英特尔的第八代芯片及更高版本为基于虚拟化的安全提供了最佳性能,这在 Windows 11 中自动打开。Weston 说,这代表了 Windows 11 在安全性方面相对于 Windows 10 的重大进步之一。
微软已经为英特尔第八代的 Windows 11 设置了最低 CPU 要求,因为这些芯片可以在操作系统中默认开启几个重要的安全功能,提供比 Windows 10 的重大安全增强。
随着 Windows 11 通用版将于周二推出,微软操作系统和企业安全主管大卫韦斯顿谈到了 CPU 要求如何旨在提高新操作系统的安全性,而不会导致性能下降。
英特尔的第八代及更高版本芯片支持使用某些关键安全功能,例如基于虚拟化的安全性 (VBS),同时在自动运行这些功能时还能提供最佳性能。
他说,在 Windows 10 中,VBS 等强大的安全功能是可选的,不会自动运行,因此很少使用。
“Windows 11 初始版本的策略非常简单:提高基线。默认情况下打开 Windows 10 中可选的东西,”韦斯顿说。
他说,一个例子是一种称为基于模式的执行控制的功能,它与英特尔的第 8 代及更高版本的 CPU 配合使用,有助于在运行某些基于虚拟化的安全保护的同时确保最佳性能。
一些早期的 CPU 确实支持基于模式的执行控制,包括英特尔的第七代处理器。但是第七代芯片被排除在外,因为它们不满足微软对 Windows 11 的所有性能和可靠性要求,包括默认运行 VBS 进程,韦斯顿说。
Weston 表示,除了基于模式的执行控制外,英特尔的第八代芯片还确保存在可信平台模块 (TPM) 加密和安全启动功能。
“一些较低代的 [处理器] 也具有这些功能,但它们缺少可靠性和性能优化,”他说。
与过去的 Windows 版本相比,Windows 11 对 CPU 的要求更加严格,这导致用户和 IT 行业对微软在英特尔第八代和 AMD Zen 2 上划清界限的原因感到困惑(只有少数例外)。较新的 CPU 和 TPM 2.0 预计会将大量 PC 排除在安装 Windows 11 之外。(用户仍然可以使用 Windows 媒体创建工具绕过这些要求,这是微软不鼓励但不禁止的。)
Weston 表示,部分困惑是人们一直在寻找选择在英特尔第八代和 AMD Zen 2 上启动 CPU 兼容性背后的单一原因。但情况更复杂,因为微软实际上综合考虑了多种考虑他说,要达到 Windows 11 的最低 CPU 要求。
“最终,我们可以选择多条线路,”韦斯顿说。“但我们使用了围绕可靠性、性能和安全性的数据分析来实现这一目标,这就是我们到达那个特定酒吧的方式。”
另一个问题影响了人们对此事的理解:Microsoft 认为对在 Windows 11 中启用至关重要的某些特定安全功能并未得到广泛讨论——即使是 Microsoft。例如,在Microsoft之前关于 Windows 11 安全注意事项的帖子中没有提到基于模式的执行控制。
微软在帖子中提到的是基于虚拟化的安全性,以及管理程序保护的代码完整性,或 HVCI。基于虚拟化的安全性启用 HVCI,也称为内存完整性,可禁用黑客试图注入 Windows 内核的任何动态代码。
基于模式的执行控制是优化使用 HVCI 的关键基础。该功能可确保运行 HVCI 不会对性能和用户体验造成重大影响。
HVCI 仍然可以与不支持基于模式的执行控制的处理器一起工作——但这些处理器依赖于该功能的模拟,“这对性能有更大的影响,”微软在7 月份关于 HVCI 的文档中说。
简而言之,对基于模式的执行控制的支持是过去四年制造的 CPU 满足 Windows 11 要求的关键之一,以及为什么不支持该功能或为 HVCI 提供最佳性能的旧处理器是基本上被排除在名单之外。
“基于模式的执行控制是目标,”韦斯顿说。“基于虚拟化的安全性是我们保护人们所需要的。[为此]我们需要一个高性能的功能集。”
“默认”运行的安全功能
VBS 通过创建一个单独的虚拟机来工作,该虚拟机存储与操作系统隔离的最敏感的凭据和策略。
“即使有人获得了管理员级别的权限——最高级别的权限——他们仍然无法读取这个单独的 VM 中的内容,”韦斯顿说。“这与当今云的工作方式完全相同——您可以与最激烈的竞争对手在一台硬件机器上,并且无法读取编码数据。我们使用完全相同的技术(针对 Windows 11)缩小了规模。”
他说,由于 VBS 在 Windows 10 中默认没有打开,因此该功能的使用率“非常低”。
“我们从 10 中学到的是,如果你让事情变得可选,人们就不会打开它们,”韦斯顿说。“他们认为,如果有必要,它就会开启。所以我认为这是一个很大的学习。我们在 11 中输入的是 [that] 我们将默认保护您。”
但是,默认情况下启用这些功能需要 Microsoft 确保这些功能不会拖累性能——这就是为什么基于模式的执行控制是等式中的关键部分。“如果你默认开启某些东西,最好不要太慢,”韦斯顿说。
总而言之,“我认为人们正在寻找这个非常二元的决定 [关于 CPU 要求]。这实际上是一个复杂的工程方程——它就像,’好吧,所以我们打开了安全性,性能是否下降?’”他说。“所以,这就是重点。”
