Обработчик безопасности Microsoft Pluton
Процессор безопасности Microsoft Pluton — это технология безопасности от микросхемы в облако, созданная на основе принципов «Никому не доверяй». Microsoft Pluton предоставляет аппаратный корень доверия, безопасное удостоверение, безопасную аттестацию и криптографические службы. Технология Pluton представляет собой сочетание защищенной подсистемы, которая является частью системы на микросхеме (SoC) и программного обеспечения корпорации Майкрософт, которое работает в этой интегрированной безопасной подсистеме.
Microsoft Pluton в настоящее время доступен на устройствах с процессорами серии Ryzen 6000 и Qualcomm Snapdragon® 8cx 3-го поколения. Microsoft Pluton можно включить на устройствах с процессорами с поддержкой Pluton под управлением Windows 11 версии 22H2.
Что такое Microsoft Pluton?
Разработанная корпорацией Майкрософт и созданная партнерами по кремнию, Microsoft Pluton — это защищенный криптопроцессор, встроенный в ЦП для обеспечения целостности кода и последней защиты с помощью обновлений, предоставляемых корпорацией Майкрософт через клиентский компонент Центра обновления Windows. Pluton защищает учетные данные, удостоверения, персональные данные и ключи шифрования. Удалить информацию значительно сложнее, даже если злоумышленник установил вредоносную программу или имеет полное физическое владение компьютером.
Microsoft Pluton предназначен для предоставления функциональных возможностей доверенного платформенного модуля, а также других функций безопасности, выходящих за рамки спецификации TPM 2.0, и позволяет предоставлять дополнительные функции встроенного ПО Pluton и ОС с течением времени через клиентский компонент Центра обновления Windows. Дополнительные сведения см. в статье Microsoft Pluton как TPM.
Pluton основан на проверенных технологиях, используемых в Xbox и Azure Sphere, и предоставляет защищенные интегрированные возможности безопасности для Windows 11 устройств в сотрудничестве с ведущими партнерами по кремнию. Дополнительные сведения см. в статье Знакомство с процессором Microsoft Pluton — микросхемой безопасности, предназначенной для будущего компьютеров с Windows.
Обзор архитектуры безопасности Microsoft Pluton
Подсистема безопасности Pluton состоит из следующих уровней:
| Описание | |
|---|---|
| Оборудование | Pluton Security Processor — это безопасный элемент, тесно интегрированный в подсистему SoC. Он предоставляет надежную среду выполнения, предоставляя криптографические службы, необходимые для защиты конфиденциальных ресурсов и критически важных элементов, таких как ключи, данные и т. д. |
| Встроенное ПО | Авторизованное встроенное ПО Майкрософт предоставляет необходимые безопасные функции и функции, а также предоставляет интерфейсы, которые программное обеспечение и приложения операционной системы могут использовать для взаимодействия с Pluton. Встроенное ПО хранится в хранилище флэш-памяти, доступном на системной плате. При загрузке системы встроенное ПО загружается в рамках инициализации оборудования Pluton. Во время запуска Windows в операционную систему загружается копия этого встроенного ПО (или последняя версия встроенного ПО, полученная из клиентский компонент Центра обновления Windows, если она доступна). Дополнительные сведения см. в разделе Поток загрузки встроенного ПО. |
| Программное обеспечение | Драйверы и приложения операционной системы, доступные конечному пользователю, чтобы обеспечить простое использование аппаратных возможностей, предоставляемых подсистемой безопасности Pluton. |
Поток загрузки встроенного ПО
При загрузке системы аппаратная инициализация Pluton выполняется путем загрузки встроенного ПО Pluton из флэш-накопителя serial периферийного интерфейса (SPI), доступного на системной плате. Однако во время запуска Windows операционная система использует последнюю версию встроенного ПО Pluton. Если более новое встроенное ПО недоступно, Windows использует встроенное ПО, загруженное во время инициализации оборудования. Этот процесс показан на схеме ниже.
