微软宣布将在其安全核心PC产品系列中增加另一台商务笔记本电脑，其中包括由AMD锐龙移动处理器提供支持的全新Surface Laptop 4。这家软件巨头的``安全核心PC''计划于2019年首次启动，到目前为止，戴尔，Dynabook，Getac，惠普，联想，富士通，宏cer，华硕，松下和微软已经制造出旨在保护用户免受固件级威胁的超安全笔记本电脑。

新型Surface Laptop 4的核心是Trusted Platform Module 2.0(TPM)和带有System Guard的AMD Ryzen移动处理器，可安全启动，同时最大程度地减少固件漏洞的影响。该设备的TPM 2.0芯片通过对固件进行沙箱保护来保护关键子系统和敏感数据。

在安全核心PC上，还预先启用了内核直接内存访问保护，以帮助确保系统免受恶意和意外的直接内存访问(DMA)攻击，例如Thunderspy。同时，TPM 2.0芯片是Surface Laptop 4的硬件信任根，可以保护敏感资产(例如BitLocker密钥)，同时也使设备为零信任安全做好了准备。

固件攻击

根据Microsoft从今年3月发布的安全信号报告，过去两年中，绝大多数企业客户都经历了至少一次固件攻击。在一篇博客文章中，Microsoft安全团队提供了关于最近为什么固件攻击有所增加的进一步见解，他说：

“位于操作系统之下的固件正在成为主要目标，因为它是诸如凭据和加密密钥之类的敏感信息存储在内存中的地方。当今市场上的许多设备都无法提供对该层的可见性，以确保攻击者在启动过程之前或在内核以下运行时不会破坏设备。攻击者已经注意到了。”

为了应对越来越多的固件攻击，Microsoft引入了自己的统一可扩展固件接口(UEFI)，以启用安全且可维护的界面来管理固件。Microsoft UEFI是使用名为Project Mu的开源项目构建的，可为客户提供完全透明的信息。

微软还建立了自己的工具来管理和更新UEFI，包括Surface Enterprise Management Mode(SEMM)。它既可以用作独立工具，也可以与Microsoft Endpoint Configuration Manager集成在一起，以管理用户界面上的UEFI设置，而无需按住电源按钮+增大音量即可直接启动到UEFI中。

尽管尚未确定由AMD Ryzen移动处理器提供支持的新Surface Laptop 4的发布日期，但该设备已加入Surface Pro X，成为Surface产品组合中的第二个安全核心PC产品。