By: mk 
on 26 June 2021 - 10:05
Tags:
David Weston หัวหน้าฝ่ายความปลอดภัย OS ของไมโครซอฟท์ เขียนบล็อกอธิบายเหตุผลที่ Windows 11 ต้องการชิป TPM และซีพียูรุ่นใหม่ ว่ามาจากแง่มุมของความปลอดภัย
Weston อ้างถึงแนวคิด Secured-Core PC ที่ไมโครซอฟท์เปิดตัวในปี 2019 ว่าเป็นการยกระดับความปลอดภัย โดยใช้ฮาร์ดแวร์ ซอฟต์แวร์ ระบบปฏิบัติการทำงานร่วมกัน ซึ่งชิป Trusted Platform Module (TPM) ที่ใช้เก็บกุญแจเข้ารหัสต่างๆ ในระดับฮาร์ดแวร์มีความสำคัญมาก ช่วยป้องกันไม่ให้มัลแวร์หรือแฮ็กเกอร์เข้าถึงข้อมูลเหล่านี้ได้ หากเจาะระบบได้
ไมโครซอฟท์ให้ข้อมูลว่า ลูกค้าองค์กร 83% พบการโจมตีที่ระดับเฟิร์มแวร์ แต่การป้องกันทำได้ยากถ้าไม่มีฮาร์ดแวร์เข้าช่วยทำ hardware root-of-trust และจากสถิติของพีซี Windows 10 ที่ผ่านมาตรฐาน Secure-cored อยู่แล้ว สามารถลดการติดมัลแวร์ลงได้ 2x
ส่วนประเด็นว่า Windows 11 ต้องการซีพียูรุ่นใหม่ๆ ด้วย เพราะต้องการฟีเจอร์ด้านความปลอดภัยอย่าง virtualization-based security (VBS), hypervisor-protected code integrity (HVCI), Secure Boot ที่เปิดเป็นค่าดีฟอลต์
ในโพสต์นี้ยังให้ข้อมูลของพีซีใหม่ที่จะมาพร้อม Windows 11 ในอนาคตว่า
- จะมีชิป TPM 2.0 ในตัว
- เปิดใช้ Windows Hello เป็นค่าดีฟอลต์ เพื่อเลี่ยงการใช้รหัสผ่าน
- รองรับ Microsoft Azure Attestation เป็นโซลูชันที่ตรวจสอบผ่านคลาวด์ว่า ฮาร์ดแวร์เครื่องนั้นผ่านมาตรฐานความปลอดภัย
ในปี 2020 ไมโครซอฟท์ยังเปิดตัวชิป Pluton ของตัวเอง ที่เป็นพัฒนาการขั้นกว่าของ TPM และจะฝังมาใช้ซีพียูของ Intel, AMD, Qualcomm ในอนาคต ไมโครซอฟท์บอกว่าเราจะเห็นพีซีที่มีชิป Pluton ในเร็วๆ นี้ ซึ่งจะใช้งานกับ Windows 11 ได้เช่นเดียวกับเครื่องที่มี TPM 2.0
ที่มา - Microsoft
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP
Comments
ก็ช่วยแยกเป็น version pro/ enterprise กับ home use แทนได้ไหม
ขืนทำเป็นออพชั่นให้คนเลือกได้ว่ามีแบบถูกสุดที่ไม่ต้องใช้ TPM คนก็เลือกที่จะไม่เอา TPM แล้วสุดท้ายมันก็มีปัญหาเดิม ๆ ครับ วัวหายล้อมคอก เกิดเรื่องก่อนค่อยตระหนักว่ามันสำคัญ
