Die Rolle des Windows-PCs und das Vertrauen in die Technologie sind wichtiger denn je, da unsere Geräte uns in Beruf und Leben vernetzt und produktiv halten. Windows 10 ist die sicherste Version von Windows, die es je gab, mit End-to-End-Sicherheit für den Schutz vom Edge über die Cloud bis hinunter zur Hardware. Weiterentwicklungen wie die biometrische Gesichtserkennung Windows Hello, der integrierte Microsoft Defender Antivirus sowie Firmware-Schutz und erweiterte Systemfunktionen wie System Guard, Application Control for Windows und mehr haben Microsoft geholfen, mit der sich entwickelnden Bedrohungslandschaft Schritt zu halten.
Während Cloud-gestützte Schutzmaßnahmen und KI-Fortschritte im Windows-Betriebssystem es Angreifern zunehmend schwerer und teurer machen, entwickeln sie sich schnell weiter und verlagern sich auf neue Ziele: die Nahtstellen zwischen Hardware und Software, die derzeit nicht erreicht oder auf Verstöße überwacht werden können. Wir haben bereits Schritte unternommen, um diese raffinierten Cyberkriminellen und nationalstaatlichen Akteure mit unseren Partnern durch Innovationen wie PCs mit gesichertem Kern zu bekämpfen, die fortschrittlichen Identitäts-, Betriebssystem- und Hardwareschutz bieten.
Heute kündigt Microsoft zusammen mit seinen größten Siliziumpartnern eine neue Vision für Windows-Sicherheit an, um sicherzustellen, dass unsere Kunden heute und in Zukunft geschützt sind. In Zusammenarbeit mit den führenden Siliziumpartnern AMD, Intel und Qualcomm Technologies, Inc. kündigen wir den Microsoft Pluton Sicherheitsprozessor an. Diese Chip-to-Cloud-Sicherheitstechnologie, die bei Xbox und Azure Sphere Pionierarbeit geleistet hat, wird noch mehr Sicherheitsfortschritte für zukünftige Windows-PCs bringen und den Beginn einer Reise mit Ökosystem- und OEM-Partnern einläuten.
Unsere Vision für die Zukunft von Windows-PCs ist Sicherheit im Kern, eingebaut in die CPU, wo Hardware und Software in einem einheitlichen Ansatz eng integriert sind, um ganze Angriffsvektoren zu eliminieren. Dieses revolutionäre Design des Sicherheitsprozessors wird es Angreifern erheblich erschweren, sich unter dem Betriebssystem zu verstecken, und unsere Fähigkeit verbessern, uns vor physischen Angriffen zu schützen, den Diebstahl von Anmeldeinformationen und Verschlüsselungsschlüsseln zu verhindern und die Möglichkeit zu bieten, sich von Softwarefehlern zu erholen.
Pluton-Design definiert Windows-Sicherheit in der CPU neu
Heute befindet sich das Herzstück der Betriebssystemsicherheit auf den meisten PCs in einem von der CPU getrennten Chip, dem Trusted Platform Module (TPM). Das TPM ist eine Hardwarekomponente, die zur sicheren Speicherung von Schlüsseln und Messungen dient, die die Integrität des Systems überprüfen. TPMs werden in Windows seit mehr als 10 Jahren unterstützt und versorgen viele kritische Technologien wie Windows Hello und BitLocker. Angesichts der Effektivität des TPMs bei der Durchführung kritischer Sicherheitsaufgaben haben Angreifer begonnen, innovative Wege zu finden, um es anzugreifen, insbesondere in Situationen, in denen ein Angreifer einen PC stehlen oder vorübergehend physischen Zugriff darauf erlangen kann. Diese ausgefeilten Angriffstechniken zielen auf den Kommunikationskanal zwischen der CPU und dem TPM ab, bei dem es sich typischerweise um eine Busschnittstelle handelt. Diese Busschnittstelle bietet die Möglichkeit, Informationen zwischen der Haupt-CPU und dem Sicherheitsprozessor auszutauschen, aber sie bietet Angreifern auch die Möglichkeit, Informationen während der Übertragung durch einen physischen Angriff zu stehlen oder zu modifizieren.
