Microsoft ha establecido sus requisitos mínimos de CPU para Windows 11 en la octava generación de Intel porque los chips permiten que varias características de seguridad importantes se activen de forma predeterminada en el sistema operativo, ofreciendo una mejora de seguridad importante sobre Windows 10, dijo un ejecutivo de seguridad de Microsoft a CRN.
Con la disponibilidad general de Windows 11 que se lanzará el martes, David Weston, director de seguridad del sistema operativo y empresarial de Microsoft, habló sobre cómo los requisitos de la CPU apuntan a aumentar la seguridad en el nuevo sistema operativo sin causar una compensación en la reducción del rendimiento.
Los chips de octava generación de Intel y admiten el uso de ciertas características clave de seguridad, como la seguridad basada en la virtualización (VBS), mientras que también proporciona un rendimiento óptimo al ejecutar automáticamente esas características, dijo Weston en una entrevista con CRN.
En Windows 10, las características de seguridad potentes como VBS son opcionales y no se ejecutan automáticamente, y rara vez se usan como resultado, dijo..
"La estrategia para la versión inicial de Windows 11 es muy simple: elevar la línea de base.Encienda las cosas que eran opcionales en Windows 10 por defecto ", dijo Weston.
Un ejemplo es una característica llamada Control de ejecución basada en el modo, que, en conjunto con las CPU de la octava generación de Intel y el aumento, obtiene un rendimiento óptimo al ejecutar ciertas protecciones de seguridad basadas en la virtualización, dijo.
Algunas CPU anteriores hacen soporte de control de ejecución basado en el modo, incluidos los procesadores de séptima generación de Intel.Pero los chips de séptima generación están excluidos porque no cumplen con todos los requisitos de rendimiento y confiabilidad que Microsoft tiene para Windows 11, incluso para ejecutar procesos VBS por defecto, dijo Weston..
Además del control de ejecución basado en modos, los chips de octava generación de Intel también aseguran que el cifrado del módulo de plataforma confiable (TPM) y las capacidades seguras de arranque, dijo Weston, dijo Weston, Weston.
"Algunas generaciones más bajas [de procesadores] también tienen esas características, pero luego les faltan confiabilidad y optimización del rendimiento", dijo.
Los requisitos de CPU más estrictos para Windows 11 en comparación con las versiones pasadas de Windows han llevado a la confusión entre los usuarios y la industria de TI sobre las razones por las que Microsoft dibujó la línea, con solo algunas excepciones, en la octava generación de Intel y Zen 2 de AMD 2 de AMD.Los requisitos para las CPU más nuevas junto con TPM 2.Se espera que 0 excluyan un número significativo de PC de la instalación de Windows 11.(Los usuarios aún pueden evitar los requisitos utilizando la herramienta de creación de Windows Media, que está desanimado pero no está prohibido por Microsoft.)
[Relacionado: Windows 11: los socios dicen que es una "jugada inteligente" de Microsoft para poner la seguridad primero]
Weston dijo que parte de la confusión es que las personas han estado buscando una sola razón detrás de la elección para comenzar la compatibilidad de la CPU en Intel Octava Gen y AMD Zen 2.Pero la situación es más complicada, porque Microsoft realmente analizó múltiples consideraciones en combinación para llegar a los requisitos mínimos de la CPU para Windows 11, dijo..
"En última instancia, podríamos haber elegido muchas líneas", dijo Weston."Pero utilizamos el análisis de datos sobre la fiabilidad, el rendimiento y la seguridad para llegar allí, y así es como aterrizamos en esa barra en particular."
Un problema adicional ha afectado la comprensión de las personas sobre el asunto: algunas de las características de seguridad específicas que Microsoft considera cruciales para habilitar en Windows 11 no son características que han sido ampliamente discutidas, incluso por Microsoft.Por ejemplo, el control de ejecución basado en modos no se menciona en publicaciones anteriores de Microsoft en las consideraciones de seguridad para Windows 11.
