Tags:
Node Thumbnail

David Weston หัวหน้าฝ่ายความปลอดภัย OS ของไมโครซอฟท์ เขียนบล็อกอธิบายเหตุผลที่ Windows 11 ต้องการชิป TPM และซีพียูรุ่นใหม่ ว่ามาจากแง่มุมของความปลอดภัย

Weston อ้างถึงแนวคิด Secured-Core PC ที่ไมโครซอฟท์เปิดตัวในปี 2019 ว่าเป็นการยกระดับความปลอดภัย โดยใช้ฮาร์ดแวร์ ซอฟต์แวร์ ระบบปฏิบัติการทำงานร่วมกัน ซึ่งชิป Trusted Platform Module (TPM) ที่ใช้เก็บกุญแจเข้ารหัสต่างๆ ในระดับฮาร์ดแวร์มีความสำคัญมาก ช่วยป้องกันไม่ให้มัลแวร์หรือแฮ็กเกอร์เข้าถึงข้อมูลเหล่านี้ได้ หากเจาะระบบได้

ไมโครซอฟท์ให้ข้อมูลว่า ลูกค้าองค์กร 83% พบการโจมตีที่ระดับเฟิร์มแวร์ แต่การป้องกันทำได้ยากถ้าไม่มีฮาร์ดแวร์เข้าช่วยทำ hardware root-of-trust และจากสถิติของพีซี Windows 10 ที่ผ่านมาตรฐาน Secure-cored อยู่แล้ว สามารถลดการติดมัลแวร์ลงได้ 2x

ส่วนประเด็นว่า Windows 11 ต้องการซีพียูรุ่นใหม่ๆ ด้วย เพราะต้องการฟีเจอร์ด้านความปลอดภัยอย่าง virtualization-based security (VBS), hypervisor-protected code integrity (HVCI), Secure Boot ที่เปิดเป็นค่าดีฟอลต์

ในโพสต์นี้ยังให้ข้อมูลของพีซีใหม่ที่จะมาพร้อม Windows 11 ในอนาคตว่า

  • จะมีชิป TPM 2.0 ในตัว
  • เปิดใช้ Windows Hello เป็นค่าดีฟอลต์ เพื่อเลี่ยงการใช้รหัสผ่าน
  • รองรับ Microsoft Azure Attestation เป็นโซลูชันที่ตรวจสอบผ่านคลาวด์ว่า ฮาร์ดแวร์เครื่องนั้นผ่านมาตรฐานความปลอดภัย

ในปี 2020 ไมโครซอฟท์ยังเปิดตัวชิป Pluton ของตัวเอง ที่เป็นพัฒนาการขั้นกว่าของ TPM และจะฝังมาใช้ซีพียูของ Intel, AMD, Qualcomm ในอนาคต ไมโครซอฟท์บอกว่าเราจะเห็นพีซีที่มีชิป Pluton ในเร็วๆ นี้ ซึ่งจะใช้งานกับ Windows 11 ได้เช่นเดียวกับเครื่องที่มี TPM 2.0

ที่มา - Microsoft

Get latest news from Blognone

Comments

By: deaknaew on 26 June 2021 - 10:47 #1214106

ก็ช่วยแยกเป็น version pro/ enterprise กับ home use แทนได้ไหม

By: forl on 26 June 2021 - 12:07 #1214123 Reply to:1214106

ขืนทำเป็นออพชั่นให้คนเลือกได้ว่ามีแบบถูกสุดที่ไม่ต้องใช้ TPM คนก็เลือกที่จะไม่เอา TPM แล้วสุดท้ายมันก็มีปัญหาเดิม ๆ ครับ วัวหายล้อมคอก เกิดเรื่องก่อนค่อยตระหนักว่ามันสำคัญ

By: specimen
Windows PhoneAndroid
on 27 June 2021 - 21:46 #1214278 Reply to:1214123
specimen's picture

ถ้าทำแบบที่คุณบอกสิ่งที่เกิดขึ้น ก็จะเป็นว่ามีคนจำนวนมากที่อัพเดทเป็น 11 ไม่ได้ นั่นก็หมายความว่าเขาก็ยังคงติดอยู่ที่ windows 10 และไม่ได้ระบบความปลอดภัยใหม่ๆที่เพิ่มขึ้นมา

