De rol van de Windows-pc en het vertrouwen in technologie zijn belangrijker dan ooit nu onze apparaten ons verbonden en productief houden op het werk en in het leven. Windows 10 is de veiligste versie van Windows ooit, gebouwd met end-to-end beveiliging voor bescherming van de rand tot de cloud, helemaal tot aan de hardware. Dankzij verbeteringen zoals de biometrische gezichtsherkenning van Windows Hello, de ingebouwde Microsoft Defender Antivirus en firmwarebescherming en geavanceerde systeemmogelijkheden zoals System Guard, Application Control for Windows en meer, kan Microsoft gelijke tred houden met het evoluerende bedreigingslandschap.
Weliswaar hebben cloud-gebaseerde beveiligingen en AI-verbeteringen aan het Windows OS het aanvallers steeds moeilijker en duurder gemaakt, maar ze ontwikkelen zich snel en begeven zich op nieuwe doelwitten: de naden tussen hardware en software die momenteel niet kunnen worden bereikt of gecontroleerd op inbreuken. We hebben al stappen ondernomen om deze geraffineerde cybercriminelen en actoren van natiestaten samen met onze partners te bestrijden door middel van innovaties zoals beveiligde kern-PC’s die geavanceerde bescherming bieden voor identiteit, besturingssysteem en hardware.
Vandaag kondigt Microsoft samen met onze grootste siliciumpartners een nieuwe visie op Windows-beveiliging aan om ervoor te zorgen dat onze klanten vandaag en in de toekomst beschermd zijn. In samenwerking met toonaangevende siliciumpartners AMD, Intel en Qualcomm Technologies, Inc. kondigen we de Microsoft Pluton beveiligingsprocessor aan. Deze chip-to-cloud beveiligingstechnologie, die als eerste wordt toegepast in Xbox en Azure Sphere, brengt nog meer beveiligingsverbeteringen naar toekomstige Windows-pc’s en markeert het begin van een reis met ecosysteem- en OEM-partners.
Onze visie voor de toekomst van Windows-pc’s is beveiliging in de kern, ingebouwd in de CPU, waar hardware en software nauw zijn geïntegreerd in een gebundelde aanpak die is ontworpen om hele aanvalsvectoren te elimineren. Dit revolutionaire ontwerp van de beveiligingsprocessor maakt het aanvallers aanzienlijk moeilijker om zich onder het besturingssysteem te verbergen, en verbetert onze mogelijkheden om ons te beschermen tegen fysieke aanvallen, diefstal van sleutels en encryptiesleutels te voorkomen, en de mogelijkheid te bieden om softwarebugs te herstellen.
Pluton-ontwerp herdefinieert Windows-beveiliging op de CPU
Heden ten dage bevindt het hart van de beveiliging van het besturingssysteem zich op de meeste PC’s in een chip die los staat van de CPU, de Trusted Platform Module (TPM) genaamd. De TPM is een hardware-onderdeel dat wordt gebruikt om sleutels en metingen die de integriteit van het systeem verifiëren, veilig op te slaan. TPM’s worden al meer dan 10 jaar ondersteund in Windows en zijn de drijvende kracht achter veel kritieke technologieën zoals Windows Hello en BitLocker. Gezien de effectiviteit van de TPM bij het uitvoeren van kritieke beveiligingstaken, zijn aanvallers begonnen met het innoveren van manieren om de TPM aan te vallen, met name in situaties waarin een aanvaller fysieke toegang tot een pc kan stelen of tijdelijk kan verkrijgen. Deze gesofisticeerde aanvalstechnieken richten zich op het communicatiekanaal tussen de CPU en de TPM, dat meestal een businterface is. Deze businterface maakt het mogelijk om informatie uit te wisselen tussen de CPU en de beveiligingsprocessor, maar biedt aanvallers ook de mogelijkheid om informatie te stelen of te wijzigen door middel van een fysieke aanval.