Lo que Microsoft mencionó en las publicaciones es la seguridad basada en la virtualización, así como la integridad del código protegida por hipervisor, o HVCI.La seguridad basada en la virtualización habilita HVCI, también conocida como Integridad de la memoria, que deshabilita cualquier código dinámico que un hacker está tratando de inyectar en el kernel de Windows.
El control de ejecución basado en modos es una base crítica para el uso óptimo de HVCI.La característica es lo que garantiza que ejecutar HVCI no entregue un éxito importante para el rendimiento y la experiencia del usuario..
HVCI can still work with processors that don’t support mode-based execution control—but those processors depend on an emulation of the feature, “which has a bigger impact on performance," Microsoft said in July documentation about HVCI.
En resumen, el soporte para el control de ejecución basado en el modo es una de las claves de por qué las CPU hechas en los últimos cuatro años cumplen con los requisitos de Windows 11, y por qué los procesadores más antiguos, que no admiten la función o proporcionan un rendimiento óptimo para HVCI, sonen gran parte excluido de la lista.
“Mode-based execution control is the target," Weston said."La seguridad basada en la virtualización es lo que necesitamos para asegurar a la gente.Y [para hacer eso] necesitábamos un conjunto de funciones de rendimiento."
Características de seguridad que se ejecutan "por defecto"
VBS funciona creando una máquina virtual separada que almacena las credenciales y políticas más sensibles, que está aislada del sistema operativo.
“Even if someone gets admin-level privileges—the highest level of privilege—they still can’t read what’s in this separate VM," Weston said."Es exactamente la misma premisa que la nube funciona hoy: puede estar en una máquina de hardware con su rival más amargado, y no puede leer datos codificados en todo.Usamos esa misma tecnología que se redujo [para Windows 11]."
Because VBS has not been turned on by default in Windows 10, the feature has seen “very low usage," he said.
“What we learned from 10 is, if you make things optional, people don’t turn them on," Weston said."Asumen que si fuera necesario, sería en.Y entonces creo que es un gran aprendizaje.Lo que ponemos en 11 es [que] vamos a asegurarlo de forma predeterminada."
Sin embargo, activar las funciones de forma predeterminada ha requerido que Microsoft se asegure de que las características no conducirán a un arrastre de rendimiento, por lo que el control de ejecución basado en el modo es una pieza crucial de la ecuación. “If you turn something on by default, it better not be slow," Weston said.
En general, “Creo que la gente está buscando esta decisión muy binaria [sobre los requisitos de la CPU]. It’s actually a complicated engineering equation—where it’s like, ‘OK, so we turned on security, did performance tank?’" he said."Entonces, ese es el foco."
Si bien los requisitos de la CPU de Windows 11 también aseguran que la mayoría de las PC que ejecutan el sistema operativo tengan protecciones de hardware contra las vulnerabilidades del procesador Spectre y Meltdown, Weston dijo que esto no era parte del cálculo para Microsoft.
"Desde una perspectiva de características, hay dos cosas que octava generación y realmente nos dan realmente, y que es el control de ejecución basado en modos, que está en la plataforma Intel como una optimización para la virtualización. And then the assurance that TPM and secure boot are there," he said.“Entonces, Spectre y Meltdown no son un factor significativo aquí."
Uso de las funciones de seguridad de Windows 11 en combinación en dispositivos de prueba, incluida la seguridad basada en la virtualización, el arranque seguro, el cifrado de dispositivos y el reconocimiento facial de Windows Hello, reducido el malware en un 60 por ciento en esos dispositivos, dijo Microsoft..
Estrategia de confianza cero
Con muchos trabajadores trasladados al trabajo híbrido y remoto, el trabajo de asegurar un negocio se ha vuelto mucho más difícil, señaló Weston.En respuesta, uno de los objetivos con Windows 11 ha sido facilitar la vida de los equipos de seguridad a través de las características de seguridad automáticamente, dijo Weston..
“That can actually become the basis for a zero trust strategy—especially for Microsoft shops," he said."Entonces [los profesionales de la seguridad] pueden decir:‘ Debido a que estas características están activadas, eso debería limitar el embudo de cosas que necesito preocuparme.Ahora hay más cosas evitadas, lo que significa que debería tener que perseguir menos y detectar.’"
