Processador de segurança do Microsoft Pluton

O processador de segurança Da Microsoft Pluton é uma tecnologia de segurança chip-to-cloud criada com princípios de Confiança Zero no núcleo. O Microsoft Pluton fornece uma raiz de confiança baseada em hardware, identidade segura, atestado seguro e serviços criptográficos. A tecnologia pluton é uma combinação de um subsistema seguro, que faz parte do sistema em chip (SoC) e software criado pela Microsoft que é executado neste subsistema seguro integrado.

O Microsoft Pluton está atualmente disponível em dispositivos com processadores da série AMD Ryzen® 6000, 7000, 8000, Ryzen AI e Qualcomm Snapdragon® 8cx Gen 3 e Snapdragon X. O Microsoft Pluton pode ser ativado em dispositivos com processadores compatíveis com Plutão com o Windows 11, versão 22H2 e posterior.

O que é o Microsoft Pluton?

Concebido pela Microsoft e criado por parceiros de silicone, o Microsoft Pluton é um processador criptografativo seguro incorporado na CPU para segurança no núcleo para garantir a integridade do código e a proteção mais recente com as atualizações fornecidas pela Microsoft através do Windows Update. Plutão protege credenciais, identidades, dados pessoais e chaves de encriptação. As informações são significativamente mais difíceis de remover, mesmo que um atacante instale software maligno ou tenha a posse física completa do PC.

O Microsoft Pluton foi concebido para fornecer a funcionalidade do Trusted Platform Module (TPM) e fornecer outras funcionalidades de segurança para além do que é possível com a especificação TPM 2.0 e permite que outras funcionalidades de firmware e SO pluton sejam fornecidas ao longo do tempo através do Windows Update. Para obter mais informações, consulte Microsoft Pluton como TPM.

O Plutão baseia-se na tecnologia comprovada utilizada na Xbox e no Azure Sphere e fornece capacidades de segurança integradas protegidas para dispositivos Windows 11 em colaboração com os principais parceiros de silicone. Para obter mais informações, consulte Conheça o processador Microsoft Pluton – o chip de segurança concebido para o futuro dos PCs Windows.

Como é que o Pluton pode ajudar os clientes?

O Plutão foi criado com o objetivo de proporcionar aos clientes melhores experiências de segurança ponto a ponto. Fá-lo fazendo três coisas:

  1. Segurança e fiabilidade de confiança zero: os cenários de segurança do cliente abrangem frequentemente dispositivos e serviços cloud. Os PCs e serviços Windows, como o Microsoft Entra e o Intune, precisam de trabalhar em conjunto harmoniosamente para proporcionar segurança sem atritos. O Plutão foi concebido, criado e mantido em estreita colaboração com equipas da Microsoft para garantir que os clientes obtêm alta segurança e fiabilidade.
  2. Inovação: a plataforma Pluton e a funcionalidade que fornece são informadas pelo feedback dos clientes e pelas informações sobre ameaças da Microsoft. Por exemplo, as plataformas Pluton em 2024 AMD e os sistemas Intel começarão a utilizar uma base de firmware baseada em Rust dada a importância da segurança da memória.
  3. Melhoria contínua: a plataforma Pluton suporta o carregamento de novo firmware fornecido através de atualizações do sistema operativo. Esta funcionalidade é suportada juntamente com o mecanismo típico de atualizações da cápsula UEFI que atualizam o firmware plutónio que é residente no flash SPI do sistema e carregado durante o arranque inicial do sistema. O suporte adicional para carregar dinamicamente o novo firmware plutónio válido através de atualizações do sistema operativo facilita melhorias contínuas, tanto para correções de erros como para novas funcionalidades.

