Tại sao Microsoft yêu cầu TPM 2.0 trên Windows 11?

Tháng mười 16, 2021

Microsoft tuyên bố rằng họ đã xây dựng Windows 11 dựa trên ba nguyên tắc chính: Bảo mật, Độ tin cậy và Khả năng tương thích. Nhìn vào yêu cầu bổ sung của Secure Boot và TPM 2.0, có vẻ như Bảo mật đã chiếm được ánh đèn sân khấu.

Secure Boot là gì?

Secure Boot thuộc UEFI, viết tắt của Unified Extensible Firmware Interface. Bạn có thể coi UEFI như một giao diện phần mềm nằm giữa hệ điều hành, firmware và phần cứng của bạn. UEFI có kế hoạch thay thế BIOS (giao diện mà chúng ta đã có trong thời kỳ Windows 7 trở về trước) và nó là thứ được cài đặt sẵn trong mọi PC hiện đại mà bạn có thể mua ngay bây giờ.

Trên thực tế, Secure Boot là một giao thức dưới UEFI 2.3.1 tồn tại để bảo mật quá trình khởi động hệ thống bằng cách không tải bất kỳ driver UEFI nào chưa được ký hoặc bộ tải khởi động hệ điều hành chưa được ký.

Vai trò duy nhất của nó về cơ bản là chặn bất kỳ đoạn mã nào (driver, bộ nạp khởi động hoặc ứng dụng) không được ký bởi Khoá nền tảng OEM (Nhà sản xuất thiết bị gốc).

Nếu driver, ứng dụng hoặc bộ nạp khởi động hệ điều hành UEFI có các Khóa nền tảng đã ký thì chỉ khi đó nó mới được phép chạy.

Bảo mật trên Windows 11

Với màn demo tấn công từ xa, Microsoft lợi dụng việc đặt username và password yếu của chức năng Remote Desktop đang được bật lên trên một chiếc laptop ở xa. Sau khi chạy một đoạn script để “brute force” (thử đi thử lại nhiều lần cho tới khi mò ra password đúng), Dave Weston – chuyên gia bảo mật của Microsoft – có thể vào được một máy tính với đầy đủ quyền. Khi đó anh ta cài ransomware vào máy nạn nhân và thậm chí còn chặn luôn việc vào môi trường Windows Recovery, nên nạn nhân còn không vô được tới Windows nữa. Chiếc máy của nạn nhân không bật tính năng Secure Boot, Trusted Boot mà Windows 11 yêu cầu, thế nên nó mới bị tấn công dạng này, và nó cũng đang không bật TPM.

Trong màn demo thứ hai, họ sử dụng một thiết bị PCI Leech để truy cập vào bộ nhớ của hệ thống (RAM) và qua mặt tính năng login bằng vân tay. Chỉ cần một cục kẹo dẻo là kẻ tấn công có thể “hack” vô được máy tính của bạn, và nếu tài khoản của bạn là admin thì xem như hắn có thể làm mọi thứ hắn muốn. Tính năng Virtualization-Based Security (VBS) của Windows 11 giúp ngăn chặn điều này vì nó ảo hóa những thành phần quan trọng như key giải mã, signature… vào một container, ngăn cách nó với hệ điều hành ở mức phần cứng. Chức năng Hypervisor của Windows sẽ đảm bảo độ toàn vẹn của hệ thống, khi nó phát hiện thấy một thiết bị hay một đoạn code lạ, nó sẽ không cho phép code truy cập vào bộ nhớ.

Bên cạnh đó, những thứ như key giải mã, signature còn được bảo vệ bởi TPM 2.0 với mức độ mã hóa cao, không thể giải mã ngược lại một cách đơn giản. TPM 2.0 cũng là một thứ được Windows 11 yêu cầu phải có.

Cách để kích hoạt Secure Boot?

Kích hoạt Secure Boot là một quá trình khá đơn giản. Một trong những nhà văn tuyệt vời của chúng tôi đã xem xét quá trình này rất chi tiết tại liên kết bên dưới. Hãy chắc chắn để kiểm tra nó ra.

Trên một số hệ thống, bạn phải tắt CSM để mở khóa tùy chọn Secure Boot ẩn trong màn hình UEFI của mình. Nếu PC của bạn mới mua, giả sử là năm 2017 trở lên, thì bạn sẽ có thể kích hoạt Secure Boot. Nếu bạn không thể, hãy chia sẻ kiểu mainboard của PC của bạn. với chúng tôi trong hộp bình luận bên dưới.

Tổng hợp

5/5 - (2 bình chọn)

Đăng ký dùng thử sản phẩm

10 + 2 =

Những điểm mới trong ESET PROTECT On-Prem 12.0

Những điểm mới trong ESET PROTECT On-Prem 12.0

Thông báo đến khách hàng của Eset rằng ESET PROTECT 9.x đã chính thức kết thúc vòng đời và ESET PROTECT 10.x hiện được coi là lỗi thời với khả năng hỗ trợ hạn chế. Để đảm bảo bảo mật, hiệu suất và quyền truy cập tối ưu vào các tính năng mới nhất, chúng tôi đặc biệt...

Windows 365 Link – Thiết bị Cloud PC đầu tiên cho Windows 365

Windows 365 Link – Thiết bị Cloud PC đầu tiên cho Windows 365

Windows 365 là gì? Windows 365 là giải pháp phần mềm dưới dạng dịch vụ (SaaS) sẽ phát trực tiếp một cách an toàn toàn bộ máy tính để bàn Windows (bao gồm các ứng dụng, cài đặt và nội dung) từ Microsoft Cloud đến bất kỳ thiết bị nào thông qua PC trên đám mây. Xem thêm:...

Cập nhật mới trong GravityZone Cloud 2024

Cập nhật mới trong GravityZone Cloud 2024

Vào ngày 27 tháng 11, Bitdefender đã triển khai chức năng mới trong Bitdefender GravityZone, một nền tảng an ninh mạng toàn diện cung cấp khả năng phòng ngừa, bảo vệ, phát hiện và ứng phó cho các tổ chức thuộc mọi quy mô. Các tính năng này, phù hợp với chiến lược bảo...

Windows Server 2025 có gì mới?

Windows Server 2025 có gì mới?

Windows Server 2025 là gì? Windows Server 2025 là phiên bản hệ điều hành máy chủ mới nhất của Microsoft. Phiên bản này không chỉ kế thừa các ưu điểm nổi bật của Windows Server 2022, mà còn được nâng cấp với hàng loạt tính năng mới. Cho đến thời điểm hiện tại, Windows...

Bitdefender GravityZone có gì mới (Cập nhật 10/2024)

Bitdefender GravityZone có gì mới (Cập nhật 10/2024)

Vào ngày 16 tháng 9, Bitdefender đã ra mắt các tính năng mới trong Bitdefender GravityZone, một nền tảng an ninh mạng toàn diện cung cấp khả năng phòng ngừa, bảo vệ, phát hiện và phản hồi cho các tổ chức thuộc mọi quy mô. Những tính năng này, phù hợp với chiến lược...

Microsoft Office 2024 có gì mới?

Microsoft Office 2024 có gì mới?

Microsoft vừa ra mắt phiên bản Office 2024 vào ngày 1 tháng 10, nhằm phục vụ cho người dùng và doanh nghiệp nhỏ không muốn sử dụng dịch vụ đăng ký Microsoft 365. Office 2024 cung cấp hai gói lựa chọn: Office Home 2024 với giá 149,99 USD và Office Home & Business...