虽然 Windows 11 CPU 要求还确保大多数运行该操作系统的 PC 具有针对 Spectre 和 Meltdown 处理器漏洞的硬件保护,但韦斯顿表示,这不是微软计算的一部分。
“从功能的角度来看,第八代及更高版本真正给了我们两件事——基于模式的执行控制,它在英特尔平台上作为虚拟化的优化。然后是 TPM 和安全启动的保证,”他说。“所以 Spectre 和 Meltdown 不是这里的重要因素。”
微软表示,在测试设备上结合使用 Windows 11 安全功能——包括基于虚拟化的安全、安全启动、设备加密和 Windows Hello 面部识别——将这些设备上的恶意软件减少了 60%。
零信任策略
韦斯顿指出,随着许多工人转向混合和远程工作,确保企业安全的工作变得更加困难。作为回应,Windows 11 的目标之一是通过自动打开安全功能让安全团队的工作更轻松,韦斯顿说。
“这实际上可以成为零信任策略的基础——尤其是对于微软商店,”他说。“所以 [安全专家] 可以说,’因为这些功能已经开启,这应该会限制我需要关心的事情的漏斗。现在有更多的事情被阻止了,这意味着我应该减少追逐和检测。’”
微软从客户那里听到的一个常见情况是,“即使我们的检测很好,我们也不一定有足够的人去调查所有事情并足够快地做出反应,”韦斯顿说。“所以 Windows 11 有助于减少这个漏斗。”
此外,由于可以确定 PC 是否启用了这些功能,因此可以“几乎像接种疫苗卡一样”测量系统的安全属性,他说。
因此,企业可以说,“在我让您访问数据之前,请向我展示您的设备安全‘疫苗接种卡’,”韦斯顿说。“我们在 Windows 11 中让这一切变得非常简单。这使得端点检测之类的事情变得更好,因为看的东西更少。而且端点检测更难破坏,因为它是从非常干净、高度完整性的状态开始的。”
‘这是第一幕’
根据韦斯顿的说法,Windows 11 硬件要求的另一个动机是让微软能够在操作系统的未来版本中进一步提高安全性。
“Windows 11 的这个初始版本很多都不是最终目标——它是我们旅程中的第一个点击站。我们的意思是,’我们现在可以保证您拥有 TPM。这意味着我可以确保每个应用程序开发人员现在都将凭据和密钥存储在硬件中,’”他说。“当只有一部分人拥有 Windows 10 时,我无法在 Windows 10 上做到这一点。所以它允许我设置一个基准,我现在可以移动生态系统来充分利用它。这对我们来说是一个巨大的胜利。”
这意味着“默认情况下,更多应用程序可以支持无密码。更多的应用程序可以做数据加密。更多的应用程序可以具有零信任保护,因为我们拥有基于虚拟化的功能来报告其完整性,”韦斯顿说。“您将在 Windows 11 的以下版本中看到的是我们在更好的程度上利用它来提高安全性。所以我认为这只是舞台布景。这是第一幕。我认为,第二和第三幕将真正带来安全性的大幅提升。”
位于纽约 Ronkonkoma 的解决方案提供商和 Microsoft 合作伙伴 Overview Technology Solutions 总裁兼首席技术官 Marc Menzies 表示,即使是 Windows 11 的第一个版本,也有许多安全改进可以使解决方案提供商更好地完成他们的工作.
而 CPU 要求是其中的核心部分,因为“较新的 CPU 型号允许您利用内置于硬件中的额外安全功能,”“如果你的环境对硬件有更高的标准,从安全的角度来看,它会让事情变得更加交钥匙。”
即使使用 Windows 10,“我现在可以在任何环境中使用我提供的工具(在安全方面)做得很好,”他说。他说,Windows 11 的作用是使解决方案提供商和 IT 专业人员能够“始终如一地做好工作”,因为它具有更高的安全基线。
例如,当客户群中的每台 PC 都安装了 Windows 11 时,您就可以知道它们都将安装 TPM 2.0,因此可以“轻松提升到某种程度的安全标准”,Menzies 说。
“我能够知道,走进一个使用 Windows 11 的环境,端点可以很容易地得到保护,而且我不会遇到任何奇怪的基线问题,”他说。“它只是让你更容易知道你的基线是什么,并且你可以实施一些在这一点上真正是基础的安全功能。”
总体而言,“我认为微软在安全方面的立场是关于’涨潮掀起所有船只’,”孟席斯说。
Weston 说,对于解决方案提供商和 IT 专业人员,Windows 11 应该提供“更少配置”的主要好处。
“他们的工作非常艰巨。我们的许多 IT 人员不仅仅是 IT — 他们是安全人员,他们是 DevOps。他们有一大堆不同的帽子,”他说。“我真正希望的是他们会告诉我,‘我的工作现在更轻松了。我必须做更少的调整和配置,更少的 [工作] 自己进行兼容性和性能分析——因为微软已经在 Windows 11 中预先做了更多的工作。”
原创文章,作者:校长,如若转载,请注明出处:https://www.yundongfang.com/Yun71604.html
微信扫一扫不于多少! 
支付宝扫一扫礼轻情意重 