Microsoft on asettanut pienimmät CPU -vaatimuksensa Windows 11: lle Intelin kahdeksannessa sukupolvessa, koska sirut mahdollistavat useiden tärkeiden tietoturvaominaisuuksien kytkemisen oletusarvoisesti käyttöjärjestelmässä tarjoamalla suuren tietoturvaparannuksen Windows 10: n yli, Microsoft Security Executive kertoi CRN: lle CRN: n.
Kun Windows 11: n yleinen saatavuus on asetettu julkaisemaan tiistaina, Microsoftin käyttöjärjestelmän ja Enterprise Security -yrityksen johtaja David Weston puhui siitä, kuinka CPU-vaatimukset pyrkivät lisäämään uuden käyttöjärjestelmän turvallisuutta aiheuttamatta suorituskyvyn vähentämisen kompromissia.
Intelin kahdeksas sukupolven sirut ja UP tukee tiettyjen keskeisten tietoturvaominaisuuksien käyttöä-kuten virtualisointipohjainen tietoturva (VBS-A-samalla kun se tarjoaa myös optimaalisen suorituskyvyn automaattisesti näiden ominaisuuksien automaattisesti, Weston sanoi CRN: n haastattelussa.
Windows 10: ssä tehokkaita suojausominaisuuksia, kuten VBS, ovat valinnaisia, eivätkä ne suorita automaattisesti - ja niitä käytetään harvoin, hän sanoi, että hän sanoi.
"Windows 11: n alkuperäisen julkaisun strategia on hyvin yksinkertainen: Nosta lähtökohta.Käynnistä asiat, jotka olivat oletuksena Windows 10: ssä valinnaisia ", Weston sanoi.
Yksi esimerkki on ominaisuus, nimeltään tilapohjainen suorituskyvyn hallinta, joka-tandem Intelin kahdeksannen sukupolven prosessorin ja UP: n kanssa-, jotka varmistavat optimaalisen suorituskyvyn samalla kun suoritetaan tiettyjä virtualisointipohjaisia tietoturvasuojauksia, hän sanoi, hän sanoi, että.
Jotkut aikaisemmat CPU: t tukevat moodipohjaista suorituksen ohjausta, mukaan lukien Intelin seitsemännen sukupolven prosessorit.Mutta seitsemännen sukupolven sirut suljetaan pois, koska ne eivät täytä kaikkia Windows 11: n suorituskyky- ja luotettavuusvaatimuksia, mukaan lukien VBS-prosessien suorittaminen oletuksena, Weston sanoi.
Tilapohjaisen suorituskyvyn valvonnan lisäksi Intelin kahdeksannen sukupolven sirut varmistavat myös, että luotettavan alustamoduulin (TPM-A salaus ja turvalliset käynnistysominaisuudet ovat läsnä, Weston sanoi.
"Joillakin pienemmillä sukupolvilla [prosessorien] on myös nämä ominaisuudet, mutta silloin niistä puuttuu luotettavuus ja suorituskyvyn optimointi", hän sanoi.
Windows 11: n tiukemmat CPU -vaatimukset verrattuna aikaisempiin Windows -julkaisuihin ovat johtaneet käyttäjien ja IT -teollisuuden sekaannukseen syistä, jotka Microsoft veti linjan - vain muutaman poikkeuksen kanssa - Intelin kahdeksannen sukupolven ja AMD: n Zen 2.Uudempien prosessorien vaatimukset yhdessä TPM 2: n kanssa.0: n odotetaan sulkevan pois merkittävän määrän tietokoneita Windows 11: n asentamisesta.(Käyttäjät voivat silti ohittaa vaatimukset Windows Media Creation -työkalun avulla, jota Microsoft ei kielletä, mutta jota ei ole kielletty.-A
.
Weston kertoi, että osa sekaannusta on, että ihmiset ovat etsineet yhtä syytä valinnan takana aloittaa CPU-yhteensopivuus Intelin kahdeksannessa sukupolvessa ja AMD Zen 2: ssa.Mutta tilanne on monimutkaisempi, koska Microsoft tarkasteli tosiasiallisesti useita näkökohtia yhdistelmänä saavuttaakseen Windows 11: n vähimmäisprosessetin vaatimukset, hän sanoi.
"Viime kädessä olisimme voineet valita monia linjoja", Weston sanoi."Mutta käytimme tietoanalyysiä luotettavuuden, suorituskyvyn ja turvallisuuden ympärillä päästäksesi sinne, ja näin laskeutuimme kyseiseen palkkiin."
Lisäongelma on vaikuttanut ihmisten ymmärtämiseen asiasta: Jotkut erityisistä tietoturvaominaisuuksista, joita Microsoft pitää tärkeänä mahdollistaa Windows 11: ssä, eivät ole ominaisuuksia, joista on keskusteltu laajasti - jopa Microsoft.Esimerkiksi tilapohjainen suoritusvalvonta ei mainita aikaisemmissa Microsoft-viesteissä Windows 11: n suojausnäkökohdissa.