ลองชั่งน้ำหนักดูครับว่าแบบไหนได้แบบไหนเสียมากกว่ากัน คอมผมเพิ่งซื้อมา 3 เดือนยังไม่สามารถใช้ได้โดยปกติเลย ต้องกลับไปปรับค่า setting กันเยอะแยะวุ่นวาย แค่ไปเปิดใช้งาน secure boot วันนี้ได้ flash bios ใหม่แล้ว ถามว่าคนใช้คอมปกติทั่วๆไปเขาจะทำได้ไหม มีคนอีกกี่คนที่ด้วยวิธีการนี้กลายเป็นการต้องถูกบังคับซื้อคอมใหม่ แล้วคิดว่าเขาจะทำเหรอครับ

By: iqsk131 on 27 June 2021 - 22:11 #1214279 Reply to:1214278

ถ้าในแง่ของ "ความตระหนัก" ก็ใช่ครับ มันก็ควรจะเป็นแบบนั้นแหละ

ผมคิดว่าผู้ใช้โดยส่วนใหญ่จะเข้าใจว่า "อัพเดทล่าสุด = ปลอดภัยแล้ว" ครับ เพราะงั้นการฝืนให้อัพเดทโดยที่มันยังมีช่องโหว่อยู่มันทำให้ผู้ใช้ไม่ตระหนักถึงช่องโหว่นั้น ในทางกลับกันการทำให้รับรู้ว่าอัพเดทไม่ได้มันทำให้ผู้ใช้ตระหนักว่ามันมีปัญหาเรื่องความปลอดภัยอยู่ ผมเชื่อว่าหลายๆคนรู้จัก Secure Boot, UEFI, TPM ก็ตอน Windows 11 นี่แหละ

แบบไหนได้หรือเสียมากกว่า? ถ้าไม่ว่าอัพให้หรือไม่อัพให้มันก็ไม่ปลอดภัยเท่ากันทั้งคู่ ผมคิดว่าไม่อัพให้จะดีกว่าด้วยเหตุผลเรื่องความตระหนักครับ แต่ถ้าอัพให้แล้วมันอุดช่องโหว่บางประการด้วยก็ต้องมาชั่งน้ำหนักกันอีกทีว่าช่องโหว่นั้นกับความตระหนักอันไหนมันร้ายแรงกว่ากัน

ทั้งนี้เราก็ไม่จำเป็นต้องเลือกทางใดทางหนึ่ง สามารถเลือกทั้งคู่ได้ (และ Microsoft ก็กำลังทำอยู่) ก็คืออัพแพทช์ความปลอดภัยเท่าที่จะทำได้ให้ของเก่าด้วย ส่วนถ้าจะอัพของใหม่ก็ต้องปรับตามสถานเดียวครับ วิธีนี้จะทำให้ผู้ใช้ของเก่าก็ยังคงปลอดภัยเท่าที่จะทำได้ แล้วก็ตระหนึกถึงความไม่ปลอดภัยจากการที่อัพของใหม่ไม่ได้ด้วย

By: sarajung
iPhoneWindows PhoneAndroid
on 26 June 2021 - 11:10 #1214110
sarajung's picture

Windows Hello นี่ หลายปีผ่านมายังเข็นไม่ค่อยขึ้นจริงๆ ด้วยเหตุผลหลักๆคือ กล้องพิเศษราคายังสูงอยู่ ทำให้ไม่ได้ถูกติดตั้งมาเลยกับ Notebook จะซื้อมาติดเองภายหลังก็ดูจะเกะกะเครื่องอีก

By: sonkub
AndroidWindows
on 26 June 2021 - 11:27 #1214113 Reply to:1214110

finger scan ก็ถือเป็น Windows Hello เหมือนกันนะครับ

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 26 June 2021 - 11:30 #1214114 Reply to:1214110
Ford AntiTrust's picture

Windows Hello ไม่จำเป็นต้องใช้กล้องครับ fingerprint ก็ได้

By: BlackMiracle
WriterAndroidUbuntuWindows
on 26 June 2021 - 11:33 #1214115 Reply to:1214110

ผมมองว่าเป็นความขี้เกียจของผู้ผลิต PC มากกว่าครับที่ไม่ยอมดัน Windows Hello กันเลย ซึ่งกล้องพร้อม IR มันไม่ได้แพงอะไรเลยครับ ยกตัวอย่างการปรับสเปก ThinkPad นี่ใส่กล้องพร้อม IR แค่ 300 บาทเอง เซ็นเซอร์ fingerprint ยิ่งไม่แพงเลย

รอดูสิถ้า Mac ทำสแกนหน้าบ้างเดี๋ยวฝั่ง PC ก็ตามกันหมดเหมือน USB-C ไม่รู้มันเป็นอะไรขยับกันช้ามาก ต้องรอแอปเปิลเปิดก่อน แรมก็อยู่ที่ 8GB เป็นมาตรฐาน consumer laptop มากี่ปีละ