ถ้าทำแบบที่คุณบอกสิ่งที่เกิดขึ้น ก็จะเป็นว่ามีคนจำนวนมากที่อัพเดทเป็น 11 ไม่ได้ นั่นก็หมายความว่าเขาก็ยังคงติดอยู่ที่ windows 10 และไม่ได้ระบบความปลอดภัยใหม่ๆที่เพิ่มขึ้นมา
ลองชั่งน้ำหนักดูครับว่าแบบไหนได้แบบไหนเสียมากกว่ากัน คอมผมเพิ่งซื้อมา 3 เดือนยังไม่สามารถใช้ได้โดยปกติเลย ต้องกลับไปปรับค่า setting กันเยอะแยะวุ่นวาย แค่ไปเปิดใช้งาน secure boot วันนี้ได้ flash bios ใหม่แล้ว ถามว่าคนใช้คอมปกติทั่วๆไปเขาจะทำได้ไหม มีคนอีกกี่คนที่ด้วยวิธีการนี้กลายเป็นการต้องถูกบังคับซื้อคอมใหม่ แล้วคิดว่าเขาจะทำเหรอครับ
ถ้าในแง่ของ "ความตระหนัก" ก็ใช่ครับ มันก็ควรจะเป็นแบบนั้นแหละ
ผมคิดว่าผู้ใช้โดยส่วนใหญ่จะเข้าใจว่า "อัพเดทล่าสุด = ปลอดภัยแล้ว" ครับ เพราะงั้นการฝืนให้อัพเดทโดยที่มันยังมีช่องโหว่อยู่มันทำให้ผู้ใช้ไม่ตระหนักถึงช่องโหว่นั้น ในทางกลับกันการทำให้รับรู้ว่าอัพเดทไม่ได้มันทำให้ผู้ใช้ตระหนักว่ามันมีปัญหาเรื่องความปลอดภัยอยู่ ผมเชื่อว่าหลายๆคนรู้จัก Secure Boot, UEFI, TPM ก็ตอน Windows 11 นี่แหละ
แบบไหนได้หรือเสียมากกว่า? ถ้าไม่ว่าอัพให้หรือไม่อัพให้มันก็ไม่ปลอดภัยเท่ากันทั้งคู่ ผมคิดว่าไม่อัพให้จะดีกว่าด้วยเหตุผลเรื่องความตระหนักครับ แต่ถ้าอัพให้แล้วมันอุดช่องโหว่บางประการด้วยก็ต้องมาชั่งน้ำหนักกันอีกทีว่าช่องโหว่นั้นกับความตระหนักอันไหนมันร้ายแรงกว่ากัน
ทั้งนี้เราก็ไม่จำเป็นต้องเลือกทางใดทางหนึ่ง สามารถเลือกทั้งคู่ได้ (และ Microsoft ก็กำลังทำอยู่) ก็คืออัพแพทช์ความปลอดภัยเท่าที่จะทำได้ให้ของเก่าด้วย ส่วนถ้าจะอัพของใหม่ก็ต้องปรับตามสถานเดียวครับ วิธีนี้จะทำให้ผู้ใช้ของเก่าก็ยังคงปลอดภัยเท่าที่จะทำได้ แล้วก็ตระหนึกถึงความไม่ปลอดภัยจากการที่อัพของใหม่ไม่ได้ด้วย
Windows Hello นี่ หลายปีผ่านมายังเข็นไม่ค่อยขึ้นจริงๆ ด้วยเหตุผลหลักๆคือ กล้องพิเศษราคายังสูงอยู่ ทำให้ไม่ได้ถูกติดตั้งมาเลยกับ Notebook จะซื้อมาติดเองภายหลังก็ดูจะเกะกะเครื่องอีก
finger scan ก็ถือเป็น Windows Hello เหมือนกันนะครับ
Windows Hello ไม่จำเป็นต้องใช้กล้องครับ fingerprint ก็ได้