Se mitä Microsoft mainitsi viesteissä.Virtualisointipohjainen suojaus mahdollistaa HVCI: n, joka tunnetaan myös nimellä muistin eheys, joka poistaa käytöstä kaikki dynaamiset koodit, joita hakkeri yrittää pistää Windows-ytimeen.
Tilapohjainen suoritusohjaus on kriittinen perusta HVCI: n optimaaliseen käyttöön.Ominaisuus varmistaa, että HVCI: n suorittaminen ei tuota merkittävää osumaa suorituskykyyn ja käyttökokemukseen.
HVCI can still work with processors that don’t support mode-based execution control—but those processors depend on an emulation of the feature, “which has a bigger impact on performance," Microsoft said in July documentation about HVCI.
Lyhyesti sanottuna, tilaapohjaisen suorituksen ohjauksen tuki on yksi avaimista, miksi viimeisen neljän vuoden aikana tehdyt suorittimet täyttävät Windows 11 -vaatimukset-ja miksi vanhemmat prosessorit, jotka eivät tue ominaisuutta tai tarjoavat optimaalisen suorituskyvyn HVCI: lle, ovatsuurelta osin suljettu luettelosta.
“Mode-based execution control is the target," Weston said."Virtualisointipohjainen turvallisuus on se, mitä meidän on turvata ihmisten turvaamiseksi.Ja [tehdä niin] tarvitsimme esittävän ominaisuusjoukon."
Suojausominaisuudet, jotka toimivat oletusarvoisesti
VBS toimii luomalla erillinen virtuaalikone, joka tallentaa herkimmät käyttöoikeustiedot ja politiikat, jotka on eristetty käyttöjärjestelmästä.
“Even if someone gets admin-level privileges—the highest level of privilege—they still can’t read what’s in this separate VM," Weston said."Se on täsmälleen sama lähtökohta kuin se, miten pilvi toimii tänään - voit olla rautakoneessa, jolla on katkera kilpailija, etkä voi lukea koodattuja tietoja.Käytämme tätä täsmälleen samaa tekniikkaa kutistunut [Windows 11: lle]."
Because VBS has not been turned on by default in Windows 10, the feature has seen “very low usage," he said.
“What we learned from 10 is, if you make things optional, people don’t turn them on," Weston said."He olettavat, että jos se olisi välttämätöntä, se olisi päällä.Ja niin mielestäni se on iso oppiminen.Se, mitä panimme 11: een, on [että] kiinnitämme sinut oletuksena."
Ominaisuuksien kytkeminen oletusarvoisesti on kuitenkin vaatinut Microsoftia varmistaakseen, että ominaisuudet eivät johda suorituskyvyn vetämiseen-siksi tilapohjainen suorittamisen ohjaus on yhtälön ratkaiseva kappale. “If you turn something on by default, it better not be slow," Weston said.
Kaiken kaikkiaan: "Luulen, että ihmiset etsivät tätä hyvin binaarista päätöstä [suorittimen vaatimuksista]. It’s actually a complicated engineering equation—where it’s like, ‘OK, so we turned on security, did performance tank?’" he said."Joten, se on painopiste."
Vaikka Windows 11 CPU -vaatimukset varmistavat myös, että useimmilla käyttöjärjestelmällä toimivilla tietokoneilla on laitteistojen suojaa Specter- ja Meltdown -prosessorin haavoittuvuuksia vastaan, Weston sanoi, että tämä ei ollut osa Microsoftin laskentaa.
"Ominaisuuden näkökulmasta on olemassa kaksi asiaa, jotka kahdeksas sukupolvi todella antavat meille-ja se on tilapohjainen suorituksen hallinta, joka on Intel-alustalla optimoinnina virtualisoinnin suhteen. And then the assurance that TPM and secure boot are there," he said."Joten Specter ja Meltdown eivät ole tässä merkittävä tekijä."
Microsoft käytti Windows 11 -turvallisuusominaisuuksia yhdistelmänä testilaitteissa-mukaan lukien virtualisointipohjainen tietoturva, suojattu käynnistys, laitteen salaus ja Windows Hello-kasvojentunnistus-vähensi haittaohjelmia 60 prosentilla näillä laitteilla, Microsoft on sanonut.
Nolla luottamusstrategia
Kun monet työntekijät siirtyivät hybridiin ja etätyöhön, yrityksen turvaamisesta on tullut paljon vaikeampaa, Weston huomautti.Vastauksena yksi Windows 11: n tavoitteista on ollut helpottaa turvallisuustiimien elämää kytkemällä automaattisesti turvaominaisuudet, Weston sanoi.