Das Pluton-Design beseitigt das Potenzial, dass dieser Kommunikationskanal angegriffen werden kann, indem die Sicherheit direkt in die CPU eingebaut wird. Windows-PCs, die die Pluton-Architektur verwenden, werden zunächst ein TPM emulieren, das mit den bestehenden TPM-Spezifikationen und APIs arbeitet. Dadurch können Kunden sofort von der verbesserten Sicherheit für Windows-Funktionen profitieren, die auf TPMs wie BitLocker und System Guard angewiesen sind. Windows-Geräte mit Pluton werden den Pluton-Sicherheitsprozessor nutzen, um Anmeldeinformationen, Benutzeridentitäten, Verschlüsselungsschlüssel und persönliche Daten zu schützen. Keine dieser Informationen kann von Pluton entfernt werden, selbst wenn ein Angreifer Malware installiert hat oder den PC vollständig in seinen Besitz gebracht hat.
Dies wird erreicht, indem sensible Daten wie Verschlüsselungsschlüssel sicher im Pluton-Prozessor gespeichert werden, der vom Rest des Systems isoliert ist, was dazu beiträgt, dass aufkommende Angriffstechniken, wie spekulative Ausführung, nicht auf Schlüsselmaterial zugreifen können. Pluton bietet außerdem die einzigartige Secure Hardware Cryptography Key (SHACK)-Technologie, die sicherstellt, dass die Schlüssel niemals außerhalb der geschützten Hardware offengelegt werden, nicht einmal für die Pluton-Firmware selbst, was ein noch nie dagewesenes Maß an Sicherheit für Windows-Kunden bedeutet.
Der Pluton-Sicherheitsprozessor ergänzt die Arbeit, die Microsoft mit der Community geleistet hat, einschließlich des Projekts Cerberus, indem er eine sichere Identität für die CPU bereitstellt, die von Cerberus attestiert werden kann, wodurch die Sicherheit der gesamten Plattform erhöht wird.
Eines der anderen großen Sicherheitsprobleme, die durch Pluton gelöst werden, ist es, die System-Firmware im gesamten PC-Ökosystem auf dem neuesten Stand zu halten. Heutzutage erhalten Kunden Updates für ihre Sicherheits-Firmware aus einer Vielzahl von unterschiedlichen Quellen, die schwer zu verwalten sind, was zu weit verbreiteten Patching-Problemen führen kann. Pluton bietet eine flexible, aktualisierbare Plattform für die Ausführung von Firmware, die eine durchgängige Sicherheitsfunktionalität implementiert, die von Microsoft verfasst, gewartet und aktualisiert wird. Pluton für Windows-Computer wird auf die gleiche Weise in den Windows-Update-Prozess integriert, wie der Azure Sphere Security Service sich mit IoT-Geräten verbindet.
Die Verschmelzung von Microsofts OS-Sicherheitsverbesserungen, Innovationen wie Secure-Core-PCs und Azure Sphere sowie Hardware-Innovationen unserer Silizium-Partner ermöglicht es Microsoft, sich gegen anspruchsvolle Angriffe auf Windows-PCs, die Azure-Cloud und intelligente Azure-Edge-Geräte zu schützen.
Innovation mit unseren Partnern zur Verbesserung der Chip-to-Cloud-Sicherheit
Der PC verdankt seinen Erfolg größtenteils einem immens lebendigen Ökosystem mit Betriebssystem-, Silizium- und OEM-Partnern, die alle zusammenarbeiten, um schwierige Probleme durch gemeinschaftliche Innovation zu lösen. Dies wurde vor über 10 Jahren mit der erfolgreichen Einführung des TPMs, der ersten breit verfügbaren Hardware-Vertrauenswürdigkeit, demonstriert. Seit diesem Meilenstein arbeiten Microsoft und seine Partner gemeinsam an der nächsten Generation von Sicherheitstechnologien, die die neuesten Betriebssystem- und Silizium-Innovationen nutzen, um die schwierigsten Sicherheitsprobleme zu lösen. Mit diesem „Better Together“-Ansatz wollen wir das PC-Ökosystem zum sichersten machen, das es gibt.
