Sicherheitsfeatures und-Anforderungen für OEMs in Windows 10Windows 10 S security features and requirements for OEMs

Windows 10 S ist eine spezifische Konfiguration von Windows 10 pro, die eine vertraute Windows-Darstellung bietet, die für Sicherheit und Leistung optimiert ist.Windows 10 S is a specific configuration of Windows 10 Pro that offers a familiar Windows experience that’s streamlined for security and performance. Windows 10 S bietet das Beste aus den Cloud-und voll funktionsfähigen apps und ist für moderne Geräte konzipiert.Windows 10 S provides the best of the cloud and full featured apps, and is designed for modern devices. Microsoft Defender ist immer auf dem neuesten Stand und immer auf dem neuesten Stand.Microsoft Defender is always on and always up-to-date.

Windows 10 S führt nur überprüfte Apps aus dem Store und überprüfte Treiber aus Windows Update aus.Windows 10 S will only run verified apps from the Store and verified drivers from Windows Update. Windows 10 s bietet Unterstützung für Azure Active Directory. bei Kombination mit MSA oder InTune for Education verwendet Windows 10 s standardmäßig die Speicherung von Dateien auf onedrive.Windows 10 S provides supports Azure Active Directory, and when paired with MSA or Intune for Education, Windows 10 S defaults to storing files to OneDrive.

Aktivierte Funktionen für Windows 10 SFeatures enabled for Windows 10 S

Der Windows 10 S-Modus schützt Kunden mithilfe einer Kombination aus Code Integritäts Richtlinien, Hardware und Zertifizierung für-apps.Windows 10 S Mode protects customers by using a combination of code integrity policies, hardware, and certification for apps. Windows 10 S führt nur ausführbaren Code aus, der mit einem Windows-, WHQL-, Elam-oder Store-Zertifikat aus dem Dashboard des Windows Hardware Developer Centerssigniert ist.Windows 10 S will only run executable code that is signed with a Windows, WHQL, ELAM, or Store certificate from the Windows Hardware Developer Center Dashboard. Dies schließt begleitende Apps für Treiber ein.This includes companion apps for drivers.

FeaturesFeatures Windows 10 SWindows 10 S Windows 10 HomeWindows 10 Home Windows 10 ProWindows 10 Pro
Nicht-Store-AppsNon-store apps JaYes JaYes
Domänen Beitritt vor OrtDomain join on premise JaYes
Azure AD Domänen BeitrittAzure AD domain join JaYes JaYes
Windows Store-Apps (einschließlich Win32-Centennial-Apps)Windows Store apps (including Win32 centennial apps) JaYes JaYes JaYes
Automatisches Einrichten und Synchronisieren von onedrive Erfordert MSAOneDrive automatic setup and sync; Requires MSA JaYes KonfigurierbarConfigurable KonfigurierbarConfigurable
Standard-Apps für Microsoft festgelegtMicrosoft default apps set JaYes KonfigurierbarConfigurable KonfigurierbarConfigurable
Windows Update für UnternehmenWindows update for business JaYes JaYes
Windows Store für UnternehmenWindows Store for business JaYes JaYes
Mobile Geräteverwaltung (MDM)Mobile Device Management (MDM) JaYes Eingeschränktlimited JaYes
BitLockerBitLocker JaYes JaYes
Enterprise State Roaming mit Azure ADEnterprise state roaming with Azure AD JaYes JaYes
Konfiguration des freigegebenen PCsShared PC configuration JaYes JaYes

Windows 10 S standardmäßige moderne App-KonfigurationWindows 10 S default modern app configuration

  • E-Mail: e-MailEmail: Mail
  • Karten: ZuordnungenMaps : Maps
  • Foto-Viewer: FotosPhoto viewer : Photos
  • Suchen nach:Search : Bing
  • Video Player: Filme & TVVideo player: Movies & TV
  • Webbrowser: EdgeWeb browser: Edge
  • Onedrive wird automatisch für MSA-Konten konfiguriert, damit Dokumente, Fotos und Desktops automatisch synchronisiert werden und der Benutzer über 5 GB Standard Speicher verfügt.OneDrive automatically configured for MSA accounts so that documents, Photos, and Desktop are automatically synced and the user has 5GB of standard storage.

