微软今天宣布了一项新计划，以专门针对固件级别和存储在内存中的数据为目标的威胁：安全核心PC。微软与芯片和计算机制造商合作，将“隔离和最小信任度的安全最佳实践应用于支持Windows操作系统的固件层或设备内核。”戴尔，Dynabook，惠普，联想，松下和Surface。微软尚未发布完整的安全核心PC列表，但两个示例包括HP的Elite Dragonfly和Microsoft的Surface ProX。

固件用于初始化设备上的硬件和其他软件。固件层在操作系统下运行，在操作系统中，它比管理程序和内核具有更多的访问权限和特权。固件因此成为攻击者的首要目标，因为恶意代码很难被检测到并且难以删除，甚至在重新安装操作系统或更换硬盘驱动器后仍然存在。Microsoft指向国家漏洞数据库，该数据库显示了每年发现的固件漏洞的数量在增长。

因此，安全核心PC专为金融服务，政府和医疗保健等行业而设计。它们还适用于处理高度敏感的IP，客户或个人数据的员工，这些人员为国家攻击者提供了更高价值的目标。

安全核心PC要求

安全核心PC在操作系统下具有另一层安全保护功能，可保护启动过程免受固件攻击。安全核心PC设备的一项关键要求是Windows Defender使用AMD，Intel和Qualcomm的新硬件功能实现System Guard安全启动。System Guard利用固件来启动硬件，然后在将系统重新初始化为受信任状态后不久。使用操作系统引导加载程序和处理器功能，它可以通过众所周知的可验证代码路径发送系统。

安全核心PC的另一个要求是受信任的平台模块(TPM)2.0，它使管理员可以评估用于验证设备是否安全启动的组件。此外，Windows通过系统管理模式(SMM)监视和限制潜在危险固件的功能。

微软的建议有点复杂。Windows 10 Pro已经在每台设备上配备了防火墙，安全启动和文件级信息丢失保护。但是，如果您的特定行业或团队需要更多产品，该公司将与Windows Defender System Guard功能合作推出安全核心PC。安全核心的PC应该能够安全启动，防止固件漏洞，使操作系统免受攻击，防止对设备和数据的未经授权的访问，并锁定身份和域凭据。