥有一个64位处理器，可以利用基于虚拟化（通过管理程序）进程的安全功能。

微软称之为基于虚拟化的安全性的VBS，这种方法使用硬件虚拟化功能在内存中创建一个与正常操作系统隔离的“安全区域”。正是在这些安全区域中，安全的安全解决方案才能够被操作系统的漏洞或攻击所中断或破坏。

此功能还有助于保护Windows内核的恶意软件攻击的完整性。它创建了一个额外的保护层，作为隔离进程和关键数据的虚拟环境的一部分。

现在，这种基于虚拟化的安全性需要第六代处理器中没有的MBEC（基于模式的执行控制）功能，并出现在第七代中。此外，这种虚拟化需要64位处理器，以及针对虚拟机的特定功能（英特尔的VT-d和Vt-x，AMD的AMD-Vi和RVI）。

一个专门的加密模块

另一个由Microsoft推荐的组件是可信平台模块（TPM）。从Windows Vista引入，这个专门的电路产生加密密钥及其存储，以及硬件认证。例如，该电路用于使用Windows的BitLocker功能加密硬盘。如果您认为自己的数据有价值并且只能看到您，那么您只能鼓励这一功能。

在这种情况下，该模块必须符合可信计算组（TCG）的最新规范。为了避免引导不是来自官方制造商的固件，计算机必须具有引导验证机制，例如Intel的Boot Guard或AMD的Hardware Verified Boot。

通过阻止这扇门，这是被禁止停留的恶意软件的一大部分，并且在任何情况下都不会轻易改变引导扇区在重启之后保持活动。

最后，最后一点，这可能是一个与性能相当的安全性问题，微软指出，这些未来的安全PC将不得不登录至少8 GB的RAM。

保护UEFI固件

除了这些组件之外，微软还在其文档中详细介绍了计算机固件的建议，即启动时首先执行的固件。重点是统一扩展固件接口（UEFI），它定义了操作系统和固件之间的接口。

这必须包含最低版本2.4 UEFI和安全引导模式的默认激活。微软还提到，由于安全MOR功能以及固件驱动程序与虚拟环境的管理程序代码完整性（HVCI）标准的兼容性，保护内存不受攻击。最后，固件必须能够通过Windows Update以安全的方式进行更新。

如果对这些建议的考虑不会产生显着的额外成本，那么在购买时就需要保持警惕，因为许多计算机供公众使用的计算机没有搭载TPM模块。尽管可以在不考虑微软的建议的情况下运行Windows 10，但是该机器因此受到较少的黑客攻击保护。