微軟要求為個人電腦安全更換Windows 10硬件

微軟(Microsoft)將對Windows 10個人電腦和移動設備的最低硬件要求做出改變，并預計硬件制造商將遵守這一規定，以提高設備的安全性。

從周四開始，PC制造商應該在Windows 10個人電腦、智能手機和平板電腦中加入一項名為TPM(可信平臺模塊)2.0的基于硬件的安全功能。

TPM 2.0特性將對用戶有益，因為它將更好地保護PC上的敏感信息。TPM 2.0安全層(可以是芯片或固件的形式)可以通過在可信容器中管理和存儲加密密鑰來保護用戶數據。

微軟(Microsoft)希望通過一項名為Windows Hello的生物特征認證功能來消除密碼，用戶可以通過指紋、人臉或虹膜識別登錄個人電腦。TPM 2.0芯片對Windows Hello非常重要，因為它在一個安全區域生成和存儲身份驗證密鑰。

TPM 2.0還可以通過Microsoft Passport實現雙因素身份驗證——可以使用生物特征驗證和基于pin的身份驗證——這是Windows 10個人電腦的一個常見功能。護照功能可以用來登錄網站、應用程序和其他服務。

微軟曾表示，Windows Hello不需要TPM，但建議使用安全層來保護生物特征登錄數據。TPM芯片可能很難破解，而且在保護敏感信息方面比基于軟件的機制做得更好，否則這些機制將用于保護Windows Hello登錄數據。

安全公司IOActive的運營副總裁凱文·墨菲(Kevin Murphy)說，TPM確實提高了筆記本電腦的安全性，是對加密密鑰和其他在PC上進行身份驗證所需的重要數據的極佳保護。

由于它是基于硬件而不是基于軟件的，所以密鑰不會暴露在PC內存中。個人電腦內存是攻擊者竊取知識產權的常用場所，而這通常是攻擊的主要目的。

但是，使用TPM并不能保護加密密鑰不受攻擊者的操縱。如果攻擊者“擁有”該機器——例如，通過欺騙一個授權用戶——TPM將回答任何請求，就像它通常會回答合法用戶一樣。

“它不會知道其中的區別。這種情況下的優勢是，攻擊僅限于當前的攻擊，不能竊取未來攻擊的密鑰。

破壞TPM芯片是可能的，但這將是一個困難的攻擊，可能需要大量的技術、設備、時間和投資，Murphy說。

磁盤加密系統BitLocker已經使用TPM來保護加密密鑰。TPM還用于安全軟件更新、保護虛擬機和驗證智能卡。英特爾的vPro遠程管理服務依賴于TPM，在遠程PC維修之前進行身份驗證。

TPM 2.0將是所有Windows 10設備的最低要求，但Raspberry Pi 3等開發板除外，后者運行輕量級的Windows 10物聯網核心。

安全功能并不新鮮;事實上，它已經存在多年了，主要是在商用pc上。許多新的個人電腦已經有了TPM 2.0，除了低成本的個人電腦。一些Windows筆記本電腦有較老的TPM 1.2標準。但個人電腦制造商現在將被要求遵守微軟的新硬件要求，包括TPM 2.0。

惠普的Elite X3基于高通公司(Qualcomm)最新的驍龍820處理器的Windows 10智能手機已經配備了TPM 2.0。宏碁(Acer)的Liquid Jade Primo和諾基亞(Nokia)的Lumia機型都沒有列出這一功能，因為它們的部件比較老。

微軟一直在努力推動個人電腦的硬件和軟件改變，其中一些改變一直存在爭議。即將推出的基于英特爾(Intel)卡比湖(Kaby Lake)芯片的個人電腦(可能在第三季度發布)將只支持Windows 10，而不是之前的操作系統版本。

這家軟件公司今年早些時候表示，將在Skylake設備上支持Windows 7和8.1，直到2017年7月17日，但在因試圖強迫用戶升級到Windows 10操作系統而招致批評后，該公司將支持期限延長了一年。

一位發言人說，微軟一直在與硬件合作伙伴合作，在設備上實現TPM 2.0。她說，TPM 2.0最大限度地增強了Windows Hello、Passport的安全功能，并幫助使用DRM保護4K流媒體視頻。

“在未來，更多的關鍵功能將依賴于它，”發言人說。

TPM 2.0是可信計算集團的一個規范，去年6月被ISO/IEC(國際標準化組織和國際電工委員會)批準為國際標準。