“That can actually become the basis for a zero trust strategy—especially for Microsoft shops," he said."Joten [turvallisuusammattilaiset] voivat sanoa:" Koska nämä ominaisuudet ovat päällä, sen pitäisi rajoittaa asioiden suppiloa.Nyt on enemmän estettyjä asioita, mikä tarkoittaa, että minun on pitänyt tehdä vähemmän jahtaamaan ja havaitsemaan.’"
A common scenario Microsoft has heard from customers is that “even if our detection is great, we don’t necessarily have enough human beings to go investigate everything and respond fast enough," Weston said."Joten Windows 11 auttaa vähentämään suppiloa."
Additionally, since it’s possible to determine whether a PC has these features enabled, the security properties of a system can be measured “almost like a vaccination card," he said.
An enterprise can therefore say, “show me your device security ‘vaccination card’ before I let you have access to the data," Weston said."Teimme sen todella helpon Windows 11: n kanssa.Ja se tekee päätepisteen havaitsemisesta paremman, koska on vähemmän katsottavaa.Ja päätepisteen havaitseminen on vaikeampaa heikentää, koska se alkaa erittäin puhtaasta, korkean integroidusta tilasta."
"Tämä on Act One"
Toinen motivaatio laitteistovaatimuksille Windows 11: n kanssa on antaa Microsoftille mahdollisuuden lisätä tietoturvaa entisestään käyttöjärjestelmän tulevissa julkaisuissa, Westonin mukaan.
"Suuri osa tästä Windows 11: n alkuperäisestä julkaisusta ei ole lopputavoite - se on matkallamme ensimmäinen napsautuspysäkki.Sanomme: 'Voimme nyt taata, että sinulla on TPM. That means I can go and make sure every app developer is now storing credentials and keys in hardware,’" he said."En voi tehdä sitä Windows 10: ssä, kun vain prosentuaalisesti ihmisistä on.Joten se antaa minun asettaa perustason, jonka voin nyt siirtää ekosysteemiä hyödyntääkseni täysimääräisesti.Ja se on meille valtava, valtava voitto."
Mitä tämä tarkoittaa, että "enemmän sovelluksia voi tukea salasanattomasti oletusarvoisesti.Lisää sovelluksia voi tehdä datasalauksen. More applications can have zero trust protections, because we’ve got that virtualization-based capability to report on their integrity," Weston said."Se, mitä näet seuraavissa Windows 11 -versioissa, olemme hyödyntämme sitä paljon paremmassa määrin turvallisuuden lisäämiseksi.Joten mielestäni tämä on vain näyttämöasetus.Tämä on Act One.Toisin."
Jopa Windows 11: n ensimmäisen julkaisun yhteydessä on olemassa useita turvallisuuskehitystä, joka antaa ratkaisujen tarjoajille mahdollisuuden tehdä parempia työpaikkansa, sanoi Marc Menzies, yleiskatsausteknologiaratkaisujen presidentti ja CTO, A Ronkonkoma, N.Y.-pohjainen ratkaisujen tarjoaja ja Microsoft Partner.
And the CPU requirements are a central part of that, since the “newer CPU models allow you to take advantage of additional security features that are baked into the hardware," Menzies said in an interview with CRN on Monday."Jos sinulla on ympäristö, jolla on tietyt laitteistojen korkeammat standardit, tietoturvaperspektiivistä, se tekee asioista enemmän avaimet käteen."
Even with Windows 10, “I could do a good job [on security] right now with the tools I’m given in any environment," he said. What Windows 11 does is it enables solution providers and IT professionals “to do a good job consistently" because of the higher security baseline, he said.
Esimerkiksi, kun jokaisella asiakaslaivaston tietokoneella on Windows 11, voit tietää, että heillä kaikilla on TPM 2.0 and thus can be “brought up to some level of security standard easily," Menzies said.
“I’m able to know, walking into an environment with Windows 11, that the endpoints can be easily secured and I’m not going to run into any weird problems with that baseline," he said."Se vain tekee hecuva -paljon helpommaksi tietää, mikä on lähtökohtasi ja että voit toteuttaa joitain turvaominaisuuksia, jotka todella ovat tässä vaiheessa perusteet."
Overall, “I think Microsoft’s posture on security is about a ‘rising tide raises all ships,’" Menzies said.
For solution providers and IT professionals, Windows 11 should offer the major benefit of having “less to configure," Weston said.
”Heillä on erittäin kova työ.Monet IT -ihmisistämme eivät ole vain sitä - ne ovat turvallisuutta, he ovat DevOpsia. They’ve got a whole bunch of different hats," he said."Toivon todella, että he sanovat minulle:” Minun työni on nyt helpompaa.Minun on tehtävä vähemmän säätämistä ja kokoonpanoa, ja vähemmän [työ] tekemällä yhteensopivuus ja suorituskykyanalyysi itse - koska Microsoft on tehnyt enemmän sitä etukäteen Windows 11: n kanssa.’"