Pitawat's Blog :: บล็อกผมเองครับ

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 26 June 2021 - 11:34 #1214116 Reply to:1214115
Ford AntiTrust's picture

ตลาดคนใช้ Windows เป็น price sensitive ครับ แพงกว่า 500 บาท คนก็ไม่เลือกแล้ว

By: iqsk131 on 26 June 2021 - 11:48 #1214119 Reply to:1214110

Windows Hello เอาจริงๆต่อให้ไม่มีแสกนหน้าไม่มีแสกนนิ้วก็ใช้ได้นะครับ แต่ใช้ได้แค่ใส่ PIN เอา ผมก็ใช้อยู่ 55+

แต่ราคาแพงจริงครับ ตอนผม WFH จะซื้อ Webcam มาติด PC ที่บ้าน คิดว่าไหนๆก็ลองติด Windows Hello เลยละกัน แต่ลองค้นๆดู ราคาถือว่าแรงใช่ย่อยเลย มันไม่ใช่แพงเพราะ Windows Hello หรอก แต่มันกั๊กไว้เฉพาะรุ่นท๊อปเสียมากกว่า สุดท้ายก็เลยจัดแบบธรรมดามา

By: Floating Rotten Dog
ContributoriPhoneWindows PhoneAndroid
on 26 June 2021 - 12:04 #1214121
Floating Rotten Dog's picture

บอกไปเลยว่า “ช่วยอินเทลกับเอเอ็มดีกระตุ้นตลาดพีซี” ก็ได้นะ

By: S38593
Windows PhoneAndroidWindows
on 26 June 2021 - 12:18 #1214125 Reply to:1214121

เกรงว่าทั้ง 2 จะบอกตอนนี้ขายไม่ทันแล้วว

By: Floating Rotten Dog
ContributoriPhoneWindows PhoneAndroid
on 26 June 2021 - 12:27 #1214126 Reply to:1214125
Floating Rotten Dog's picture

ในระยะยาวครับ ไม่ใช่เฉพาะแค่ช่วงออกใหม่

By: sakuraba
Windows PhoneWindows
on 26 June 2021 - 12:25 #1214127
sakuraba's picture

ผมกลับไปอ่านข่าว Blognone ปี 2016 ช่วงที่จะออก Windows 10 ในข่าวก็บอกว่า ไมโครซอฟท์ปรับสเปกฮาร์ดแวร์ขั้นต่ำของ Windows 10 ต้องมี TPM 2.0 เหมือนกัน

By: max212
AndroidRed HatSUSEUbuntu
on 26 June 2021 - 13:13 #1214131
max212's picture

TPM ใช่ที่ลืมรหัสมาเปลี่ยนยกบอร์ดไหมอ่า

By: osmiumwo1f
ContributorWindows PhoneWindows
on 26 June 2021 - 17:53 #1214159 Reply to:1214131
osmiumwo1f's picture

บอร์ดอะไรเหรอครับ

By: tom789
Windows Phone
on 26 June 2021 - 13:26 #1214133

เพื่อความปลอดภัย

By: KuLiKo
ContributoriPhoneWindows PhoneAndroid
on 26 June 2021 - 15:09 #1214147
KuLiKo's picture

มีความรู้สึกว่าเดี๋ยวก็ถอย

By: ปาโมกข์
iPhoneAndroidWindows
on 26 June 2021 - 15:34 #1214152
ปาโมกข์'s picture

เหตุผลดูดีที่บังคับให้คนเปลี่ยนเครื่อง

By: Architec
ContributorWindows PhoneAndroidWindows
on 26 June 2021 - 15:51 #1214154

เหยียบรอย Vista ชัดๆ

By: decode2533
Windows PhoneAndroidSymbianWindows
on 26 June 2021 - 22:30 #1214186

ในขณะที่ คนใช้ Mac ใช้ iPhone เคลมว่าเขาเป็นระบบที่ปลอดภัยที่สุด อะไรที่เกี่ยวกับความปลอดภัยยิ่งดี ในขณะที่ฝั่ง windows จะทำให้ปลอดภัย กลับถูกส่ายหน้า ชอบอยู่บนความเสี่ยง บางทีอะไรที่มันเก่าไปหรือไม่มี อยากได้ของใหม่ก็ต้องกัดฟันทิ้ง อย่างมือถือเครื่องรองรับแค่ 4G แต่อยากใช้ 5G ก็ต้องซื้อเครื่องใหม่ ถ้าไม่งั้นก็ต้องทนใช้ของเดิมต่อไปจนกว่าจะอัพเกรด