Требования к выпуску и лицензированию Windows
В следующей таблице перечислены выпуски Windows, поддерживающие Microsoft Pluton:
| Windows Pro | Windows Корпоративная | Windows Pro для образовательных учреждений/SE | Windows для образовательных учреждений |
|---|---|---|---|
| Да | Да | Да | Да |
Права на лицензии Microsoft Pluton предоставляются следующими лицензиями:
| Windows Pro/Pro для образовательных учреждений/SE | Windows Корпоративная E3 | Windows Корпоративная E5 | Windows для образовательных учреждений A3 | Windows для образовательных учреждений A5 |
|---|---|---|---|---|
| Да | Да | Да | Да | Да |
Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.
Агрессивное DRM-порабощение началось: Microsoft Pluton запрещает работу ОС Linux
DRM-технологии редко когда работали в интересах пользователя, обычно они работают в интересах корпораций жаждущих порабощения цифровой экосистемы, и вот настал следующий этап агрессии против свободного ПО и пользователей.
19 июля 2022, вторник 00:05
Chimbal [ ] для раздела Блоги
реклама
Предисловие
DRM-технологии редко когда работали в интересах пользователя, обычно они работают в интересах корпораций жаждущих порабощения цифровой экосистемы, и вот настал следующий этап агрессии против свободного ПО и пользователей.
реклама
 |
 |
Настало время повторить тему цифрового порабощения, ибо Microsoft уже слишком обнаглели и начали открыто запрещать работу операционных систем семейства Linux при помощи аппаратного DRM-костыля под названием Microsoft Pluton.
Для тех кто не в курсе, Microsoft Pluton это аппаратный DRM-костыль который имеет абсолютно полный доступ к системе пользователя, может делать все что угодно по указке Microsoft и от этого костыля никак не избавиться так как реализован прямо в кристалле процессора.
Lenovo ThinkPad Z13
реклама
Вот и реальный объект в котором реализован Microsoft Pluton на аппаратном уровне:
Фактически Microsoft при помощи своего DRM-костыля под названием Pluton запрещает запуск свободных операционных систем на основе Linux, по сути это принуждение к использованию операционной системы Microsoft Windows и ущемление конкурентов:
реклама
А сколько возможностей открывает Microsoft Pluton для дискриминации и ограничения свободы действий пользователя (в том числе запрет на запуск «неугодного» софта в среде Windows), подавление конкуренции (уже начали подавлять), манипуляции над информацией и многих других манипуляций в принудительном порядке по желанию Microsoft.
Это чистейшее нарушение свободы выбора и ущемление конкуренции со стороны американской корпорации Microsoft.
Я не знаю сама ли AMD внедрила столь вредоносный DRM-костыль как Microsoft Pluton в свои процессоры, или их принудили к этому, но факт есть факт. По поводу Intel я вообще промолчу, они и без сторонних усилий разрабатывали собственные Intel ME и прочие DRM-костыли.
реклама
Впрочем, я не удивлен, особенно если вспомнить как Microsoft вместе с The SCO Group пытались уничтожить свободную операционную систему Linux более 20 лет назад, и всячески пытались задавить на протяжении всей истории любые свободные операционные системы способные конкурировать с Windows, в том числе пытаясь загнать свободный софт в проприетарные рамки.
рекомендации
Ищем PHP-программиста для апгрейда конфы
На этом все, благодарю за внимание, больше интересных статей в блоге Hard-Workshop.
Microsoft Pluton как доверенный модуль платформы
Microsoft Pluton предназначен для предоставления функциональных возможностей доверенного платформенного модуля (TPM), тем самым устанавливая кремниевой корень доверия. Microsoft Pluton поддерживает отраслевой стандарт TPM 2.0, что позволяет клиентам немедленно воспользоваться преимуществами повышенной безопасности в функциях Windows, которые используют TPM, включая BitLocker, Windows Hello и System Guard в Защитнике Windows.
Как и в случае с другими TTPM, учетные данные, ключи шифрования и другие конфиденциальные сведения не могут быть легко извлечены из Pluton, даже если злоумышленник установил вредоносную программу или имеет полное физическое владение устройством. Безопасное хранение конфиденциальных данных, таких как ключи шифрования, в процессоре Pluton, изолированном от остальной системы, помогает гарантировать, что новые методы атаки, такие как спекулятивное выполнение, не смогут получить доступ к материалу ключа.