Het Pluton-ontwerp maakt een einde aan de mogelijkheid om dat communicatiekanaal aan te vallen door de beveiliging rechtstreeks in de CPU in te bouwen. Windows-pc’s die gebruikmaken van de Pluton-architectuur emuleren eerst een TPM die werkt met de bestaande TPM-specificaties en API’s, waardoor klanten onmiddellijk kunnen profiteren van verbeterde beveiliging voor Windows-functies die vertrouwen op TPM’s, zoals BitLocker en System Guard. Windows-apparaten met Pluton zullen de Pluton-beveiligingsprocessor gebruiken om geloofsbrieven, gebruikersidentiteiten, encryptiesleutels en persoonlijke gegevens te beschermen. Geen van deze gegevens kan uit Pluton worden verwijderd, zelfs niet als een aanvaller malware heeft geïnstalleerd of de pc volledig fysiek in bezit heeft.
Dit wordt bereikt door gevoelige gegevens zoals encryptiesleutels veilig op te slaan in de Pluton-processor, die is geïsoleerd van de rest van het systeem, wat helpt ervoor te zorgen dat opkomende aanvalstechnieken, zoals speculatieve uitvoering, geen toegang kunnen krijgen tot sleutelmateriaal. Pluton biedt ook de unieke SHACK-technologie (Secure Hardware Cryptography Key) die ervoor zorgt dat sleutels nooit worden blootgesteld buiten de beschermde hardware, zelfs niet aan de Pluton-firmware zelf, wat een ongekend beveiligingsniveau biedt voor Windows-klanten.
De Pluton-beveiligingsprocessor is een aanvulling op het werk dat Microsoft samen met de gemeenschap heeft gedaan, waaronder Project Cerberus, door een veilige identiteit voor de CPU te bieden die door Cerberus kan worden geattesteerd, waardoor de beveiliging van het totale platform wordt verbeterd.
Eén van de andere grote beveiligingsproblemen die door Pluton is opgelost, is het up-to-date houden van de systeemfirmware in het gehele pc-ecosysteem. Tegenwoordig ontvangen klanten updates voor hun beveiligingsfirmware uit een groot aantal verschillende bronnen die moeilijk te beheren kunnen zijn, wat leidt tot wijdverspreide problemen met patchen. Pluton biedt een flexibel, updatebaar platform voor het uitvoeren van firmware die end-to-end beveiligingsfunctionaliteit implementeert die is geschreven, wordt onderhouden en wordt bijgewerkt door Microsoft. Pluton voor Windows-computers zal worden geïntegreerd in het Windows Update-proces op dezelfde manier als de Azure Sphere Security Service verbinding maakt met IoT-apparaten.
De fusie van Microsoft’s OS-beveiligingsverbeteringen, innovaties zoals secured-core pc’s en Azure Sphere, en hardware-innovatie van onze siliciumpartners biedt Microsoft de mogelijkheid om bescherming te bieden tegen geavanceerde aanvallen op Windows-pc’s, de Azure-cloud en Azure-intelligente edge-apparaten.
Innovatie met onze partners om chip-to-cloud-beveiliging te verbeteren
De pc dankt zijn succes grotendeels aan een immens levendig ecosysteem met OS-, silicium- en OEM-partners die allemaal samenwerken om moeilijke problemen op te lossen door middel van gezamenlijke innovatie. Dit werd meer dan 10 jaar geleden aangetoond met de succesvolle introductie van de TPM, de eerste algemeen beschikbare hardware root of trust. Sinds die mijlpaal zijn Microsoft en partners blijven samenwerken aan beveiligingstechnologieën van de volgende generatie die optimaal gebruikmaken van de nieuwste OS- en siliciuminnovaties om de meest uitdagende beveiligingsproblemen op te lossen. Met deze “better together”-aanpak willen we het PC-ecosysteem tot het veiligste ter wereld maken.
