Windows 10-Sicherheitsfeatures und -anforderungen für OEMs
Windows 10 S ist eine spezielle Konfiguration von Windows 10 Pro, die ein vertrautes Windows-Erlebnis bietet, das im Hinblick auf Sicherheit und Leistung optimiert wurde. Windows 10 S bietet das Beste aus der Cloud und Apps mit vollem Funktionsumfang und wurde für moderne Geräte entwickelt. Microsoft Defender ist immer aktiv und immer auf dem neuesten Stand.
Windows 10 S führt nur verifizierte Apps aus dem Store und verifizierte Treiber von Windows Update aus. Windows 10 S unterstützt Azure Active Directory und wenn sie mit MSA oder Intune für Bildungseinrichtungen gekoppelt sind, Windows 10 S standardmäßig Dateien auf OneDrive speichern.
Features, die für Windows 10 S aktiviert sind
Windows 10 S Mode schützt Kunden mithilfe einer Kombination aus Codeintegritätsrichtlinien, Hardware und Zertifizierung für Apps. Windows 10 S führt nur ausführbaren Code aus, der mit einem Windows-, WHQL-, ELAM- oder Store-Zertifikat aus dem Windows Hardware Developer Center-Dashboard signiert ist. Dazu gehören Begleit-Apps für Treiber.
| Funktionen | Windows 10 S | Windows 10 Home | Windows 10 Pro |
|---|---|---|---|
| Nicht store-Apps | Ja | Ja | |
| Domänenbeitritt lokal | Yes | ||
| Azure AD-Domänenbeitritt | Ja | Ja | |
| Windows Store-Apps (einschließlich Win32 Centennial-Apps) | Ja | Ja | Ja |
| OneDrive automatische Einrichtung und Synchronisierung; Erfordert MSA | Ja | Konfigurierbar | Konfigurierbar |
| Microsoft-Standard-Apps-Satz | Ja | Konfigurierbar | Konfigurierbar |
| Windows Update For Business | Ja | Ja | |
| Windows Store For Business | Ja | Ja | |
| Mobile Geräteverwaltung (MDM) | Yes | Eingeschränkt | Ja |
| BitLocker | Ja | Ja | |
| Enterprise-Status-Roaming mit Azure AD | Ja | Ja | |
| Freigegebene PC-Konfiguration | Ja | Ja |
Windows 10 standardmäßige moderne App-Konfiguration von S
- E-Mail: Mail
- Karten: Karten
- Fotoanzeige: Fotos
- Suchen: Bing
- Videoplayer: Filme & TV
- Webbrowser: Edge
- OneDrive ist automatisch für MSA-Konten konfiguriert, sodass Dokumente, Fotos und Desktop automatisch synchronisiert werden und der Benutzer über 5 GB Standardspeicher verfügt.
Schutz der Speicherintegrität
Die Speicherintegrität ist ein virtualisierungsbasiertes Sicherheitsfeature (VBS), das in Windows 10, Windows 11 und Windows Server 2016 oder höher verfügbar ist. Speicherintegrität und VBS verbessern das Bedrohungsmodell von Windows und bieten einen besseren Schutz vor Schadsoftware, die versucht, den Windows-Kernel auszunutzen. VBS verwendet den Windows-Hypervisor, um eine isolierte virtuelle Umgebung zu erstellen, die zum Vertrauensstamm des Betriebssystems wird, das davon ausgeht, dass der Kernel kompromittiert werden kann. Die Speicherintegrität ist eine wichtige Komponente, die Windows schützt und härtet, indem die Codeintegrität im Kernelmodus in der isolierten virtuellen Umgebung von VBS ausgeführt wird. Die Speicherintegrität schränkt auch Kernelspeicherbelegungen ein, die verwendet werden könnten, um das System zu kompromittieren. So wird sichergestellt, dass Kernelspeicherseiten erst nach dem Bestehen von Codeintegritätsprüfungen innerhalb der sicheren Laufzeitumgebung ausführbare Dateien werden und ausführbare Seiten selbst nie beschreibbar sind.
