微软要求为个人电脑安全更换Windows 10硬件

微软(Microsoft)将对Windows 10个人电脑和移动设备的最低硬件要求做出改变，并预计硬件制造商将遵守这一规定，以提高设备的安全性。

从周四开始，PC制造商应该在Windows 10个人电脑、智能手机和平板电脑中加入一项名为TPM(可信平台模块)2.0的基于硬件的安全功能。

TPM 2.0特性将对用户有益，因为它将更好地保护PC上的敏感信息。TPM 2.0安全层(可以是芯片或固件的形式)可以通过在可信容器中管理和存储加密密钥来保护用户数据。

微软(Microsoft)希望通过一项名为Windows Hello的生物特征认证功能来消除密码，用户可以通过指纹、人脸或虹膜识别登录个人电脑。TPM 2.0芯片对Windows Hello非常重要，因为它在一个安全区域生成和存储身份验证密钥。

TPM 2.0还可以通过Microsoft Passport实现双因素身份验证——可以使用生物特征验证和基于pin的身份验证——这是Windows 10个人电脑的一个常见功能。护照功能可以用来登录网站、应用程序和其他服务。

微软曾表示，Windows Hello不需要TPM，但建议使用安全层来保护生物特征登录数据。TPM芯片可能很难破解，而且在保护敏感信息方面比基于软件的机制做得更好，否则这些机制将用于保护Windows Hello登录数据。

安全公司IOActive的运营副总裁凯文·墨菲(Kevin Murphy)说，TPM确实提高了笔记本电脑的安全性，是对加密密钥和其他在PC上进行身份验证所需的重要数据的极佳保护。

由于它是基于硬件而不是基于软件的，所以密钥不会暴露在PC内存中。个人电脑内存是攻击者窃取知识产权的常用场所，而这通常是攻击的主要目的。

但是，使用TPM并不能保护加密密钥不受攻击者的操纵。如果攻击者“拥有”该机器——例如，通过欺骗一个授权用户——TPM将回答任何请求，就像它通常会回答合法用户一样。

“它不会知道其中的区别。这种情况下的优势是，攻击仅限于当前的攻击，不能窃取未来攻击的密钥。

破坏TPM芯片是可能的，但这将是一个困难的攻击，可能需要大量的技术、设备、时间和投资，Murphy说。

磁盘加密系统BitLocker已经使用TPM来保护加密密钥。TPM还用于安全软件更新、保护虚拟机和验证智能卡。英特尔的vPro远程管理服务依赖于TPM，在远程PC维修之前进行身份验证。

TPM 2.0将是所有Windows 10设备的最低要求，但Raspberry Pi 3等开发板除外，后者运行轻量级的Windows 10物联网核心。

安全功能并不新鲜;事实上，它已经存在多年了，主要是在商用pc上。许多新的个人电脑已经有了TPM 2.0，除了低成本的个人电脑。一些Windows笔记本电脑有较老的TPM 1.2标准。但个人电脑制造商现在将被要求遵守微软的新硬件要求，包括TPM 2.0。

惠普的Elite X3基于高通公司(Qualcomm)最新的骁龙820处理器的Windows 10智能手机已经配备了TPM 2.0。宏碁(Acer)的Liquid Jade Primo和诺基亚(Nokia)的Lumia机型都没有列出这一功能，因为它们的部件比较老。

微软一直在努力推动个人电脑的硬件和软件改变，其中一些改变一直存在争议。即将推出的基于英特尔(Intel)卡比湖(Kaby Lake)芯片的个人电脑(可能在第三季度发布)将只支持Windows 10，而不是之前的操作系统版本。

这家软件公司今年早些时候表示，将在Skylake设备上支持Windows 7和8.1，直到2017年7月17日，但在因试图强迫用户升级到Windows 10操作系统而招致批评后，该公司将支持期限延长了一年。

一位发言人说，微软一直在与硬件合作伙伴合作，在设备上实现TPM 2.0。她说，TPM 2.0最大限度地增强了Windows Hello、Passport的安全功能，并帮助使用DRM保护4K流媒体视频。

“在未来，更多的关键功能将依赖于它，”发言人说。

TPM 2.0是可信计算集团的一个规范，去年6月被ISO/IEC(国际标准化组织和国际电工委员会)批准为国际标准。