ผมมองว่าเป็นความขี้เกียจของผู้ผลิต PC มากกว่าครับที่ไม่ยอมดัน Windows Hello กันเลย ซึ่งกล้องพร้อม IR มันไม่ได้แพงอะไรเลยครับ ยกตัวอย่างการปรับสเปก ThinkPad นี่ใส่กล้องพร้อม IR แค่ 300 บาทเอง เซ็นเซอร์ fingerprint ยิ่งไม่แพงเลย
รอดูสิถ้า Mac ทำสแกนหน้าบ้างเดี๋ยวฝั่ง PC ก็ตามกันหมดเหมือน USB-C ไม่รู้มันเป็นอะไรขยับกันช้ามาก ต้องรอแอปเปิลเปิดก่อน แรมก็อยู่ที่ 8GB เป็นมาตรฐาน consumer laptop มากี่ปีละ
Pitawat's Blog :: บล็อกผมเองครับ
ตลาดคนใช้ Windows เป็น price sensitive ครับ แพงกว่า 500 บาท คนก็ไม่เลือกแล้ว
Windows Hello เอาจริงๆต่อให้ไม่มีแสกนหน้าไม่มีแสกนนิ้วก็ใช้ได้นะครับ แต่ใช้ได้แค่ใส่ PIN เอา ผมก็ใช้อยู่ 55+
แต่ราคาแพงจริงครับ ตอนผม WFH จะซื้อ Webcam มาติด PC ที่บ้าน คิดว่าไหนๆก็ลองติด Windows Hello เลยละกัน แต่ลองค้นๆดู ราคาถือว่าแรงใช่ย่อยเลย มันไม่ใช่แพงเพราะ Windows Hello หรอก แต่มันกั๊กไว้เฉพาะรุ่นท๊อปเสียมากกว่า สุดท้ายก็เลยจัดแบบธรรมดามา
บอกไปเลยว่า “ช่วยอินเทลกับเอเอ็มดีกระตุ้นตลาดพีซี” ก็ได้นะ
เกรงว่าทั้ง 2 จะบอกตอนนี้ขายไม่ทันแล้วว
ในระยะยาวครับ ไม่ใช่เฉพาะแค่ช่วงออกใหม่
ผมกลับไปอ่านข่าว Blognone ปี 2016 ช่วงที่จะออก Windows 10 ในข่าวก็บอกว่า ไมโครซอฟท์ปรับสเปกฮาร์ดแวร์ขั้นต่ำของ Windows 10 ต้องมี TPM 2.0 เหมือนกัน
TPM ใช่ที่ลืมรหัสมาเปลี่ยนยกบอร์ดไหมอ่า
บอร์ดอะไรเหรอครับ
เพื่อความปลอดภัย
มีความรู้สึกว่าเดี๋ยวก็ถอย
เหตุผลดูดีที่บังคับให้คนเปลี่ยนเครื่อง
เหยียบรอย Vista ชัดๆ
ในขณะที่ คนใช้ Mac ใช้ iPhone เคลมว่าเขาเป็นระบบที่ปลอดภัยที่สุด อะไรที่เกี่ยวกับความปลอดภัยยิ่งดี ในขณะที่ฝั่ง windows จะทำให้ปลอดภัย กลับถูกส่ายหน้า ชอบอยู่บนความเสี่ยง บางทีอะไรที่มันเก่าไปหรือไม่มี อยากได้ของใหม่ก็ต้องกัดฟันทิ้ง อย่างมือถือเครื่องรองรับแค่ 4G แต่อยากใช้ 5G ก็ต้องซื้อเครื่องใหม่ ถ้าไม่งั้นก็ต้องทนใช้ของเดิมต่อไปจนกว่าจะอัพเกรด
"ในขณะที่ฝั่ง windows จะทำให้ปลอดภัย กลับถูกส่ายหน้า ชอบอยู่บนความเสี่ยง"
ปลอดภัยจากรูรั่วของ Windows เองเนี่ยนะครับ?
คุณไม่รู้จริงๆ หรือครับ ว่าผู้บริโภคส่ายหน้ากับเรื่องอะไร?