In de Microsoft Pluton-ontwerptechnologie zijn alle lessen verwerkt die we hebben geleerd van het leveren van op hardware gebaseerde “root-of-trust”-apparaten aan honderden miljoenen PC’s. Het Pluton-ontwerp werd geïntroduceerd als onderdeel van de geïntegreerde hardware- en OS-beveiligingsmogelijkheden in de Xbox One-console die Microsoft in 2013 uitbracht in samenwerking met AMD en ook binnen Azure Sphere. De introductie van Microsofts IP-technologie direct in het CPU-silicium hielp bij de beveiliging tegen fysieke aanvallen, het voorkomen van de ontdekking van sleutels en het bieden van de mogelijkheid om te herstellen van softwarebugs.
Met de effectiviteit van het eerste Pluton-ontwerp hebben we veel geleerd over hoe we hardware kunnen gebruiken om een reeks fysieke aanvallen te beperken. Nu gebruiken we wat we hiervan hebben geleerd om een chip-to-cloud beveiligingsvisie te leveren om nog meer beveiligingsinnovatie naar de toekomst van Windows PC’s te brengen (meer details in deze toespraak van Microsoft BlueHat). Azure Sphere heeft een vergelijkbare beveiligingsaanpak gebruikt om het eerste IoT-product te worden dat voldoet aan de “Zeven eigenschappen van zeer veilige apparaten.”
De gedeelde Pluton root-of-trust-technologie zal de gezondheid en veiligheid van het hele Windows PC-ecosysteem maximaliseren door gebruik te maken van de beveiligingsexpertise en -technologieën van de betrokken bedrijven. De Pluton-beveiligingsprocessor zal de volgende generatie hardwarebeveiliging bieden aan Windows PC’s via toekomstige chips van AMD, Intel en Qualcomm Technologies.
“Bij AMD is beveiliging onze topprioriteit en we zijn er trots op dat we in de voorhoede hebben gestaan van het ontwerp van hardwarebeveiligingsplatforms om functies te ondersteunen die gebruikers helpen beschermen tegen de meest geraffineerde aanvallen. Als onderdeel van die waakzaamheid hebben AMD en Microsoft nauw samengewerkt aan de ontwikkeling en voortdurende verbetering van processorgebaseerde beveiligingsoplossingen, te beginnen met de Xbox One-console en nu in de pc. Wij ontwerpen en bouwen onze producten met beveiliging in ons achterhoofd en door de Pluton-technologie van Microsoft naar het chipniveau te brengen, zullen de toch al sterke beveiligingscapaciteiten van onze processors nog verder worden versterkt.” – Jason Thomas, hoofd productbeveiliging, AMD
“Intel blijft samenwerken met Microsoft om de beveiliging van Windows PC-platforms te bevorderen. De introductie van Microsoft Pluton in toekomstige Intel CPU’s zal de integratie tussen Intel-hardware en het Windows-besturingssysteem verder bevorderen.” – Mike Nordquist, Sr. Director, Commercial Client Security, Intel
“Qualcomm Technologies is verheugd om zijn samenwerking met Microsoft voort te zetten om een reeks apparaten en use cases veiliger te maken. Wij geloven dat een on-die, hardware-gebaseerde Root-of-Trust zoals de Microsoft Pluton een belangrijke component is in het beveiligen van meerdere use cases en de apparaten die ze mogelijk maken.” – Asaf Shen, senior director of product management bij Qualcomm Technologies, Inc.
Wij geloven dat processoren met ingebouwde beveiliging zoals Pluton de toekomst zijn van computerhardware. Met Pluton is het onze visie om een veiliger fundament te bieden voor de intelligente rand en de intelligente cloud door dit niveau van ingebouwd vertrouwen uit te breiden naar apparaten en dingen overal.
Onze samenwerking met de gemeenschap helpt Microsoft voortdurend te innoveren en de beveiliging op elke laag te verbeteren. We zijn verheugd om dit revolutionaire beveiligingsontwerp werkelijkheid te laten worden met de grootste namen in de siliciumindustrie terwijl we voortdurend werken aan het verbeteren van de beveiliging voor iedereen.