A Microsoft estabeleceu seus requisitos mínimos de CPU para o Windows 11 na oitava geração da Intel, porque os chips permitem que vários recursos de segurança importantes sejam ativados por padrão no sistema operacional, oferecendo um grande aprimoramento de segurança sobre o Windows 10, um executivo de segurança da Microsoft disse ao CRN.
Com a disponibilidade geral do Windows 11 marcada para ser lançada na terça-feira, David Weston, diretor de segurança da Microsoft e segurança corporativa, falou sobre como os requisitos da CPU visam aumentar a segurança no novo sistema operacional sem causar uma troca na redução de desempenho.
Os chips de oitava geração da Intel e a UP suportam o uso de certos recursos de segurança-chave-como a segurança baseada em virtualização (VBS)-enquanto também fornece um desempenho ideal ao executar automaticamente esses recursos, disse Weston em entrevista ao CRN.
No Windows 10, recursos de segurança poderosos como VBs são opcionais e não são executados automaticamente - e raramente são usados como resultado, ele disse.
“A estratégia para o lançamento inicial do Windows 11 é muito simples: aumente a linha de base.Ligue as coisas que eram opcionais no Windows 10 por padrão ”, disse Weston.
Um exemplo é um recurso chamado controle de execução baseado em modo, que-em conjunto com as CPUs de oitava geração da Intel e subir-ajuda a garantir o desempenho ideal enquanto executa certas proteções de segurança baseadas em virtualização, ele disse.
Algumas CPUs anteriores do controle de execução baseadas em modo de suporte, incluindo os processadores de sétima geração da Intel.Mas os chips de sétima geração são excluídos porque não atendem a todos os requisitos de desempenho e confiabilidade que a Microsoft possui para o Windows 11, inclusive para executar processos VBS por padrão, disse Weston.
Além do controle de execução baseado em modo, os chips de oitava geração da Intel também garantem que a criptografia de módulo de plataforma (TPM) confiável e os recursos de inicialização estejam presentes, disse Weston.
"Algumas gerações inferiores [de processadores] também têm esses recursos, mas estão perdendo a confiabilidade e a otimização de desempenho", disse ele.
Os requisitos mais rígidos da CPU para o Windows 11 em comparação com os lançamentos anteriores do Windows levaram à confusão entre os usuários e a indústria de TI sobre as razões pelas quais a Microsoft desenhou a linha - com apenas algumas exceções - na oitava geração da Intel e o Zen 2 da AMD 2.Os requisitos para CPUs mais recentes junto com o TPM 2.0 deve excluir um número significativo de PCs da instalação do Windows 11.(Os usuários ainda podem ignorar os requisitos usando a ferramenta de criação de mídia do Windows, que é desencorajada, mas não proibida pela Microsoft.)
[Relacionado: Windows 11: Parceiros dizem que é uma 'peça inteligente' da Microsoft para colocar a segurança em primeiro lugar]
Weston disse que parte da confusão é que as pessoas procuram um único motivo por trás da escolha de iniciar a compatibilidade da CPU na Intel Oitava Gen e AMD Zen 2.Mas a situação é mais complicada, porque a Microsoft realmente analisou várias considerações em combinação para chegar aos requisitos mínimos da CPU para o Windows 11, ele disse.
"Por fim, poderíamos ter escolhido muitas linhas", disse Weston.“Mas usamos a análise de dados em torno da confiabilidade, desempenho e segurança para chegar lá, e é assim que pousamos naquele bar em particular.”
Uma questão adicional afetou a compreensão do assunto pelas pessoas: alguns dos recursos de segurança específicos que a Microsoft considera crucial para ativar no Windows 11 não são recursos que foram amplamente discutidos - mesmo pela Microsoft.Por exemplo, o controle de execução baseado em modo não é mencionado em postagens anteriores da Microsoft nas considerações de segurança para o Windows 11.
O que a Microsoft mencionou nas postagens é a segurança baseada em virtualização, bem como a integridade de código protegida por hipervisor, ou HVCI.A segurança baseada em virtualização permite o HVCI, também conhecido como Integridade da Memória, que desativa qualquer código dinâmico que um hacker esteja tentando injetar no kernel do Windows.
O controle de execução baseado em modo é uma base crítica para o uso ideal de HVCI.O recurso é o que garante que a execução do HVCI não ofereça um grande sucesso ao desempenho e à experiência do usuário.
