Skip to main content

Microsoft avslører sin hittil sikreste laptop – basert på AMD Ryzen

Surface Laptop 4 med AMD Ryzen Mobile-prosessor
(Foto: Microsoft)

Microsoft har annonsert at en ny laptop ment for bedriftsmarkedet blir lagt til det såkalte Secured Core-sortimentet, og avslører at nykommeren er en helt fersk Surface Laptop 4, basert på AMD Ryzen Mobile-prosessorer.

Programvaregigantens Secured Core PC-initiativ ble først lansert i 2019, og så langt har Dell, Dynabook, Getac, HP, Lenovo, Fujitsu, Acer, Asus og Panasonic slengt seg på, og laget såkalt ultrasikre laptoper, som er laget spesifikt med tanke på å beskytte brukere mot trusler via å skreddersy maskinene på maskinvare-, firmware- og programvarenivå.

Basisen for sikkerheten i den nye Surface Laptop 4-maskinen er den såkalte Trusted Platform Module 2.0 (TPM) og AMD Ryzen Mobile-prosessorene, som kjører System Guard for å kunne gjøre en sikker oppstart og minimere sjansene for blant annet firmware-trusler. Enhetens TPM 2.0-brikke gjør dette ved å kjøre firmware i en såkalt sandbox (et slags virtuelt område der programvaren ikke kan gjøre ugagn), slik at kritiske subsystemer og sensitiv data er beskyttet.

På PC-er som er del av Secured Core-programmet er også såkalt Kernel Direct Memory Access Protection påslått ved kjøp, slik at systemet beskyttes mot ondsinnet og utilsiktet direktetilgang til minnet (DMA), som eksempelvis angrep som Thunderspy. Samtidig brukes TPM 2.0-brikken som maskinvare for sertifisering (root-of-trust) i Surface Laptop 4, og kan dermed beskytte sensitive digitale eiendeler som BitLocker-nøkler og gjør at enheten i fremtiden kan støtte såkalt Zero Trust-sikkerhet.

Firmware-angrep

Ifølge en Microsoft Security Signals-artikkel fra mars 2021 har størsteparten av bedriftskundene til selskapet opplevd minst ett firmware-angrep i løpet av de siste to årene. I et blogginnlegg la Microsoft Security Team frem videre informasjon om hvorfor det har vært en økning i firmware-angrep i det siste:

«Firmware, som eksisterer på et nivå under operativsystemet, begynner å tre frem som et hovedmål fordi det er der sensitiv informasjon som sertifikater og krypteringsnøkler lagres i minnet. Mange enheter på markedet i dag tilbyr ikke innsyn til det laget, slik at man kan forsikre seg om at angripere ikke har modifisert oppstartsprosessen eller kjøringen av programmer under kernel-nivå. Angripere har merket seg dette.»

For å få bukt med den økende mengden firmware-angrep har Microsoft introdusert sitt eget Unified Extensible Firmware Interface (UEFI), slik at man får et sikkert og holdbart grensesnitt man kan administrere firmware med. Microsoft UEFI tilbyr fullstendig innsyn for kundene, og ble bygget ved hjelp av åpen kildekode-prosjektet Project Mu.

Programvaregiganten bygger også sine egne verktøy for å administrere og oppdatere UEFI, inkludert noe som kalles Surface Enterprise Management Mode (SEMM). Dette kan brukes som et uavhengig verktøy, eller integreres i Microsoft Endpoint Manager, slik at man kan holde oppsyn over UEFI-innstillingene på brukerens Surface, uten at man trenger å holde inne av/på-knappen og volum ned for å komme seg rett inn i UEFI.

Det har ennå ikke blitt satt en lanseringsdato for nye Surface Laptop 4 (med AMD Ryzen Mobile-prosessorer), men den nye maskinen blir altså den andre PC-en i Secured Core-sortimentet som faller innunder Surface-paraplyen, der den første var Surface Pro X.