ความเสี่ยงที่ว่า เกิดจากอะไร? และเพราะอะไร Windows จึงไม่เคยเคลมได้ว่าตัวเองเป็น OS ที่ปลอดภัยเหมือน OS อื่นๆ เขาเคลมกัน
คุณต้องจ่ายเงินเพิ่มเพื่อแก้ไขช่องโหว่ของ Windows เองมากี่รุ่นแล้วครับ?
ถ้าเรื่องนี้เป็นรถยนต์ คุณคงทุบรถโชว์แล้วส่งคืนเรียกเงินคืนจากผู้ผลิตไปแล้วใช่ไหมครับ? ถ้ารถคุณมีข้อบกพร่องจากผู้ผลิตเองมาจากโรงงาน
อ่านข่าวนี้สิครับ -> https://www.blognone.com/node/123428
OS อื่นเขามีปัญหาแบบนี้กันมากเหมือนแนวทางของ Windows หรือครับ?
แนวคิดแบบเอาตัวเองเป็นศูนย์กลางของโลกคอมพิวเตอร์ของ Windows เนี่ย จนยุค Satya นี่ก็ยังไม่เปลี่ยนครับ
ถ้าจะคิดแบบนั้น ต้องทำแบบ Apple ครับ จึงจะปลอดภัย
แต่ถ้าจะให้ Hardware มันอิสระและหลากหลายอย่างที่ PC เป็นอยู่นี่ แนวทางของ Windows ก็จะรั่วตลอดไปครับ
Dependency policy ของ Windows มัน conflict กันเองมาตลอดครับ
ผมว่า คำถามที่ MS จะต้องตอบผู้ใช้ให้ได้คือ TPM 2.0 เนี่ย มันจะช่วยผู้ใช้ในด้านไหนยังไง และผู้ใช้จะได้ประโยชน์อย่างไร บางทีการที่จะบอกว่า "เพื่อความปลอดภัยของใช้" อาจจะยังไม่มีรายละเอียดมากพอ และจะมีผู้ใช้อีกจำนวนที่บอกว่า "ฉันไม่แคร์เรื่องพวกนี้ ฉันแค่อยากใช้พีซีของฉันในวิธีของฉัน" ซึ่งก็ต้องตอบให้ได้ว่าทำไมสิ่งที่ MS นำเสนอถึงดีกว่า
อย่างตอนนี้คำแนะนำที่ได้ยินประจำ ๆ คือ ไม่ login เข้าระบบของ MS ปิดการใช้ service ทุกอย่างเท่าที่ทำได้ คือใช้ OS ในฐานะ OS อย่างเดียว อะไรแบบนี้ครับ คนกลุ่มนี้จะไม่อินกับอะไรที่มันนอกเหนือไปกว่า OS + Shell ซึ่งเป็นสิ่งที่ Windows เคยเป็นมาในอดีต
จริงๆ หาวิธีปิดอัพเดทกันเต็มเลย คนกลุ่มนี้เค้าไม่ได้สนปปลอดภัยจริงๆ ไมโครต้องตอบให้ได้
ไม่เชิงนะ คนปิดอัพเดตเนี่ยคือพวกเล่นของเถื่อนครับ
พวกข้างบนขนาด Youtuber ดัง ๆ (เช่น Jayztwocent) เค้าก็ทำนะ เค้าไม่ได้มีปัญหาอะไรกับอัพเดต เขาแค่รู้สึกว่าทำไมต้องเอาข้อมูลเขาใส่พานให้ไมโครซอฟต์ ก็เท่านั้นเองครับ
ผมเล่นแท้ (คีย์ OEM Pro ติดเครื่อง) แต่ก็ปิดนะครับ
แค่ไม่อยากเสียเวลารอปิดรางปลั๊กไฟ
+
