Microsoft publiserte denne uken det selskapet kaller en standard for en Windows 10-enhet med høy sikkerhet. Det dreier seg om egenskapene som enhetene, i første rekke pc-er, må ha for at all sikkerhetsfunksjonaliteten som tilbys i Windows 10 Fall Creators Update (version 1709) skal kunne fungere.
Det dreier seg om både maskinvare og fastvare. Retningslinjene i spesifikasjonen er først og fremst rettet mot pc-produsenter, men er også nyttig å vite om for mange pc-brukere.
Ny CPU
På maskinvaresiden er kravet at systemet må være utstyrt med en helt oppdatert prosessor som er sertifisert for den nåværende utgaven av Windows. I praksis betyr dette den syvende generasjonen av prosessorer fra enten Intel eller AMD. De aktuelle modellseriene er navngitt i dokumentet.
Ifølge Bleeping Computer er det bare den nyeste generasjonen av prosessorer som støtter det som kalles for Mode Based Execution Control (MBEC), som skal være viktig for den virtualiseringsbaserte sikkerheten (VBS) i Windows 10.
Prosessorene må gi umaskert tilgang til visse maskinvarebaserte virtualiseringsteknologier, slik at disse kan utnyttes av operativsystemet.
TPM
Enhetene må dessuten være utstyrt med en Trusted Platform Module (TPM) versjon 2.0, samt tilfredsstille kravene i spesifikasjonen til Trustworthy Computing Group. Dette innebærer at TPM-en må være levert av Intel, AMD, Infineon, STMicroelectronics eller Nuvoton.
TPM-en brukes blant annet til å generere, lagre og begrense bruken av kryptografiske nøkler. Den inneholder også en unik nøkkel som identifiserer enheten. I tillegg brukes den i forbindelser med andre sikkerhetstiltak.
Det er nødvendig med en kryptografisk verifisert oppstart av plattformen, for eksempel Intel Boot Guard i Verified Boot-modus eller AMD Hardware Verified Boot.
Dessuten må systemet ha minst 8 gigabyte med RAM.
Leste du denne? Millioner av kryptonøkler må byttes ut
Fastvare
Det stilles også en hel del krav til fastvaren. Blant annet må den implementere versjon 2.4 eller nyere av Unified Extension Firmware Interface (UEFI), og UEFI Secure Boot må være aktivert som standard.
Det kreves også at systemene støtter fastvareoppdatering gjennom Windows UEFI Firmware Capsule Update.
Mange nyere pc-er rettet mot bedriftsmarkedet vil tilfredsstille disse kravene. Men dette gjelder i mindre grad pc-er rettet for forbrukermarkedet, hvor en del ikke er utstyrt med noen TPM. I noen tilfeller vil brikken da kunne ettermonteres av brukeren selv.