微軟官方博客最新刊文介紹該公司聯(lián)合制造商推出的安全核心設(shè)備，這是搭載Windows 10系統(tǒng)的最安全的設(shè)備。這類設(shè)備主要側(cè)重點(diǎn)就是構(gòu)建高安全環(huán)境防止攻擊和泄密，主要適用于政府、金融以及醫(yī)療保健等高度敏感行業(yè)。微軟設(shè)計(jì)的這類設(shè)備需要集成專用的硬件、固件、軟件以及身份保護(hù)，制造商只有通過(guò)微軟測(cè)試才可以獲得認(rèn)證。目前已參與該項(xiàng)目并獲得認(rèn)證的制造商包括聯(lián)想、松下、戴爾、惠普、Dynabook以及微軟自家品牌的硬件設(shè)備

安全核心PC的亮點(diǎn)在于，它們使用現(xiàn)代CPU中基于硬件的安全性，將系統(tǒng)啟動(dòng)到受信任狀態(tài)，從而防止高級(jí)惡意軟件篡改系統(tǒng)，并在固件級(jí)別進(jìn)行攻擊。一旦安全地啟動(dòng)了CPU，操作系統(tǒng)就可以接手控制。管理程序強(qiáng)制的代碼完整性，可確保操作系統(tǒng)內(nèi)核中所有代碼都是可信任的。

然后，用戶使用Windows Hello安全登錄。雙重憑據(jù)保護(hù)功能，確保用戶身份，同時(shí)在安全的VBS環(huán)境中隔離和保護(hù)域憑據(jù)。各種Windows OEM廠商，包括包括戴爾，dynabook，惠普，聯(lián)想，松下，Dynabook和Surface，都將提供安全核心PC。

安全核心設(shè)備的亮點(diǎn)功能：

1.受保護(hù)的安全核心設(shè)備使用現(xiàn)代處理器中基于硬件的安全性將系統(tǒng)啟用到受信狀態(tài)防止基于固件層面的攻擊等。

2.只要處理器被啟動(dòng)操作系統(tǒng)就可以直接控制，系統(tǒng)管理程序強(qiáng)制執(zhí)行數(shù)據(jù)完整性驗(yàn)證確保內(nèi)核代碼未遭到篡改。

3.用戶均需要使用 Windows Hello 生物驗(yàn)證登錄 , 第二代身份驗(yàn)證系統(tǒng)確保在安全環(huán)境中隔離用戶以及憑據(jù)等。

4.融合安全啟動(dòng)、TPM 2.0可信認(rèn)證模塊、內(nèi)核代碼保護(hù)以及操作系統(tǒng)層面的系統(tǒng)防護(hù)確保所有代碼簽名并驗(yàn)證。

微軟推出此類設(shè)備的目的：

微軟在博客中表示當(dāng)前高級(jí)別的黑客攻擊不僅僅基于軟件，而是試圖直接攻擊固件讓操作系統(tǒng)啟動(dòng)時(shí)便遭到監(jiān)視。從固件層面攻擊能夠讓攻擊者具有更高級(jí)別的權(quán)限執(zhí)行更多惡意操作，同時(shí)還可以破壞安全機(jī)制讓用戶無(wú)法發(fā)掘。由于端點(diǎn)保護(hù)和檢測(cè)解決方案都是在操作系統(tǒng)上運(yùn)行的，因此基于固件層面的攻擊讓這些安全防御機(jī)制不再有效。如何確保高度機(jī)密行業(yè)的數(shù)據(jù)安全是微軟非常重視的內(nèi)容，所以微軟推出安全核心設(shè)備確保企業(yè)數(shù)據(jù)不會(huì)被竊取。