在你追我赶的 PC 安全系统和骇客对奕关系之中,前者可能会带来些新突破。为了针对通过固件发动的骇客攻击,微软这操作系统开发商想到了直接与负责固件的硬件开发商合作,从源头着手保护 PC 的安全。
微软所带来的新倡议,是与 PC 生产商直接合作推出 Secured-core PC,希望是从 PC 启动的一刻就开始进行保护。在设想的新系统下,处理器的固件会如常启动,但就会限制对于固件的信任度,并交由微软的 bootloader 去处理相关指令。最终这架构就能确保处理器在每次启动时,都有个安全、可靠的运行方向。如此一来,PC 就能主动防止被骇,而非现今的被动接受了。
虽说早在 Windows 8 开始,Windows 在启动时都会通过 Secure Boot 来检查 bootloader 的授权正确性,用以保障安全,但这是假设了固件本身是可靠的。然而新的方向就是把检查的范围扩展至固件本身,有着更全面检查。
微软为了这 Secured-core PC 倡议能顺利实行,已经拉来了英特尔、AMD、高通等主要制造商,以确保在 CPU 封装过程已经有加密的安全码在芯片里。也因为新倡议是从硬件层级着手,所以现有 PC 就未能享有这更高强度的保护。但向好处想,就是能确保未来的 Windows 电脑可以更少受到骇客从固件发动的攻击。微软表示,首款 Secured-core PC 将会是他们的 Surface Pro X,其后也会扩展至戴尔、联想、松下。