使用者也可以解除安裝微軟改良後的Windows Recall 功能
作為對安全問題的回應,微軟正在詳細介紹它是如何全面修改其備受爭議的由人工智慧驅動的Recall 功能的。 Recall 原本應該在6 月與Copilot Plus PC 一起亮相,但微軟在過去的幾個月中對其背後的安全性進行了重新設計,使其成為一種選擇性體驗,如果您願意,現在可以將其從Windows 中完全刪除。
微軟企業和作業系統安全副總裁David Weston 表示:”實際上,我對我們在安全架構上的努力感到非常興奮,因為我認為安全社區將會了解我們在[Recall] 中推進了多少工作。”
微軟的第一個重大變化是,如果用戶不願意,公司不會強迫他們使用Recall。威斯頓說:”默認情況下根本不會再有開啟體驗–你必須選擇加入。這對於那些不想這樣做的人來說顯然是超級重要的,我們完全理解這一點。”
全新的Recall 可選體驗
本月早些時候,Copilot Plus PC 上首次出現了Recall 卸載選項,微軟當時表示這是一個錯誤。 事實證明,您確實可以完全卸載Recall。威斯頓說:”如果你選擇卸載,我們會從你的機器中移除相關內容。這包括微軟用來支援Recall 的人工智慧模型。”
安全研究人員最初發現,Recall 資料庫(儲存每隔幾秒鐘拍攝的電腦快照)沒有加密,惡意軟體有可能存取Recall 功能。 現在,包括螢幕截圖資料庫在內的所有對Recall 敏感的內容都已完全加密。 微軟也依賴Windows Hello 來防止惡意軟體的竄改。
Recall 中的加密現在與微軟Windows 11 要求的可信任平台模組(TPM)綁定,因此金鑰儲存在TPM 中,唯一的存取方式是透過Windows Hello 進行驗證。 只有當使用者想要使用該功能並透過臉部、指紋或PIN 進行身份驗證時,Recall 資料才會傳遞到使用者介面。
威斯頓說:”要開啟這項功能,用戶實際上必須在場。這意味著在使用PIN 支援之前,你必須使用指紋或臉部來設定Recall。這一切都是為了防止惡意軟體在後台存取Recall 數據,因為微軟要求透過Windows Hello 證明使用者的存在。
新的Recall 安全架構。
“我們將所有螢幕截圖處理、所有敏感進程都轉移到了基於虛擬化的安全飛地中,因此我們實際上將其全部放在了虛擬機中。 這意味著使用者介面應用層無法存取原始螢幕截圖或Recall 資料庫,但當Windows 使用者希望與Recall 互動並進行搜尋時,它會產生Windows Hello 提示,查詢虛擬機,並將資料傳回應用記憶體。 。 “威斯頓說:”基於虛擬化的飛地之外的應用程式運行在受反惡意軟體保護的進程中,基本上需要惡意核心驅動程式才能存取。
微軟在今天的部落格文章中詳細介紹了其Recall 安全模型以及VBS enclave 的具體工作方式。 這一切看起來都比微軟計畫推出的產品要安全得多,甚至暗示了該公司未來可能如何確保Windows 應用程式的安全。
那麼,微軟是如何在安全性不高的情況下,差點在6 月發布Recall 的呢? 韋斯頓證實,Recall 作為公司去年推出的”安全未來計劃”的一部分接受了審查,但作為預覽版產品,它顯然受到了一些不同的限制。 「我們的計畫一直是遵循微軟的基本原則,例如加密。但我們也聽到有人說『我們真的很擔心這個問題』。因此,公司決定快速追蹤一些為Recall 規劃的額外安全工作,這樣安全問題就不會成為影響人們是否願意使用該功能的因素。
威斯頓暗示說:『這不僅僅是關於Recall,在我看來,我們現在擁有了在邊緣進行敏感資料處理的最強大平台之一,你可以想像,我們還可以利用它做很多其他事情。我認為,推進我們將要進行的一些投資,然後使Recall 成為這方面的首要平台,是非常有意義的。
呼叫設定的一些變更包括從快照中阻止應用程式的功能。
Recall 現在也將僅在Copilot Plus PC 上運行,阻止人們將其側載到Windows 機器上,就像我們在其計劃於6 月上市之前看到的那樣。 Recall 將驗證Copilot Plus PC 是否已啟用BitLocker、基於虛擬化的安全性、措施啟動和系統防護安全啟動保護以及核心DMA 保護。
微軟也對升級後的Recall 安全性進行了多次審查。 微軟進攻研究安全工程(MORSE)團隊”對Recall進行了數月的設計審查和滲透測試”,一家第三方安全供應商也”參與了獨立的安全設計審查”和測試。
現在,微軟有更多的時間來開發Recall,對設定進行了一些額外的更改,以便對人工智慧工具的工作方式提供更多的控制。 現在,你可以從Recall 中過濾掉特定的應用程序,也可以阻止自訂清單中的網站出現在資料庫中。 敏感內容過濾功能可讓Recall 過濾掉密碼和信用卡等內容,還可以阻止健康和金融網站的儲存。 微軟還增加了刪除時間範圍、應用程式或網站的所有內容或儲存在Recall 資料庫中的所有內容的功能。
微軟表示,它仍將按計劃於10 月在Windows Insiders Copilot Plus PC 上預覽Recall,這意味著在Windows 社群對其進行進一步測試之前,Recall 不會在這些新筆記型電腦和PC 上出現。