Trusted Platform Module (TPM): нова вимога в Windows 11

Microsoft представила Windows 11 цього літа, і, коли пізніше були опубліковані системні вимоги до оновлення, одна з них, зокрема, привернула значну увагу: модуль Trusted Platform Module (TPM) версії 2.0. Для роботи Windows 11 необхідний TPM 2.0 як важливий будівельний блок для функцій, пов’язаних із безпекою. По суті, цей крок є частиною загальної політики Microsoft щодо безпеки, яка має відповідати Загальному регламенту ЄС про захист даних (GDPR). Глобальна ж ціль – забезпечити підхід нульової довіри (Zero Trust) до чіпів постійної синхронізації з хмарою.

TPM, також відомий як ISO/IEC 11889-1, є міжнародним стандартом для безпечних крипто-процесорів, виділених мікроконтролерів, призначених для захисту обладнання за допомогою інтегрованих криптографічних ключів. Чіп TPM – це чіп, який відповідає цьому стандарту і може бути інтегрований в материнську плату комп’ютера або окремо доданий в центральний процесор. За словами Девіда Вестона, директора з безпеки Microsoft, він допомагає захистити ключі шифрування, облікові дані користувачів та інші конфіденційні дані за апаратним бар’єром, щоб зловмисне програмне забезпечення та зловмисники не могли отримати доступ до цих даних або підробити їх.

Чіпи TPM це не якесь новаторство. Просто раніше їх використовували лише в керованих ІТ бізнес-ноутбуках і настільних комп’ютерах. Це також не є особливо новою вимогою в Windows. Насправді ця тема ще виникла в релізі Windows 10, але не набула такого обов’язкового характеру, як це стало в Windows 11.

Навіщо Windows потрібен TPM?

Windows є найбільш поширеною операційною системою у світі. Хоча в останні роки він отримав певну конкуренцію з боку macOS, Linux і Chrome OS, Windows все ще домінує на 75% усіх комп’ютерів. Таким чином, ця операційна система стала ціллю номер один для кібератак, причому найгучніші атаки програм-вимагачів і шкідливих програм націлені саме на пристрої під керуванням Windows.

Завдяки застосуванню TPM, а також нових функцій, таких як безпечне завантаження та безпека на основі віртуалізації (VBS), Microsoft використовує проактивний підхід до безпеки, намагаючись запропонувати користувачам найвищий рівень безпеки.

Оновлення безпеки можна застосовувати, як на програмному, так і на апаратному рівні. Хоча програмне забезпечення безпеки може бути ефективним засобом запобігання злому, воно також більш вразливе до стороннього втручання. Досвідчений хакер може використати невиправлену вразливість або новий тип експлойту, щоб обійти або зламати безпекове програмне забезпечення та отримати доступ до систем і конфіденційних даних, що зберігаються на них. Апаратна безпека тим часом жорстко закодована, що означає, що криптографічні ключі не можуть бути змінені, якщо зловмисник не знає їх заздалегідь.

TPM 2.0 підвищує стандарт Windows щодо безпеки обладнання, вимагаючи вбудованого кореневого довірчого елемента, який є ефективним засобом захисту від поширених і складних атак, таких як програми-вимагачі. Він буде використовуватися, серед іншого, під час шифрування дисків за допомогою BitLocker і для захисту особи під час використання Windows Hello.

Поява широкого впровадження TPM була добре сприйнята такими організаціями, як Trusted Computing Group (TCG), неурядова організація, яка була створена для розробки, визначення та просування відкритих, незалежних від вендорів, глобальних галузевих специфікацій і стандартів, таких як TPM.

«Платформа TPM застосовується як апаратний корінний центр криптографічної довіри і відіграватиме життєво важливу роль у визначенні робочого стану, його надійності та автентичності систем Windows», — каже Йорг Борхерт, президент Trusted Computing Group. «Windows 11 виграє від того, що стане набагато безпечнішою та прокладе шлях для подальшого впровадження безпеки в галузі. Впровадження апаратної безпеки TPM та впровадження елементів архітектури Zero Trust зміцнює загальну безпеку операційної системи».

Вплив вимог TPM на старі ПК

Наскільки великими стануть незручності застосування TPM для компаній, які експлуатують комп’ютери під керуванням Windows? Це дійсно залежить від того, скільки років їхнім машинам. Більшість комп’ютерів, які постачалися за останні п’ять років, можуть працювати з TPM 2.0. Це означає, що більшість процесорів вже мають версію мікропрограми TPM 2.0. Адміністратори просто повинні переконатися, що він увімкнений, перш ніж почати інсталяцію Windows 11.

Старше обладнання, яке не має TPM 2.0, буде виключено з оновлення Windows 11. Microsoft підтвердила під час сесії запитань і відповідей, що використовує жорсткий підхід до застосування TPM, оскільки це розглядається як необхідність для забезпечення безпеки. Хоча TPM можна додати окремо в ЦП, старі комп’ютери все ще ризикують бути закритими від майбутніх оновлень, оскільки Microsoft заявила в серпні, що непідтримувані ПК під керуванням Windows 11 не матимуть права отримувати оновлення.

Тому компанії повинні перевірити, чи відповідають вони вимогам Microsoft для Windows 11, увімкнути TPM, якщо він відключений, і розглянути можливості оновлення старих комп’ютерів. Поєднання фізичного модуля TPM зі старими процесорами може виявитися більшою проблемою, ніж їхня цінність, і в кінцевому підсумку надасть організаціям лише короткострокове рішення.

Підтримка Zero Day для Windows 11

TPM — не єдина проблема, про яку компанії повинні турбуватися. Перед оновленням до Windows 11 вони також повинні перевірити, чи їхнє теперішнє програмне забезпечення безпеки буде сумісним із новою версією операційної системи. Переривання політики безпеки може призвести до катастрофи для компаній, тому дуже важливо, щоб їхні продукти безпеки забезпечували безперебійне обслуговування.

Рішення для запобігання втрати даних (DLP), Endpoint Protector, пропонує підтримку нульового дня для Windows 11. Завдяки йому компанії можуть продовжити міграцію ОС без затримок або переривання теперішньої політики захисту даних, гарантуючи, що конфіденційна інформація постійно контролюється.

Підписатися на новини