Hinweis
Die Speicherintegrität wird manchmal auch als hypervisorgeschützte Codeintegrität (Hypervisor-Protected Code Integrity, HVCI) oder durch Hypervisor erzwungene Codeintegrität bezeichnet und wurde ursprünglich als Teil von Device Guard veröffentlicht. Device Guard wird nicht mehr verwendet, außer um die Speicherintegrität und VBS-Einstellungen in Gruppenrichtlinie oder der Windows-Registrierung zu ermitteln.
Die Speicherintegrität ist standardmäßig für sauber Installationen von Windows 10 im S-Modus und Windows 11 auf kompatibler Hardware aktiviert, wie unter Aktivieren der Speicherintegrität beschrieben. Auf anderen Systemen, die die Anforderungen für die automatische Aktivierung der Speicherintegrität nicht erfüllen, können Kunden eine der unter Aktivieren der Speicherintegrität beschriebenen Methoden verwenden.
Die Durch Speicherintegrität geschützte Codeintegrität im Kernelmodus verhindert die Ausführung von nicht signierten oder falsch signierten Binärdateien im Kernel. Die Verwendung nicht unterstützter Binärdateien sollte nur während der Anpassung von Lab- oder Factoryimages oder während der Bereitstellung erfolgen, bei der die Ausführungsumgebung entweder winPE oder der Überwachungsmodus ist.
Weitere Informationen finden Sie unter Speicherintegrität und virtualisierungsbasierte Sicherheit.
Codeintegritätsrichtlinie für den Benutzermodus
Windows 10 im S-Modus wird mithilfe einer Richtlinie implementiert, die die Codeintegrität (User Mode Code Integrity, CI) erzwingt. Nachdem die CI-Richtlinie auf einem System aktiviert ist, wird sie an zwei Stellen aktiviert:
- Windows 10 S, erzwungen am Start
- UEFI-Firmwarerichtlinie, erzwungen während des Firmwarelade- und Betriebssystemstarts
Signierte Treiber und Windows 10 S
Die Treibersignierung unterscheidet sich von Windows 10 S. Um Windows 10 S zu installieren, müssen Treiberpakete die folgenden Anforderungen erfüllen:
- Treiberpakete müssen digital mit einem Windows-, WHQL-, ELAM- oder Store-Zertifikat aus dem Windows Hardware Developer Center-Dashboard signiert werden.
- Begleitsoftware muss mit einem Microsoft Store-Zertifikat signiert werden.
- Enthält keine *.exe, *.zip, *.msi oder *.cab im Treiberpaket, das nicht signierte Binärdateien extrahiert.
- Treiberinstallationen mit nur INF-Richtlinien.
- Treiber ruft keine blockierten Posteingangskomponenten auf.
- Treiber enthalten keine Benutzeroberflächenkomponenten, Apps oder Einstellungen. Verwenden Sie stattdessen universelle Anwendungen aus dem Microsoft Store, z. B.:
- Hardwaresupport-Apps
- UWP-Geräte-Apps
- Centennial-Apps
- Die Treiber- und Firmwarewartung verwendet Windows Update und keine Updater-App.
Weitere Informationen finden Sie unter Windows 10 S-Treiberanforderungen und Veröffentlichen eines Treibers für Windows Update.
Nicht unterstützte Funktionen
Windows 10 S erlaubt keine Apps, die sich nicht im Store befinden. Eine zweite Einschränkung besteht darin, dass Windows 10 S keine lokalen Domänenbeitritte erlaubt. Darüber hinaus werden einige Windows-Anpassungen und einige Apps nicht unterstützt. Weitere Informationen finden Sie unter Planen einer Windows 10 S-Bereitstellung
Die folgenden Komponenten werden in Windows 10 S blockiert. Alle Skripts oder Anwendungen, die eine dieser blockierten Komponenten aufrufen, werden blockiert. Wenn Ihr Fertigungsprozess Skripts oder Anwendungen verwendet, die auf blockierten Komponenten basieren, können Sie vorübergehend den Fertigungsmodus zum Konfigurieren und Testen aktivieren, aber Sie können keinen PC mit aktiviertem Fertigungsmodus versenden.
- bash.exe
- cdb.exe
- cmd.exe
- cscript.exe
- csi.exe
- dnx.exe
- kd.exe
- lxsmanager.dll
- msbuild.exe
- ntsd.exe
- powershell.exe
- powershell_ise.exe
- rcsi.exe
- reg.exe
- regedt32.exe
- windgb.exe
- wmic.exe
- wscript.exe