Microsoft推出最安全的Win10设备——安全核心PC

10月22日消息 微软今天宣布推出安全核心PC，这是目前最安全的Win10设备，具有集成的硬件，固件，软件和身份保护功能。Windows OEM产品必须满足微软列出的严格安全要求才能获得此认证。这些新型安全核心PC面向数据敏感度最高的行业用户，例如政府，金融服务和医疗保健单位当中的工作人员。

安全核心PC的亮点在于，它们使用现代CPU中基于硬件的安全性，将系统启动到受信任状态，从而防止高级恶意软件篡改系统，并在固件级别进行攻击。一旦安全地启动了CPU，操作系统就可以接手控制。管理程序强制的代码完整性，可确保操作系统内核中所有代码都是可信任的。

然后，用户使用WindowsHello安全登录。双重凭据保护功能，确保用户身份，同时在安全的VBS环境中隔离和保护域凭据。各种Windows OEM厂商，包括包括戴尔，dynabook，惠普，联想，松下，Dynabook和Surface，都将提供安全核心PC。您可以从此链接中详细了解安全核心PC细节。

安全核心设备的亮点功能：

1.受保护的安全核心设备使用现代处理器中基于硬件的安全性将系统启用到受信状态防止基于固件层面的攻击等。

2.只要处理器被启动操作系统就可以直接控制，系统管理程序强制执行数据完整性验证确保内核代码未遭到篡改。

3.用户均需要使用 Windows Hello 生物验证登录 , 第二代身份验证系统确保在安全环境中隔离用户以及凭据等。

4.融合安全启动、TPM 2.0可信认证模块、内核代码保护以及操作系统层面的系统防护确保所有代码签名并验证。

微软推出此类设备的目的：

微软在博客中表示当前高级别的黑客攻击不仅仅基于软件，而是试图直接攻击固件让操作系统启动时便遭到监视。

从固件层面攻击能够让攻击者具有更高级别的权限执行更多恶意操作，同时还可以破坏安全机制让用户无法发掘。

由于端点保护和检测解决方案都是在操作系统上运行的，因此基于固件层面的攻击让这些安全防御机制不再有效。

如何确保高度机密行业的数据安全是微软非常重视的内容，所以微软推出安全核心设备确保企业数据不会被窃取。

加强引导程序的安全验证机制：

自Windows 8开始微软已推出安全启动机制降低对 UEFI 的依赖，安全启动仅允许具有签名的程序启动引导加载。

尽管相比以前安全启动已经极大的提高启动安全性，但这依然无法防御利用受信任固件的漏洞发动攻击的可能性。

为此微软联合制造商们推出支持安全核心的新设备，这些设备使用新式处理器提供的硬件功能守护启动过程安全。

该功能使用 AMD 、英特尔以及高通刑事处理器提供的动态测量信任根功能发送验证路径确保系统处于可信状态。

同时微软还提供基于虚拟化的安全功能将敏感操作内容与操作系统进行隔离，确保私密内容不受恶意软件的窃取。