2015 年微软发表 Windows 10 时,开发人员 Jerry Nixon 曾称 Windows 10 将是 Windows 最后一版,未来微软只会在 Windows 10 平台新增功能和修补漏洞。
Windows 10 以前,Windows 版本更新周期基本维持 3~4 年,像 Windows 10 这样维护 6 年仍未大更新的版本实属少见。就在大家都以为,微软已为 Windows 划上句号时,微软突然宣布 Windows 11 来临。
无论微软是否打自己的脸,Windows 11 还是给与 Windows 10 朝夕相处 6 年之久的老用户很多新鲜感,且这次升级免费,很多用户正式版发表后纷纷打算升级体验。然而电脑硬件较旧的用户却发现,自己的电脑无法满足 Windows 11 升级要求。更奇特的是,这并不是因电脑 CPU 性能不足,或硬盘、内存容量不够,而是一颗从来没听过的芯片──TPM 2.0 安全芯片。
“啥 TPM 芯片,英特尔还是 AMD 的?”
由于 Windows 系统安全性一直饱受诟病,微软 2011 年联合多家 PC 厂商一起推广 TPM 安全芯片,以提高 Windows 系统防御力,从此开始基本上每台电脑出厂时都会内建 TPM 1.2 芯片。
简单来说,TPM 芯片专门处理电脑加密金钥,发挥安全认证、密钥储存等作用,比软件安全防护,TPM 提供的硬件级防护封闭得多,更不易遭病毒等恶意软件入侵篡改。
▲ 新 CPU 已整合 TPM 2.0 芯片。
2016 年 TPM 2.0 芯片开始推广,不少厂商也跟上步伐,不过当时用户察觉不到这种“枝微末节”的升级,直到 Windows 11 推出。
还在用 TPM 1.2 时代硬件的用户指责微软借 Windows 11 升级强推 TPM 2.0 芯片,是为了刺激老用户换新硬件,加速硬件淘汰,因此他们研究很多绕过 TPM 芯片检测的方法,欲强行升级 Windows 11,称之为“偷渡”。
微软解释,推广 TPM 2.0 芯片是为了应付越来越严峻的资安问题。
微软安全研究人员发现,利用硬件漏洞(CPU、内存、硬盘等)攻击系统日渐增加,且恶意代码很难检测或清除,一旦感染,用户只能重灌系统或更换硬盘。
这些漏洞不仅威胁用户资安,还会间接对现实世界造成严重影响,如前几年让全球陷入资讯安全恐慌的勒索软件一度让医院、加油站等重要机构电脑瘫痪,造成难以挽回的损失。为了更直接解释 TPM 2.0 芯片的重要性,微软决定化身“骇客”,示范 Windows 11 遭入侵时如何抵御。
到底安不安全,入侵一下便知道
微软请出企业和操作系统安全主管 David Weston 示范入侵。
Stay ahead of threats. Balance Performance, Reliability, and #Security with #Windows11. Click to watch. https://t.co/WMqKAix7a5 pic.twitter.com/bZr62aXFQl
— Microsoft Mechanics (@MSFTMechanics) October 17, 2021
David 建立了专业骇客队伍,他的工作就是比骇客更快找到威胁系统的安全问题,因此攻击 Windows 这块,他可说是专家。David 首先展示远距入侵一台没有开启 TPM 保护或安全启动的 Windows 10 电脑,然后在这台傀儡机安装勒索软件,锁定硬盘。
入侵过程非常简单,David 找到开放 RDP,远距强制登入电脑。攻破系统密码的过程也很粗暴,就是检索各种已泄露的密码不断尝试解锁,经过几分钟或几天暴力破解就能攻破。
一旦成功进入系统,傀儡机基本上就丧失控制权,骇客可随意植入勒索软件等木马,更改系统指南文件,即使用 WinPE 或 WinRE 修复硬盘,也不能确保完全恢复系统分区。想解锁重要数据,用户就不得不用比特币等加密货币支付骇客高昂赎金。
Windows 11 怎样保护重要文件免受“绑架”呢?David 称解决办法并不复杂,就是使用内建的“安全启动模式”。