By: จักรนันท์ on 27 June 2021 - 22:49 #1214280 Reply to:1214186

"ในขณะที่ฝั่ง windows จะทำให้ปลอดภัย กลับถูกส่ายหน้า ชอบอยู่บนความเสี่ยง"
ปลอดภัยจากรูรั่วของ Windows เองเนี่ยนะครับ?
คุณไม่รู้จริงๆ หรือครับ ว่าผู้บริโภคส่ายหน้ากับเรื่องอะไร?
ความเสี่ยงที่ว่า เกิดจากอะไร? และเพราะอะไร Windows จึงไม่เคยเคลมได้ว่าตัวเองเป็น OS ที่ปลอดภัยเหมือน OS อื่นๆ เขาเคลมกัน
คุณต้องจ่ายเงินเพิ่มเพื่อแก้ไขช่องโหว่ของ Windows เองมากี่รุ่นแล้วครับ?
ถ้าเรื่องนี้เป็นรถยนต์ คุณคงทุบรถโชว์แล้วส่งคืนเรียกเงินคืนจากผู้ผลิตไปแล้วใช่ไหมครับ? ถ้ารถคุณมีข้อบกพร่องจากผู้ผลิตเองมาจากโรงงาน

อ่านข่าวนี้สิครับ -> https://www.blognone.com/node/123428
OS อื่นเขามีปัญหาแบบนี้กันมากเหมือนแนวทางของ Windows หรือครับ?
แนวคิดแบบเอาตัวเองเป็นศูนย์กลางของโลกคอมพิวเตอร์ของ Windows เนี่ย จนยุค Satya นี่ก็ยังไม่เปลี่ยนครับ
ถ้าจะคิดแบบนั้น ต้องทำแบบ Apple ครับ จึงจะปลอดภัย
แต่ถ้าจะให้ Hardware มันอิสระและหลากหลายอย่างที่ PC เป็นอยู่นี่ แนวทางของ Windows ก็จะรั่วตลอดไปครับ
Dependency policy ของ Windows มัน conflict กันเองมาตลอดครับ

By: mr_tawan
ContributoriPhoneAndroidWindows
on 27 June 2021 - 05:51 #1214200
mr_tawan's picture

ผมว่า คำถามที่ MS จะต้องตอบผู้ใช้ให้ได้คือ TPM 2.0 เนี่ย มันจะช่วยผู้ใช้ในด้านไหนยังไง และผู้ใช้จะได้ประโยชน์อย่างไร บางทีการที่จะบอกว่า "เพื่อความปลอดภัยของใช้" อาจจะยังไม่มีรายละเอียดมากพอ และจะมีผู้ใช้อีกจำนวนที่บอกว่า "ฉันไม่แคร์เรื่องพวกนี้ ฉันแค่อยากใช้พีซีของฉันในวิธีของฉัน" ซึ่งก็ต้องตอบให้ได้ว่าทำไมสิ่งที่ MS นำเสนอถึงดีกว่า

อย่างตอนนี้คำแนะนำที่ได้ยินประจำ ๆ คือ ไม่ login เข้าระบบของ MS ปิดการใช้ service ทุกอย่างเท่าที่ทำได้ คือใช้ OS ในฐานะ OS อย่างเดียว อะไรแบบนี้ครับ คนกลุ่มนี้จะไม่อินกับอะไรที่มันนอกเหนือไปกว่า OS + Shell ซึ่งเป็นสิ่งที่ Windows เคยเป็นมาในอดีต


  • 9tawan.net บล็อกส่วนตัวฮับ
By: tom789
Windows Phone
on 27 June 2021 - 13:06 #1214240 Reply to:1214200

จริงๆ หาวิธีปิดอัพเดทกันเต็มเลย คนกลุ่มนี้เค้าไม่ได้สนปปลอดภัยจริงๆ ไมโครต้องตอบให้ได้

By: mr_tawan
ContributoriPhoneAndroidWindows
on 28 June 2021 - 02:03 #1214291 Reply to:1214240
mr_tawan's picture

ไม่เชิงนะ คนปิดอัพเดตเนี่ยคือพวกเล่นของเถื่อนครับ

พวกข้างบนขนาด Youtuber ดัง ๆ (เช่น Jayztwocent) เค้าก็ทำนะ เค้าไม่ได้มีปัญหาอะไรกับอัพเดต เขาแค่รู้สึกว่าทำไมต้องเอาข้อมูลเขาใส่พานให้ไมโครซอฟต์ ก็เท่านั้นเองครับ