A common scenario Microsoft has heard from customers is that “even if our detection is great, we don’t necessarily have enough human beings to go investigate everything and respond fast enough," Weston said."Entonces Windows 11 ayuda a reducir ese embudo."
Additionally, since it’s possible to determine whether a PC has these features enabled, the security properties of a system can be measured “almost like a vaccination card," he said.
An enterprise can therefore say, “show me your device security ‘vaccination card’ before I let you have access to the data," Weston said."Lo hicimos realmente fácil con Windows 11.Y eso hace que cosas como la detección de punto final mejor porque hay menos para mirar.Y la detección de punto final es más difícil de socavar porque está comenzando desde un estado muy limpio y de alta integridad."
"Este es el acto uno"
Otra motivación para los requisitos de hardware con Windows 11 es permitir a Microsoft impulsar la seguridad aún más en futuras versiones del sistema operativo, según Weston.
"Gran parte de este lanzamiento inicial de Windows 11 no es el objetivo final: es la primera parada de clic en nuestro viaje.Estamos diciendo: "Ahora podemos garantizar que tenga un TPM. That means I can go and make sure every app developer is now storing credentials and keys in hardware,’" he said."No puedo hacer eso en Windows 10 cuando solo un porcentaje de personas tiene eso.Por lo tanto, me permite establecer una línea de base que ahora puedo mover el ecosistema para aprovechar al máximo.Y esa es una gran victoria para nosotros."
Lo que eso significa es que “más aplicaciones pueden admitir sin contraseña de forma predeterminada.Más aplicaciones pueden hacer cifrado de datos. More applications can have zero trust protections, because we’ve got that virtualization-based capability to report on their integrity," Weston said."Lo que verá en las siguientes versiones de Windows 11 es explotar eso en un grado mucho mejor para aumentar la seguridad.Así que creo que este es solo el escenario.Este es el acto uno.El acto dos y tres, creo, realmente traerán algunos aumentos masivos en la seguridad."
Incluso con la primera versión de Windows 11, hay una serie de avances de seguridad que permitirán a los proveedores de soluciones hacer mejor su trabajo, dijo Marc Menzies, presidente y CTO de soluciones de tecnología general, un Ronkonkoma, N.Y.-Veurador de soluciones basado en el socio y socio de Microsoft.
And the CPU requirements are a central part of that, since the “newer CPU models allow you to take advantage of additional security features that are baked into the hardware," Menzies said in an interview with CRN on Monday."Si tiene un entorno con ciertos estándares más altos para el hardware, desde una perspectiva de seguridad, hace que las cosas sean más llave en mano."
Even with Windows 10, “I could do a good job [on security] right now with the tools I’m given in any environment," he said. What Windows 11 does is it enables solution providers and IT professionals “to do a good job consistently" because of the higher security baseline, he said.
Por ejemplo, cuando cada PC en una flota de clientes tiene Windows 11, puede saber que todos tendrán TPM 2.0 and thus can be “brought up to some level of security standard easily," Menzies said.
“I’m able to know, walking into an environment with Windows 11, that the endpoints can be easily secured and I’m not going to run into any weird problems with that baseline," he said."Simplemente hace que sea mucho más fácil saber cuál es su línea de base, y que puede implementar algunas de las características de seguridad que realmente son, en este momento, los fundamentos."
Overall, “I think Microsoft’s posture on security is about a ‘rising tide raises all ships,’" Menzies said.
For solution providers and IT professionals, Windows 11 should offer the major benefit of having “less to configure," Weston said.
"Tienen un trabajo muy difícil.Muchas de nuestras personas de TI no son solo: son seguridad, son DevOps. They’ve got a whole bunch of different hats," he said."Lo que realmente espero es que me digan:" Mi trabajo ahora es más fácil.Tengo que hacer menos ajustes y configuraciones, y menos [trabajo] haciendo el análisis de compatibilidad y rendimiento yo mismo, porque Microsoft ha hecho más de eso por adelantado con Windows 11.’"