O HVCI ainda pode trabalhar com processadores que não suportam o controle de execução baseados no modo de modo-mas esses processadores dependem de uma emulação do recurso, "que tem um impacto maior no desempenho", disse a Microsoft em julho sobre HVCI.
Em resumo, o suporte ao controle de execução baseado em modo é uma das chaves para o motivo pelo qual as CPUs fabricadas nos últimos quatro anos atendem aos requisitos do Windows 11-e por que processadores mais antigos, que não suportam o recurso ou fornecem desempenho ideal para o HVCI, sãoamplamente excluído da lista.
"O controle de execução baseado em modo é o alvo", disse Weston.“Segurança baseada em virtualização é o que precisamos para proteger as pessoas.E [para fazer isso] precisávamos de um conjunto de recursos de desempenho.”
Recursos de segurança em execução "por padrão"
O VBS funciona criando uma máquina virtual separada que armazena as credenciais e políticas mais sensíveis, isoladas do sistema operacional.
"Mesmo que alguém tenha privilégios no nível do administrador-o mais alto nível de privilégio-, ainda não pode ler o que está nesta VM separada", disse Weston."É exatamente a mesma premissa de como a nuvem funciona hoje - você pode estar em uma máquina de hardware com seu rival mais amargo, e você não pode ler dados codificados através.Usamos exatamente essa mesma tecnologia encolhida [para o Windows 11].”
Como o VBS não foi ativado por padrão no Windows 10, o recurso viu "uso muito baixo", disse ele.
"O que aprendemos com os 10 é, se você tornar as coisas opcionais, as pessoas não as ativam", disse Weston.“Eles assumem que, se fosse necessário, seria.E então eu acho que é um grande aprendizado.O que colocamos em 11 é [que] vamos protegê -lo por padrão.”
Ligar os recursos por padrão, no entanto, exigiu a Microsoft para garantir que os recursos não levem a um arrasto no desempenho-e é por isso que o controle de execução baseado em modo é uma peça crucial da equação."Se você ligar algo por padrão, é melhor não ficar lento", disse Weston.
Em suma, “acho que as pessoas estão procurando esta decisão muito binária [sobre os requisitos da CPU].Na verdade, é uma equação de engenharia complicada - onde é: 'OK, então ligamos a segurança, o desempenho de desempenho?' 'Ele disse que ele disse.“Então, esse é o foco.”
Embora os requisitos da CPU do Windows 11 também garantem que a maioria dos PCs que executem o sistema operacional tenham proteções de hardware contra as vulnerabilidades do processador de espectro e colapso, Weston disse que isso não fazia parte do cálculo para a Microsoft.
“De uma perspectiva de recurso, há duas coisas que o oitavo general e a UP realmente nos dão-e esse é o controle de execução baseado em modo, que está na plataforma Intel como uma otimização para virtualização.E então a garantia de que TPM e Botta Segura estão lá ”, disse ele.“Portanto, Spectre e Meltdown não são um fator significativo aqui.”
Usando os recursos de segurança do Windows 11 em combinação em dispositivos de teste-incluindo segurança baseada em virtualização, inicialização segura, criptografia de dispositivos e reconhecimento facial do Windows Hello-reduziu o malware em 60 % nesses dispositivos, disse a Microsoft.
Estratégia de confiança zero
Com muitos trabalhadores mudaram para um trabalho híbrido e remoto, o trabalho de garantir uma empresa se tornou muito mais difícil, observou Weston.Em resposta, uma das metas com o Windows 11 foi facilitar a vida para as equipes de segurança, ativando automaticamente os recursos de segurança, disse Weston.
"Isso pode realmente se tornar a base para uma estratégia de confiança zero - especialmente para as lojas da Microsoft", disse ele.“Então [os profissionais de segurança] podem dizer:‘ Como esses recursos estão ativados, que devem limitar o funil de coisas que eu preciso me importar.Agora há mais coisas evitadas, o que significa que eu deveria ter que fazer menos perseguir e detectar.'”
Um cenário comum que a Microsoft ouviu dos clientes é que "mesmo que nossa detecção seja ótima, não temos necessariamente seres humanos suficientes para investigar tudo e responder rápido o suficiente", disse Weston.“Então o Windows 11 ajuda a reduzir esse funil.”
