关于微软对 Windows 11 中 TPM 模块的要求的一些想法

Windows 11 Pro ISO文件在哪下载最新版?如何下载原装纯净版Win11 ?点击进入   持续更新!

Windows 10 对 Windows 11 的最具争议的变化之一是对可信平台模块或 TPM的新要求。目前,微软是说 TPM 要求的“硬底”是 1.2,强烈推荐 2.0。这让很多人正确地担心 Windows 11 能否在较旧的机器上运行,除了某些迅驰笔记本电脑和企业工作站,他们可能不会。事实上,现在出售的许多系统在不更改 BIOS 的情况下都无法满足此要求。那么为什么要这样做呢?

我们需要了解TPM 是什么以及 Windows 如何使用它。TPM 是一种协处理器和小型存储块,用于安全访问私钥。其主要用途是保留 BitLocker 密钥、安全启动密钥以及至关重要的身份验证令牌,尤其是Office 365 主刷新令牌。在具有 TPM 的系统上,此令牌受到保护免遭恶意访问,并且与设备签名相结合,使它们基本上无法在其他设备上提取和使用。如果没有 TPM,此令牌将存储在 Windows 凭据存储中,并且可以由有足够动机的攻击者提取。

1624625466_office365_azure_story
微软真正专注和赚钱的业务

微软不再是一个操作系统的公司了。它最近达到了创纪录的 2 万亿美元估值,主要由 Azure 和 Office 365 业务消费推动。当COVID命中和所有企业都派出了他们的工人家庭,微软团队的使用率自然而然地大幅上升。但是,这些用户中有很多要么使用没有 TPM 的家用计算机,要么使用可以立即采购的最便宜的笔记本电脑。当大流行来袭时,我正在为一家主要的金融服务提供商做云安全架构,我们遇到了重大问题,使用户能够在保留安全策略的同时访问云数据。我们最终只需要限制从家用计算机进来的人下载任何数据,无论我们应用什么政策。从安全态势的角度来看,在廉价笔记本电脑上运行的完全更新和软件强化的 Windows 10 Pro 机器与在硬件中启用 TPM 和 BitLocker 的商用笔记本电脑之间存在巨大鸿沟。

目前,在商业硬件上运行的 Azure AD 原生组织面临的最大威胁之一是Pass-the-PRT 攻击。这允许拥有登录到 Azure AD 的计算机的人开始针对这些服务进行身份验证,甚至可以在许多常见配置中绕过多因素身份验证。在没有 TPM 的机器上,这个令牌存储在磁盘上,如果没有 BitLocker,它可以通过多种不同的方式在线和离线获取。使用 BitLocker 和 TPM,您基本上只能在活动会话期间从内存中获取它。

微软显然,将 Windows 11 作为云优先的操作系统推出,通过深入的 Teams 集成,并作为其 Azure AD 和 Office 365 服务的平台被推到磁盘上,PRT 风险太大,不允许继续前进,但它也不能开始在人身上破坏 Windows 10。这可能是 Windows 11 背后的全部原因,或者至少是一个主要的驱动因素。

最近来自 Intel 的具有平台信任技术 (PTT) 的 CPU 和具有固件 TPM (fTPM) 的 AMD 主要支持片上 TPM,即使它们通常默认禁用,大多数现代计算机都会支持这一点 – 尽管不是全部. 但是,与独立的 TPM 芯片相比,这些芯片存在一些问题,尤其是在进行 BIOS 更新时。因为它们与设备的固件相关联,而不是分开的。对 BIOS 的更新可以清除它们并将禁用它们,需要重新初始化。

1624618913_20210625_062055_medium 1624622925_20210625_135729_medium

左边是AMD,右边是Intel

作为一名安全专家,我的观点是,这是在终端用户安全方面向前迈出的重要一步,尤其是在企业中,而且大多数人都会欣赏这对Microsoft 的支持默认开启。将 Windows 11 限制为新硬件的论点是有效的,当用户无法安装它并且不明白为什么时,这会影响采用并导致许多支持问题。仍然有人从像 Best Buy 这样的商店购买最新版本的 Windows,这将是他们的销售代表和他们热切的客户之间的有趣对话,尤其是因为即使是健康检查应用程序也对要求有点困惑.

下载最新版Windows 11 Pro ISO文件:点击进入   持续更新原装纯净版Win11 

原创文章,作者:校长,如若转载,请注明出处:https://www.yundongfang.com/Yun57133.html

(0)
打赏 微信扫一扫不于多少! 微信扫一扫不于多少! 支付宝扫一扫礼轻情意重 支付宝扫一扫礼轻情意重
上一篇 2021年6月25日 下午11:56
下一篇 2021年6月26日 上午12:16

相关推荐