／微软

上周在官方博客中，微软宣布Recall添加的安全功能，包括加密存储、集成生物验证功能Windows Hello，以及虚拟隔离区技术。首先，新版Recall中，快照（snapshot）和任何相关信息都会保持加密存储在矢量数据库中，加密密钥经由芯片的信赖平台模块（Trusted Platform Module，TPM）和用户的Windows Hello进阶签入安全身份绑在一起，只能在虚拟化安全隔离区（VBS Enclave）中使用。这表示其他人都无法存取这些密钥，因而无法解密信息。

此外，Recall的使用和Windows Hello 进阶签入安全身份验证功能绑定，Recall的操作，像是搜索Recall内容、变更设置或存取Recall UI都需Windows Hello验证。但经过验证只能短暂解密Recall内容供用户查找，未来搜索还是必须再次验证，以免被恶意程序「搭便车」。Recall也通过限流（rate-limiting）及防范密码猜测（anti-hammering）措施防范恶意程序。Recall配置过后，目前支持使用PIN作辅助验证，以防生物验证传感器毁损。

其次，运行快照和相关数据的Recall服务只存在VBS（Virtualization Based Security）隔离区（enclave）中，和外部隔离。唯一能离开VBS隔离区的信息，是用户主动以Recall调用的信息。VBS隔离区用的是和Azure相同的Hypervisor技术把应用内存隔离在受保护区域，可免于Windows内核和管理员的存取。只有用户以Windows Hello凭证验证后，用户才能调用出Recall快照。

Recall预定随同Windows 11 24H2发布。至于24H2何时发布，日前也有人误以为是2024年10月8日。微软随后澄清，10月8日微软会发布软件功能及安全更新，但并非主要升级版的24H2。也就是Recall应该不会在10月初问世。

微软再次强调Recall是选择加入（opt-in）功能，用户信息都是存储于本机，Windows存储快照前会寻求用户许可，且不会分享给微软和第三方厂商。用户也可以随时删除快照，或关闭Recall。未来如果加入分享数据的功能，也都会寻求用户明显同意。