Processador de segurança do Microsoft Pluton
O processador de segurança Da Microsoft Pluton é uma tecnologia de segurança chip-to-cloud criada com princípios de Confiança Zero no núcleo. O Microsoft Pluton fornece uma raiz de confiança baseada em hardware, identidade segura, atestado seguro e serviços criptográficos. A tecnologia pluton é uma combinação de um subsistema seguro, que faz parte do sistema em chip (SoC) e software criado pela Microsoft que é executado neste subsistema seguro integrado.
O Microsoft Pluton está atualmente disponível em dispositivos com processadores da série AMD Ryzen® 6000, 7000, 8000, Ryzen AI e Qualcomm Snapdragon® 8cx Gen 3 e Snapdragon X. O Microsoft Pluton pode ser ativado em dispositivos com processadores compatíveis com Plutão com o Windows 11, versão 22H2 e posterior.
O que é o Microsoft Pluton?
Concebido pela Microsoft e criado por parceiros de silicone, o Microsoft Pluton é um processador criptografativo seguro incorporado na CPU para segurança no núcleo para garantir a integridade do código e a proteção mais recente com as atualizações fornecidas pela Microsoft através do Windows Update. Plutão protege credenciais, identidades, dados pessoais e chaves de encriptação. As informações são significativamente mais difíceis de remover, mesmo que um atacante instale software maligno ou tenha a posse física completa do PC.
O Microsoft Pluton foi concebido para fornecer a funcionalidade do Trusted Platform Module (TPM) e fornecer outras funcionalidades de segurança para além do que é possível com a especificação TPM 2.0 e permite que outras funcionalidades de firmware e SO pluton sejam fornecidas ao longo do tempo através do Windows Update. Para obter mais informações, consulte Microsoft Pluton como TPM.
O Plutão baseia-se na tecnologia comprovada utilizada na Xbox e no Azure Sphere e fornece capacidades de segurança integradas protegidas para dispositivos Windows 11 em colaboração com os principais parceiros de silicone. Para obter mais informações, consulte Conheça o processador Microsoft Pluton – o chip de segurança concebido para o futuro dos PCs Windows.
Como é que o Pluton pode ajudar os clientes?
O Plutão foi criado com o objetivo de proporcionar aos clientes melhores experiências de segurança ponto a ponto. Fá-lo fazendo três coisas:
- Segurança e fiabilidade de confiança zero: os cenários de segurança do cliente abrangem frequentemente dispositivos e serviços cloud. Os PCs e serviços Windows, como o Microsoft Entra e o Intune, precisam de trabalhar em conjunto harmoniosamente para proporcionar segurança sem atritos. O Plutão foi concebido, criado e mantido em estreita colaboração com equipas da Microsoft para garantir que os clientes obtêm alta segurança e fiabilidade.
- Inovação: a plataforma Pluton e a funcionalidade que fornece são informadas pelo feedback dos clientes e pelas informações sobre ameaças da Microsoft. Por exemplo, as plataformas Pluton em 2024 AMD e os sistemas Intel começarão a utilizar uma base de firmware baseada em Rust dada a importância da segurança da memória.
- Melhoria contínua: a plataforma Pluton suporta o carregamento de novo firmware fornecido através de atualizações do sistema operativo. Esta funcionalidade é suportada juntamente com o mecanismo típico de atualizações da cápsula UEFI que atualizam o firmware plutónio que é residente no flash SPI do sistema e carregado durante o arranque inicial do sistema. O suporte adicional para carregar dinamicamente o novo firmware plutónio válido através de atualizações do sistema operativo facilita melhorias contínuas, tanto para correções de erros como para novas funcionalidades.
Um exemplo prático: segurança de confiança zero com políticas de acesso condicional baseadas no dispositivo
Um fluxo de trabalho de confiança zero cada vez mais importante é o acesso condicional – o acesso a recursos, como documentos do Sharepoint, com base na verificação de se os pedidos provêm de uma origem válida e em bom estado de funcionamento. O Microsoft Intune, por exemplo, suporta diferentes fluxos de trabalho para acesso condicional, incluindo o acesso condicional baseado no dispositivo , que permite às organizações definir políticas que garantam que os dispositivos geridos estão em bom estado de funcionamento e em conformidade antes de conceder acesso às aplicações e serviços da organização.
Para garantir que o Intune obtém uma imagem precisa sobre o estado de funcionamento do dispositivo como parte da aplicação destas políticas, idealmente tem registos resistentes a adulterações no estado das capacidades de segurança relevantes. É aqui que a segurança de hardware é crítica, uma vez que qualquer software malicioso em execução no dispositivo pode tentar fornecer sinais falsos ao serviço. Um dos principais benefícios de uma tecnologia de segurança de hardware como o TPM é o facto de ter um registo resistente a adulterações do estado do sistema. Os serviços podem validar criptograficamente que os registos e o estado do sistema associado comunicados pelo TPM provêm verdadeiramente do TPM.
Para que o cenário ponto a ponto seja verdadeiramente bem-sucedido em escala, a segurança baseada em hardware não é suficiente. Uma vez que o acesso aos recursos empresariais está a ser fechado com base nas definições de segurança que estão a ser comunicadas pelos registos TPM, é fundamental que estes registos estejam disponíveis de forma fiável. A segurança de confiança zero requer essencialmente elevada fiabilidade.
Com Plutão, quando está configurado como o TPM para o sistema, os clientes que utilizam o acesso condicional obtêm os benefícios da arquitetura e implementação de segurança de Plutão com a fiabilidade proveniente da integração e colaboração estreitas entre Plutão e outros componentes e serviços da Microsoft.
Descrição geral da arquitetura de segurança do Microsoft Pluton
O subsistema de Segurança de Plutão consiste nas seguintes camadas:
| Descrição | |
|---|---|
| Hardware | O Processador de Segurança Pluton é um elemento seguro totalmente integrado no subsistema SoC. Fornece um ambiente de execução fidedigno ao fornecer serviços criptográficos necessários para proteger recursos confidenciais e itens críticos, como chaves, dados, etc. |
| Firmware | O firmware autorizado da Microsoft fornece funcionalidades seguras necessárias e expõe interfaces que o software e as aplicações do sistema operativo podem utilizar para interagir com Plutão. O firmware é armazenado no armazenamento flash disponível na placa principal. Quando o sistema arranca, o firmware é carregado como parte da inicialização do Hardware plutónio. Durante o arranque do Windows, uma cópia deste firmware (ou o firmware mais recente obtido a partir do Windows Update, se disponível) é carregada no sistema operativo. Para obter mais informações, veja Fluxo de carga de firmware |
| Software | Controladores de sistema operativo e aplicações disponíveis para um utilizador final para permitir a utilização totalmente integrada das capacidades de hardware fornecidas pelo subsistema de segurança plutónio. |
Fluxo de carga de firmware
Quando o sistema arranca, a inicialização de hardware plutónio é efetuada ao carregar o firmware plutónio a partir do armazenamento flash da Interface de Periférico Série (SPI) disponível na placa principal. No entanto, durante o arranque do Windows, a versão mais recente do firmware plutónio é utilizada pelo sistema operativo. Se o firmware mais recente não estiver disponível, o Windows utiliza o firmware que foi carregado durante a inicialização do hardware. Este diagrama ilustra este processo:
Edição do Windows e requisitos de licenciamento
A tabela seguinte lista as edições do Windows que suportam o Microsoft Pluton:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| Sim | Sim | Sim | Sim |
Os direitos de licença do Microsoft Pluton são concedidos pelas seguintes licenças:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| Sim | Sim | Sim | Sim | Sim |
Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.