Um exemplo prático: segurança de confiança zero com políticas de acesso condicional baseadas no dispositivo

Um fluxo de trabalho de confiança zero cada vez mais importante é o acesso condicional – o acesso a recursos, como documentos do Sharepoint, com base na verificação de se os pedidos provêm de uma origem válida e em bom estado de funcionamento. O Microsoft Intune, por exemplo, suporta diferentes fluxos de trabalho para acesso condicional, incluindo o acesso condicional baseado no dispositivo , que permite às organizações definir políticas que garantam que os dispositivos geridos estão em bom estado de funcionamento e em conformidade antes de conceder acesso às aplicações e serviços da organização.

Para garantir que o Intune obtém uma imagem precisa sobre o estado de funcionamento do dispositivo como parte da aplicação destas políticas, idealmente tem registos resistentes a adulterações no estado das capacidades de segurança relevantes. É aqui que a segurança de hardware é crítica, uma vez que qualquer software malicioso em execução no dispositivo pode tentar fornecer sinais falsos ao serviço. Um dos principais benefícios de uma tecnologia de segurança de hardware como o TPM é o facto de ter um registo resistente a adulterações do estado do sistema. Os serviços podem validar criptograficamente que os registos e o estado do sistema associado comunicados pelo TPM provêm verdadeiramente do TPM.

Para que o cenário ponto a ponto seja verdadeiramente bem-sucedido em escala, a segurança baseada em hardware não é suficiente. Uma vez que o acesso aos recursos empresariais está a ser fechado com base nas definições de segurança que estão a ser comunicadas pelos registos TPM, é fundamental que estes registos estejam disponíveis de forma fiável. A segurança de confiança zero requer essencialmente elevada fiabilidade.

Com Plutão, quando está configurado como o TPM para o sistema, os clientes que utilizam o acesso condicional obtêm os benefícios da arquitetura e implementação de segurança de Plutão com a fiabilidade proveniente da integração e colaboração estreitas entre Plutão e outros componentes e serviços da Microsoft.

Descrição geral da arquitetura de segurança do Microsoft Pluton

Diagrama a mostrar a arquitetura do processador de segurança Plutónio da Microsoft

O subsistema de Segurança de Plutão consiste nas seguintes camadas:

Descrição
Hardware O Processador de Segurança Pluton é um elemento seguro totalmente integrado no subsistema SoC. Fornece um ambiente de execução fidedigno ao fornecer serviços criptográficos necessários para proteger recursos confidenciais e itens críticos, como chaves, dados, etc.
Firmware O firmware autorizado da Microsoft fornece funcionalidades seguras necessárias e expõe interfaces que o software e as aplicações do sistema operativo podem utilizar para interagir com Plutão. O firmware é armazenado no armazenamento flash disponível na placa principal. Quando o sistema arranca, o firmware é carregado como parte da inicialização do Hardware plutónio. Durante o arranque do Windows, uma cópia deste firmware (ou o firmware mais recente obtido a partir do Windows Update, se disponível) é carregada no sistema operativo. Para obter mais informações, veja Fluxo de carga de firmware
Software Controladores de sistema operativo e aplicações disponíveis para um utilizador final para permitir a utilização totalmente integrada das capacidades de hardware fornecidas pelo subsistema de segurança plutónio.

Fluxo de carga de firmware

Quando o sistema arranca, a inicialização de hardware plutónio é efetuada ao carregar o firmware plutónio a partir do armazenamento flash da Interface de Periférico Série (SPI) disponível na placa principal. No entanto, durante o arranque do Windows, a versão mais recente do firmware plutónio é utilizada pelo sistema operativo. Se o firmware mais recente não estiver disponível, o Windows utiliza o firmware que foi carregado durante a inicialização do hardware. Este diagrama ilustra este processo:

Diagrama a mostrar o fluxo de carga do Firmware Do Microsoft Pluton

Edição do Windows e requisitos de licenciamento

A tabela seguinte lista as edições do Windows que suportam o Microsoft Pluton:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
Sim Sim Sim Sim

Os direitos de licença do Microsoft Pluton são concedidos pelas seguintes licenças:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
Sim Sim Sim Sim Sim

Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.

Microsoft Pluton como TPM