Pluton также решает основную проблему безопасности, так как обновление встроенного ПО корня доверия во всей экосистеме компьютеров путем доставки обновлений встроенного ПО с клиентский компонент Центра обновления Windows. Сегодня клиенты получают обновления встроенного ПО системы безопасности из различных источников, что может затруднить применение этих обновлений.
Дополнительные сведения о сценариях, связанных с TPM, которые пользуются преимуществами Pluton, см. в статье TPM и компоненты Windows.
Microsoft Pluton в качестве процессора безопасности наряду с дискретным TPM
Microsoft Pluton можно использовать в качестве доверенного платформенного модуля или в сочетании с TPM. Хотя Pluton создает безопасность непосредственно в ЦП, производители устройств могут использовать дискретный TPM в качестве доверенного платформенного модуля по умолчанию, а Pluton доступен для системы в качестве процессора безопасности для вариантов использования за пределами доверенного платформенного модуля.
Pluton интегрирован в подсистему SoC и предоставляет гибкую обновляемую платформу для запуска встроенного ПО, которая реализует комплексные функции безопасности, созданные, поддерживаемые и обновляемые корпорацией Майкрософт. Мы рекомендуем пользователям, владеющим устройствами с поддержкой Pluton, включить Microsoft Pluton в качестве доверенного платформенного модуля по умолчанию.
Включение Microsoft Pluton в качестве доверенного платформенного модуля
Устройства с процессорами серии Ryzen 6000 и Qualcomm Snapdragon® 8cx Gen 3 имеют возможности Pluton, однако включение и предоставление возможности включения Pluton по усмотрению производителя устройства. Pluton поддерживается на этих устройствах и может быть включен с помощью параметров настройки единого расширяемого встроенного ПО (UEFI) для устройства.
Параметры настройки UEFI отличаются от продукта к продукту. Посетите веб-сайт продукта и проверка для получения рекомендаций по включению Pluton в качестве доверенного платформенного модуля.
Если bitLocker включен, рекомендуется отключить BitLocker перед изменением конфигурации доверенного платформенного модуля, чтобы предотвратить блокировку. После изменения конфигурации доверенного платформенного модуля повторно включите BitLocker, который затем привязывает ключи BitLocker к TPM Pluton. Кроме того, можно сохранить ключ восстановления BitLocker на USB-накопителе.
Windows Hello необходимо повторно настроить после переключения доверенного платформенного модуля. Настройте альтернативные методы входа перед изменением конфигурации доверенного платформенного модуля, чтобы предотвратить проблемы со входом.
На большинстве устройств Lenovo для ввода параметров UEFI при запуске необходимо нажать клавишу ВВОД, а затем клавишу F1. В меню Настройка UEFI выберите Пункт Безопасность, а затем на странице Безопасность выберите параметр Микросхема безопасности, чтобы просмотреть параметры конфигурации доверенного платформенного модуля. В раскрывающемся списке для выбора микросхемы безопасности выберите MSFT Pluton и щелкните F10, чтобы сохранить и выйти.
Новый процессор безопасности Microsoft недостаточно безопасный? Dell тоже отказалась от Pluton в своих ПК
Компания Dell решила отказаться от процессора безопасности Microsoft Pluton.
Как сообщил источнику представитель компании, Pluton не соответствует подходу Dell к аппаратной безопасности. При этом в компании добавили, что, как и в случае со всеми новыми технологиями, Dell продолжит оценивать Pluton, чтобы сравнить его с существующими реализациями TPM в будущем. То есть в итоге разработка Microsoft в ПК Dell появиться всё же может, но вовсе не обязательно.
Означает ли это, что Dell не выпустит ни единого ноутбука на основе новейших APU Ryzen 6000, неясно. Напомним, эти процессоры первыми получили Pluton, но AMD уже говорила, что этот блок в новых APU можно отключить.
Dell стала второй компанией, объявившей об отказе от Pluton как минимум на данный момент. Первой стала Lenovo, но она оговаривала отказ от данного процессора безопасности только для ПК ThinkPad на основе процессоров Intel. То есть речь о том, что дополнительно Pluton в таких ПК никто устанавливать не будет, а в процессорах Intel его и нет.