Windows Recall 的安全和隐私担忧问题使得微软多次延后了 Windows Recall 功能的上线时间,微软此前已经为 Windows Recall 做了一些安全和隐私提升。但微软并没有停止继续提升 Windows Recall 的隐私安全。
微软近期再次宣布提升 Windows Recall 的隐私安全。具体如下:
安全和隐私架构
- Windows Recall 是一项“选择性”功能,用户可以在初次设置电脑时选择是否打开。当用户弃用 Windows Recall 功能后,可以在 Windows 设置里的可选功能中将 Windows Recall 关闭。
- Windows Recall 的快照和数据始终被加密(通过 TPM 及 Windows Hello),这些数据只会在处于“安全”的环境(官方称之为虚拟安全飞地)中被处理,其他人无法访问被加密的数据和内容。
- Windows Recall 只会在虚拟安全高地中进行快照和相关数据处理。
- Windows Recall 的相关设置和操作更改会要求使用 Windows Hello 来进行身份认证,并且还能 Recall 还通过速率限制和反骚扰措施防止恶意软件。Recall 在初次配置后才支持 PIN 的方式来验证身份,这是为了避免在安全传感器损坏时丢失数据。
Windows Recall 安全模型
Windows Recall 的快照和相关数据由虚拟安全飞地保护,虚拟安全飞地使用与 Azure 相同的管理程序,将计算机内存分割成一个特殊的受保护区域,以便处理信息。利用零信任原则,这些虚拟安全飞地中的代码在执行快照处理等敏感操作前,可以使用加密证明协议来确保环境安全。
Windows Recall 隐私控制
Windows Recall 开启时,快照和数据不会被提取和保存,并且只存储在本地。Windows Recall 不会分享给微软或任何第三方,也不会在相同设备上的不同微软账号之间进行分享。Windows 会始终询问“是否保存快照”。并且,Windows 还提供了一系列隐私和定制化设置:
- 浏览器的隐私模式下的数据永远不会被保存。
- 用户可以自行决定哪些应用或者网页支持 Windows Recall。
- 用户可以自行决定 Windows Recall 内容的留存时间以及磁盘空间。
- 敏感内容过滤默认开启(用于减少密码、身份、信用卡等隐私数据被 Windows Recall 存储)
- 用户也可以自行根据时间跨度来删除 Recall 的内容。
- 托盘会有图标提醒用户有快照被存储了。
Windows Recall 架构
安全设置:被保护的数据会被存储在虚拟安全飞地中,任何安全相关的设置都需要用户授权。该设置是默认设置为“安全”,当检测到篡改时,安全设置会被重新设置为“安全”。
语义索引:语义索引将图像和文本转换成矢量,这些矢量可能会引用从快照中提取的私人信息,因此这些矢量由虚拟安全飞地保护。所有查询操作都在虚拟安全飞地内执行。
快照存储:包含保存的快照和相关元数据,包括与 Recall User Activity API 集成的应用程序提供的任何启动 URI,以及快照时间、标题栏字符串、应用程序停留时间等数据。每个快照都由单独的密钥加密,这些密钥在虚拟安全飞地中受到保护。
Recall 用户体验:用户利用 UI 体验查找他们在 PC 上完成的操作,包括时间轴、搜索和查看特定快照。
快照服务:快照服务后台进程,为保存新快照以及查询和处理虚拟安全飞地返回的数据提供运行时间。
绑定和验证虚拟安全飞地
- Windows Recall 使用的加密密钥与最终用户的身份进行加密绑定,由硬件平台的 TPM 导出的密钥密封,并且完全在虚拟信任级别 1 (VTL1) 的可信边界内执行。
- 基于虚拟化的安全 (VBS) – 虚拟机管理程序提供安全飞地环境,将经过完整性验证的代码加载到保密和隔离的 TEE 中。
完整的相关内容可以查看这篇官方文章:Update on Recall security and privacy architecture