  • 9tawan.net บล็อกส่วนตัวฮับ
By: Laktiu
Contributor
on 28 June 2021 - 02:25 #1214294 Reply to:1214291

ผมเล่นแท้ (คีย์ OEM Pro ติดเครื่อง) แต่ก็ปิดนะครับ

แค่ไม่อยากเสียเวลารอปิดรางปลั๊กไฟ

By: big50000
AndroidSUSEUbuntu
on 28 June 2021 - 10:57 #1214323 Reply to:1214294
big50000's picture

+

ระบบ update ของ Windows ห่วยบรม บางที update พื้นหลังแล้วยังต้องมารอ update ก่อนปิดเครื่อง ตามด้วย update ตอนเปิดเครื่องอีก ถึงจะเกิดไม่บ่อยก็เถอะ แต่มันก็น่ารำคาญนิดหน่อย

By: HoLY CoMM@nDo on 28 June 2021 - 05:25 #1214296
HoLY CoMM@nDo's picture

ผมจะรอดูเลยว่า Microsoft จะเปลี่ยนใจเรื่อง CPU ขั้นต่ำ และ TPM ไหมนะ? เพราะว่าการบังคับให้ต้องมีฮาร์ดแวร์อย่างชิป TPM ในการติดตั้ง Windows 11 นี้ ก็ใช่ว่าจะติดตั้งกันได้ทุกเครื่อง ซึ่งการจะทำให้มีคนอัปเดตไป Windows 11 ถึงแม้คนนั้นๆ อยากจะอัปเดตก็ตาม แต่มันก็ไม่สามารถทำได้ เพราะติดเรื่องเงื่อนไขของฮาร์ดแวร์ กลายเป็นต้องซื้อ PC หรือ Notebook ใหม่ทั้งเครื่อง! การที่เครื่องยังใช้งานได้ลื่นไหลดี ใครจะไปซื้อใหม่ล่ะ จริงไหม!!?

แล้วก็ยังมีเรื่องของขยะอิเล็กทรอนิกส์อีก การที่จะติดตั้ง Windows 11 มันก็ไม่ต่างกับการบังคับให้ซื้อเครื่องใหม่ แล้วเครื่องเก่าที่ยังใช้ได้ดีล่ะ? ..เมื่อถึงเวลาที่ Windows 10 หมดระยะเวลาซัปพอร์ต มันก็จะเริ่มกลายเป็นขยะอิเล็กทรอนิกส์สินะ แถมเป็นขยะอิเล็กทรอนิกส์กองใหญ่ซะด้วย

Windows 10 ผมยังใช้ฮาร์ดแวร์อย่าง CPU Core 2 Duo บน Mainboard ASUS P5Q Turbo, RAM-DDR2 4GB, GPU Radeon HD 7790 ได้อยู่เลย ทั้งๆ ที่ฮาร์ดแวร์ก็เก่ามากกว่า 12 ปีแล้ว ลองคิดดูสิว่า ขนาด Core 2 Duo ยังใช้ได้ แล้วเครื่องที่ใหม่ว่า Core 2 Duo ทั้ง PC, Notebook ที่ไม่มีชิป TPM จะมีเยอะขนาดไหน?

เรื่องการบังคับเรื่องระบบความปลอดภัย ทำไมไม่ทำเป็น Windows 10 Enterprise แบบจริงๆ จังๆ ไปเลยล่ะ คือในเวอร์ชันนี้ ถ้าใครจะติดตั้ง ต้องมีชิป TPM ต้องบังคับใช้ Microsoft Account ในการใช้งาน อะไรทำนองนี้ ส่วนใครใช้เวอร์ชัน Home หรือ Pro ก็ไม่จำเป็นต้องมีก็ได้ จะได้ไม่ต้องเกิดเป็น Windows 11 ใหม่ให้ยุ่งยาก แถมคนใช้ Windows 10 จะได้อุ่นใจได้ว่า จะได้อัปเดตไปเรื่อยๆ ตราบที่เราอัปเดต Windows 10 ไปเรื่อยๆ จะได้ไม่ต้องยุ่งกับการหาซื้อฮาร์ดแวร์ใหม่ด้วย ขยะอิเล็กทรอนิกส์จะได้ไม่เป็นกองใหญ่ด้วย ทั้งหมดนี้ผมว่า Microsoft ทำตัวเองให้ยุ่งยากมากกว่านะ

คงต้องดูกันว่า ถ้าการที่สถิติการติดตั้ง Windows 11 ไม่เป็นไปตามเป้า หรือมีน้อยมากๆ Microsoft จะปรับนโยบายหรือไม่นั่นล่ะ