在 Windows 11 安全模式下,系统启动时会检查启动程式代码与密钥是否与 TPM 芯片资讯一致,确认是否遭修改。
再根据执行的健康指引日志,以正确文件执行,拒绝勒索软件修改,可正常登入 Windows 备份文件,将勒索入侵损失降到最低。示范完远距控制后,David 接着展示另一种面对面安全破解──用小熊软糖破解指纹辨识。
由于伪造完全相同的指纹非常困难,大多数人印象里指纹辨识非常安全。想强行破解指纹辨识这道安全大门确实是个难题,但绕开它直接进入系统却有可能。
David 准备名为 PCI leech 的设备,能透过 Thunderbolt 直接存取电脑内存资讯,只要帮电脑安装“任何资讯都能解锁”修补程式,就能成功绕过指纹资讯进入电脑。这时用任何有导电性的物体(手指、鼻子或小熊软糖等)都能解锁电脑,存取所有隐私内容。
这种针对内存的攻击并不罕见,因为很多程式执行时数据都会暂时存在内存,攻击者就利用这机会趁机修改数据。如果电脑落入懂技术的不法分子手里,那“机密文件”大概凶多吉少。
不过恰好有使用 TPM 芯片防护入侵,一切就另当别论。David 入侵另一台 Windows 11 电脑,发现指纹辨识依然正确运作。这是因指纹辨识资讯不再简单存在内存,而是隔离出来锁定于独立安全的虚拟区域,每次读取都需密钥校验。
密钥则存在与外界隔绝的 TPM 芯片,安全性大大提高。
David 称目前 Windows 11 很多安全功能也能在 Windows 10 使用,只是上一版这些功能还只是选择性功能,现在提高 Windows 11 的安全性能而预设启用。无论是否打算从 Windows 10 升级到 Windows 11,微软都建议用户检查 TPM 版本,并从 BIOS 启用。
是时候重视安全芯片了
除了系统级安全防护,TPM 2.0 芯片的保护措施还有很多,最常见的应该就是从 Windows Vista 时期加入的 Bitlocker。对企业级用户而言,Bitlocker 驱动加密已不可或缺。Bitlocker 是全卷加密技术,简单来说就是帮硬盘上锁,即使硬盘被盗,小偷也不能存取资讯。保护资讯的关键,就是 TPM 2.0 芯片。当为磁盘加密时,加密部分密钥会存在 TPM 芯片里。
这不仅提供安全性更高的加密保护,当硬盘不幸落入他人之手,也会因缺少 TPM 芯片密钥而无法使用,提供强力脱机保护。
数位货币和虚拟资产流行,很多“数位大亨”价值数十万美元的 NFT 资产、数位钱包密钥可能就存在硬盘里,一旦遗失后果不堪设想。因此对个人用户来说,利用类似 Bitlocker 等硬件级加密技术保护重要资料很有必要。
TPM 芯片除了确保数据安全,还有一些意想不到的用途,如游戏防作弊。
近年不少游戏突然爆红如《绝地求生》、《Apex 英雄》、《糖豆人:终极淘汰赛》等,爆红原因各不相同,但“凉掉”的理由大多一样──外挂太多。
游戏开发者与外挂者的斗争,从游戏诞生那天起便开始,现在有些开发者决定用更严苛的手段对付作弊者,包括《英雄联盟》开发商 Riot Games。
Riot Games 新作《特战英豪》防作弊系统 Vanguard 会检测 Windows 11 玩家是否启用 TPM 2.0,如果未启用将不能进入游戏。有安全专家分析,Riot Games 打算以 TPM 2.0 芯片确认作弊者的硬件资讯,并针对设备层面封锁账号。
《特战英豪》手法激进大胆,这可能会启发其他游戏公司,用物理封锁拉高作弊者成本,但当然也有更严格监管是侵犯个人隐私的声音。不过在 Windows 11 推动下,类似《特战英豪》需调用 TPM 2.0 芯片的游戏或应用也许会越来越多。届时更高标准的资讯安全防护需求,可能会成为人们更换设备的新理由。
(本文由 爱范儿 授权转载;首图来源:微软)
延伸阅读:
- 想升级微软 Windows 11?中国可能无法
- 官方后门风险自负?微软提供 Windows 11 规避 TPM 2.0 安装指引
- 微软全台推 Windows 11 体验升级门市,助消费者创造自己的使用亮点
- 微软 Windows 11 正式版释出,Windows 10 旧机符合条件可免费升级
- 调查竟发现,逾六成美国用户不知道 Windows 11 存在
