Microsoft Pluton: il guardiano silenzioso dell’hardware moderno
Introduzione a Pluton
Nel mondo della sicurezza IT, ogni anello debole è una porta d’ingresso. Negli ultimi anni, gli attacchi più sofisticati non si sono limitati al software, ma hanno preso di mira il livello più profondo: l’hardware. In questo scenario entra in gioco Microsoft Pluton, un processore di sicurezza progettato per difendere il cuore stesso del sistema: la CPU. E no, non è l’ennesimo TPM con una nuova etichetta.
TPM? Sì, ma non come lo conosci
Per anni, il Trusted Platform Module (TPM) è stato il punto di riferimento per l’identità e la sicurezza hardware. Ma i TPM tradizionali sono chip separati dalla CPU. E, proprio in quel piccolo spazio fisico tra i due, si annida il pericolo: attacchi bus sniffing, relay attack e altri exploit capaci di intercettare dati mentre viaggiano su quel tragitto.
Pluton elimina completamente questo rischio.
Non esterno, ma integrato direttamente nella CPU. Pluton nasce da un’alleanza tra Microsoft, AMD, Intel e Qualcomm, e porta con sé la lezione imparata con Xbox e Azure Sphere: sicurezza fisica e logica devono andare a braccetto, senza scappatoie.
Cosa fa davvero Pluton?
- Isola le chiavi crittografiche, rendendole inaccessibili anche a chi ha il pieno controllo del sistema operativo.
- Sostituisce progressivamente il TPM discreto con una versione fusa nel silicio.
- Supporta funzionalità fondamentali come BitLocker, Windows Hello, System Guard e la protezione del firmware UEFI.
Ed è aggiornabile tramite Windows Update, proprio come il sistema operativo.
Architettura: dentro Pluton
Pluton è costruito su una root of trust hardware-based. Le chiavi generate non lasciano mai il processore. Non vengono mai esportate. Nemmeno in forma cifrata. Non esistono per il sistema operativo, né per i driver di basso livello.
Pluton è già tra noi?
Microsoft Pluton è attualmente disponibile nei dispositivi con processori AMD Ryzen 6000, 7000, 8000, Ryzen AI e Qualcomm Snapdragon 8cx Gen 3 e Snapdragon X. Microsoft Pluton può essere abilitato nei dispositivi con processori con funzionalità Pluton che eseguono Windows 11 versione 22H2 e successive.
Non solo sicurezza: anche gestione
Pluton consente una gestione più omogenea della sicurezza hardware con strumenti come Intune e Defender for Endpoint. Una root of trust hardware è essenziale per strategie Zero Trust.
Sezione dedicata agli operatori del settore
Come verificare la presenza (e l’attivazione) di Microsoft Pluton
Dal BIOS/UEFI
- Accedere al firmware UEFI (
F2,DELoESC). - Cercare “Microsoft Pluton Security Processor” e assicurarsi che sia abilitato.
Da Windows
- Aprire
devmgmt.msce controllare sotto “Dispositivi di sicurezza”. - Usare
tpm.mscper verificare che il produttore sia “Microsoft”.
Script PowerShell
Esegui il seguente comando:
Get-WmiObject -Namespace "Root\CIMv2\Security\MicrosoftTpm" -Class Win32_TpmSe ManufacturerID è MSFT, Microsoft Pluton è presente.
Integrazione in ambienti aziendali: cosa fare
- Aggiornare BIOS/firmware all’ultima versione disponibile.
- Configurare policy con Intune o criteri di gruppo.
- Pianificare la migrazione dei dispositivi critici.
- Valutare l’integrazione con BitLocker e Hello for Business.
- Monitorare gli aggiornamenti firmware da Windows Update.
Informazioni estratte da: https://learn.microsoft.com/it-it/windows/security/hardware-security/pluton/microsoft-pluton-security-processor