In die Microsoft Pluton-Designtechnologie sind alle Erkenntnisse eingeflossen, die bei der Auslieferung von Hardware-Root-of-Trust-fähigen Geräten an Hunderte von Millionen PCs gewonnen wurden. Das Pluton-Design wurde als Teil der integrierten Hardware- und Betriebssystem-Sicherheitsfunktionen in der 2013 von Microsoft in Partnerschaft mit AMD veröffentlichten Xbox One-Konsole und auch innerhalb von Azure Sphere eingeführt. Die Einführung von Microsofts IP-Technologie direkt in das CPU-Silizium trug dazu bei, physische Angriffe abzuwehren, die Entdeckung von Schlüsseln zu verhindern und die Möglichkeit zu bieten, sich von Softwarefehlern zu erholen.
Durch die Effektivität des ersten Pluton-Designs haben wir viel darüber gelernt, wie man Hardware nutzen kann, um eine Reihe von physischen Angriffen zu entschärfen. Jetzt nehmen wir das, was wir daraus gelernt haben, um eine Chip-to-Cloud-Sicherheitsvision umzusetzen, um noch mehr Sicherheitsinnovationen in die Zukunft von Windows-PCs zu bringen (mehr Details in diesem Vortrag von Microsoft BlueHat). Azure Sphere nutzte einen ähnlichen Sicherheitsansatz, um das erste IoT-Produkt zu werden, das die „Sieben Eigenschaften hochsicherer Geräte“ erfüllt.
Die gemeinsame Root-of-Trust-Technologie von Pluton wird die Gesundheit und Sicherheit des gesamten Windows-PC-Ökosystems maximieren, indem sie die Sicherheitsexpertise und Technologien der beteiligten Unternehmen nutzt. Der Pluton-Sicherheitsprozessor wird die nächste Generation von Hardware-Sicherheitsschutz für Windows-PCs durch zukünftige Chips von AMD, Intel und Qualcomm Technologies bereitstellen.
„Bei AMD hat Sicherheit oberste Priorität und wir sind stolz darauf, bei der Entwicklung von Hardware-Sicherheitsplattformen an vorderster Front zu stehen, um Funktionen zu unterstützen, die Anwender vor den raffiniertesten Angriffen schützen. Als Teil dieser Wachsamkeit haben AMD und Microsoft eng zusammengearbeitet, um prozessorbasierte Sicherheitslösungen zu entwickeln und kontinuierlich zu verbessern, beginnend mit der Xbox One Konsole und nun auch im PC. Wir entwerfen und bauen unsere Produkte mit Blick auf die Sicherheit und die Übertragung der Pluton-Technologie von Microsoft auf die Chipebene wird die bereits starken Sicherheitsfähigkeiten unserer Prozessoren weiter verbessern.“ – Jason Thomas, Head of Product Security, AMD
„Intel arbeitet weiterhin mit Microsoft zusammen, um die Sicherheit von Windows-PC-Plattformen zu verbessern. Die Einführung von Microsoft Pluton in zukünftige Intel-CPUs wird die Integration zwischen Intel-Hardware und dem Windows-Betriebssystem weiter ermöglichen.“ – Mike Nordquist, Sr. Director, Commercial Client Security, Intel
„Qualcomm Technologies freut sich, seine Zusammenarbeit mit Microsoft fortzusetzen, um eine Reihe von Geräten und Anwendungsfällen sicherer zu machen. Wir glauben, dass ein hardwarebasierter Root-of-Trust wie der Microsoft Pluton eine wichtige Komponente für die Absicherung zahlreicher Anwendungsfälle und der Geräte ist, die diese ermöglichen.“ – Asaf Shen, Senior Director of Product Management bei Qualcomm Technologies, Inc.
Wir glauben, dass Prozessoren mit eingebauter Sicherheit wie Pluton die Zukunft der Computing-Hardware sind. Unsere Vision ist es, mit Pluton eine sicherere Grundlage für den intelligenten Rand und die intelligente Cloud zu schaffen, indem wir dieses Maß an eingebautem Vertrauen auf Geräte und Dinge überall ausdehnen.
Unsere Arbeit mit der Community hilft Microsoft, kontinuierlich Innovationen zu entwickeln und die Sicherheit auf jeder Ebene zu verbessern. Wir freuen uns darauf, dieses revolutionäre Sicherheitsdesign mit den größten Namen der Siliziumindustrie zu verwirklichen, während wir kontinuierlich daran arbeiten, die Sicherheit für alle zu verbessern.