ระบบ update ของ Windows ห่วยบรม บางที update พื้นหลังแล้วยังต้องมารอ update ก่อนปิดเครื่อง ตามด้วย update ตอนเปิดเครื่องอีก ถึงจะเกิดไม่บ่อยก็เถอะ แต่มันก็น่ารำคาญนิดหน่อย
ผมจะรอดูเลยว่า Microsoft จะเปลี่ยนใจเรื่อง CPU ขั้นต่ำ และ TPM ไหมนะ? เพราะว่าการบังคับให้ต้องมีฮาร์ดแวร์อย่างชิป TPM ในการติดตั้ง Windows 11 นี้ ก็ใช่ว่าจะติดตั้งกันได้ทุกเครื่อง ซึ่งการจะทำให้มีคนอัปเดตไป Windows 11 ถึงแม้คนนั้นๆ อยากจะอัปเดตก็ตาม แต่มันก็ไม่สามารถทำได้ เพราะติดเรื่องเงื่อนไขของฮาร์ดแวร์ กลายเป็นต้องซื้อ PC หรือ Notebook ใหม่ทั้งเครื่อง! การที่เครื่องยังใช้งานได้ลื่นไหลดี ใครจะไปซื้อใหม่ล่ะ จริงไหม!!?
แล้วก็ยังมีเรื่องของขยะอิเล็กทรอนิกส์อีก การที่จะติดตั้ง Windows 11 มันก็ไม่ต่างกับการบังคับให้ซื้อเครื่องใหม่ แล้วเครื่องเก่าที่ยังใช้ได้ดีล่ะ? ..เมื่อถึงเวลาที่ Windows 10 หมดระยะเวลาซัปพอร์ต มันก็จะเริ่มกลายเป็นขยะอิเล็กทรอนิกส์สินะ แถมเป็นขยะอิเล็กทรอนิกส์กองใหญ่ซะด้วย
Windows 10 ผมยังใช้ฮาร์ดแวร์อย่าง CPU Core 2 Duo บน Mainboard ASUS P5Q Turbo, RAM-DDR2 4GB, GPU Radeon HD 7790 ได้อยู่เลย ทั้งๆ ที่ฮาร์ดแวร์ก็เก่ามากกว่า 12 ปีแล้ว ลองคิดดูสิว่า ขนาด Core 2 Duo ยังใช้ได้ แล้วเครื่องที่ใหม่ว่า Core 2 Duo ทั้ง PC, Notebook ที่ไม่มีชิป TPM จะมีเยอะขนาดไหน?
เรื่องการบังคับเรื่องระบบความปลอดภัย ทำไมไม่ทำเป็น Windows 10 Enterprise แบบจริงๆ จังๆ ไปเลยล่ะ คือในเวอร์ชันนี้ ถ้าใครจะติดตั้ง ต้องมีชิป TPM ต้องบังคับใช้ Microsoft Account ในการใช้งาน อะไรทำนองนี้ ส่วนใครใช้เวอร์ชัน Home หรือ Pro ก็ไม่จำเป็นต้องมีก็ได้ จะได้ไม่ต้องเกิดเป็น Windows 11 ใหม่ให้ยุ่งยาก แถมคนใช้ Windows 10 จะได้อุ่นใจได้ว่า จะได้อัปเดตไปเรื่อยๆ ตราบที่เราอัปเดต Windows 10 ไปเรื่อยๆ จะได้ไม่ต้องยุ่งกับการหาซื้อฮาร์ดแวร์ใหม่ด้วย ขยะอิเล็กทรอนิกส์จะได้ไม่เป็นกองใหญ่ด้วย ทั้งหมดนี้ผมว่า Microsoft ทำตัวเองให้ยุ่งยากมากกว่านะ
คงต้องดูกันว่า ถ้าการที่สถิติการติดตั้ง Windows 11 ไม่เป็นไปตามเป้า หรือมีน้อยมากๆ Microsoft จะปรับนโยบายหรือไม่นั่นล่ะ