Além disso, como é possível determinar se um PC possui esses recursos ativados, as propriedades de segurança de um sistema podem ser medidas "quase como um cartão de vacinação", disse ele.
Uma empresa pode, portanto, dizer: "Mostre -me o" cartão de vacinação "do seu dispositivo antes de deixar você ter acesso aos dados", disse Weston.“Ficamos muito fáceis com o Windows 11.E isso torna as coisas como a detecção de terminais melhor, porque há menos para olhar.E a detecção de terminais é mais difícil de minar porque está começando de um estado muito limpo e de alta integridade.”
"Este é um ato um"
Outra motivação para os requisitos de hardware com o Windows 11 é permitir que a Microsoft aumente ainda mais a segurança em lançamentos futuros do sistema operacional, de acordo com Weston.
"Muito desse lançamento inicial do Windows 11 não é o objetivo final - é o primeiro clique em nossa jornada.Estamos dizendo: 'Agora podemos garantir que você tenha um TPM. That means I can go and make sure every app developer is now storing credentials and keys in hardware,'” he said."Eu não posso fazer isso no Windows 10 quando apenas uma porcentagem de pessoas tem isso.Por isso, está me permitindo definir uma linha de base que agora posso mover o ecossistema para aproveitar ao máximo.E essa é uma vitória enorme e enorme para nós.”
O que isso significa é que “mais aplicativos podem suportar a senha sem senha por padrão.Mais aplicativos podem fazer criptografia de dados.Mais aplicativos podem ter proteções de confiança zero, porque temos essa capacidade baseada em virtualização de relatar sua integridade ”, disse Weston."O que você verá nas seguintes versões do Windows 11 é nós, explorando isso em uma extensão muito melhor para aumentar a segurança.Então eu acho que esta é apenas a configuração do palco.Este é o Ato Um.Ato dois e três, eu acho, vão realmente trazer alguns aumentos enormes na segurança.”
Mesmo com o primeiro lançamento do Windows 11, há vários avanços de segurança que permitirão que os provedores de soluções façam melhor seus empregos, disse Marc Menzies, presidente e CTO da Visão geral Technology Solutions, A Ronkonkoma, N.Y.-Provedor de soluções baseado e parceiro da Microsoft.
E os requisitos da CPU são uma parte central disso, uma vez que os "modelos mais recentes da CPU permitem aproveitar os recursos adicionais de segurança que são assados no hardware", disse Menzies em entrevista à CRN na segunda -feira.“Se você tem um ambiente com certos padrões mais altos para hardware, do ponto de vista da segurança, torna as coisas mais curvas.”
Mesmo com o Windows 10, "eu poderia fazer um bom trabalho [em segurança] agora com as ferramentas que recebi em qualquer ambiente", disse ele.O que o Windows 11 faz é que permite que os provedores de soluções e os profissionais de TI "façam um bom trabalho de forma consistente" por causa da linha de base de segurança mais alta, ele disse.
Por exemplo, quando todo PC em uma frota de clientes tiver Windows 11, você pode saber que todos terão TPM 2.0 e, portanto, pode ser "levantado a algum nível de padrão de segurança facilmente", disse Menzies.
"Sou capaz de saber, entrando em um ambiente com o Windows 11, que os pontos de extremidade podem ser facilmente protegidos e não vou ter problemas estranhos com essa linha de base", disse ele.“Isso apenas torna muito mais fácil saber qual é a sua linha de base e que você pode implementar alguns dos recursos de segurança que são realmente, neste momento, fundamentais.”
Overall, “I think Microsoft’s posture on security is about a ‘rising tide raises all ships,'” Menzies said.
Para provedores de soluções e profissionais de TI, o Windows 11 deve oferecer o principal benefício de ter "menos para configurar", disse Weston.
"Eles têm um trabalho muito difícil.Muitos de nossos pessoal de TI não são apenas isso - eles são segurança, eles são devOps.Eles têm um monte de chapéus diferentes ", disse ele."O que realmente espero é que eles me dirão: 'Meu trabalho agora é mais fácil.Eu tenho que fazer menos ajustes e configurações e menos [trabalho] fazendo a compatibilidade e a análise de desempenho - porque a Microsoft fez mais disso na frente com o Windows 11.'”