Integritätsrichtlinie für den Hypervisor-CodeHypervisor Code integrity policy

Die Hypervisor-Code Integritätsrichtlinie (hvci) blockiert die Ausführung nicht signierter oder nicht ordnungsgemäß signierter Binärdateien.Hypervisor code integrity policy (HVCI) blocks the execution of unsigned or improperly signed binaries. Die Verwendung nicht unterstützter Binärdateien wird nur empfohlen, wenn Sie die Anpassung des Lab-oder Factory-Images durchführen oder während der Bereitstellung, bei der es sich um eine WinPE-oder einenUsing unsupported binaries is only recommended when performing lab or factory image customization, or during deployment where the execution environment is either WinPE or Audit Mode. Hvci ist standardmäßig nicht aktiviert, daher müssen Sie es aktivieren.HVCI is not turned on by default, so you will need to turn it on. Anweisungen hierzu finden Sie unter Aktivieren von hvci .For instructions on how to do that, see Enable HVCI

Nachdem die CI-Richtlinie auf einem System aktiviert wurde, wird Sie an zwei Stellen aktiviert:Once the CI policy is enabled on a system, it is enabled in two places:

  • Windows 10 S, erzwungen beim StartWindows 10 S, enforced at boot
  • UEFI-firmwarerichtlinie, erzwungen während der firmwarelast und BetriebssystemUEFI firmware policy, enforced during firmware load and OS boot

Weitere Informationen finden Sie unter Integrität von Hypervisor-geschütztem Code (hvci) .For more information, see Hypervisor-Protected Code Integrity (HVCI)

Signierte Treiber und Windows 10 SSigned drivers and Windows 10 S

Das Signieren von Treibern unterscheidet sich für Windows 10 S. Treiber Pakete müssen die folgenden Anforderungen erfüllen, um unter Windows 10 S installieren zu können:Driver signing is different for Windows 10 S. To install on Windows 10 S, driver packages must meet the following requirements:

  • Treiber Pakete müssen über das Dashboard des Windows Hardware Developer Centers Digital mit einem Windows-, WHQL-, Elam-oder Store-Zertifikat signiert werden.Driver packages must be digitally signed with a Windows, WHQL, ELAM, or Store certificate from the Windows Hardware Developer Center Dashboard.
  • Begleit Software muss mit einem Microsoft Store Zertifikat signiert werden.Companion software must be signed with a Microsoft Store Certificate.
  • Enthält keine ". exe", ". zip", ". msi" oder ". cab" im Treiber Paket, das unsignierte Binärdateien extrahiert.Does not include an *.exe, *.zip, *.msi or *.cab in the driver package that extracts unsigned binaries.
  • Treiber wird nur mithilfe von INF-Direktiven installiert.Driver installs using only INF directives.
  • Der Treiber ruft keine blockierten Posteingangs Komponenten auf.Driver does not call blocked inbox components.
  • Treiber enthalten keine Benutzeroberflächen Komponenten, Apps oder Einstellungen.Drivers does not include any user interface components, apps, or settings. Verwenden Sie stattdessen universelle Anwendungen aus der Microsoft Store, z. b.:Instead, use Universal applications from the Microsoft Store, for example:
    • Hardware Support-appsHardware Support Apps
    • UWP-Geräte-appsUWP device apps
    • Centennial-appsCentennial Apps
    • Die Treiber-und firmwareverwartung verwendet Windows Update und keine Updater-app.Driver and firmware servicing uses Windows Update and not an updater app.

Weitere Informationen finden Sie unter Treiber Anforderungen für Windows 10 S und Veröffentlichen eines Treibers in Windows Update.For more information, see Windows 10 S Driver Requirements and Publish a driver to Windows Update.

Nicht unterstützte FunktionenWhat's not supported

Windows 10 S lässt keine apps zu, die sich nicht im Store befinden.Windows 10 S does not allow any apps that aren't in the Store. Eine zweite Einschränkung ist, dass Windows 10 S keine lokalen Domänen Joins zulässt.A second limitation is that Windows 10 S does not allow on-premise domain joins. Darüber hinaus werden einige Windows-Anpassungen und einige apps nicht unterstützt.Additionally, some Windows customizations and some apps are not supported. Weitere Informationen finden Sie unter Planning a Windows 10 S Deployment .For more information, see Planning a Windows 10 S deployment

Die Ausführung der folgenden Komponenten in Windows 10 S ist blockiert. Alle Skripts oder Anwendungen, die eine dieser blockierten Komponenten aufrufen, werden blockiert.The following components are blocked from running in Windows 10 S. Any script or application that calls one of these blocked components will be blocked. Wenn in Ihrem Fertigungsprozess Skripts oder Anwendungen verwendet werden, die auf blockierten Komponenten basieren, können Sie den Produktionsmodus für die Konfiguration und das Testen temporär aktivieren, aber Sie können keinen PC mit aktiviertem Fertigungs Modus versenden.If your manufacturing process uses scripts or applications that rely on blocked components, you can temporarily enable manufacturing mode for configuring and testing, but you can't ship a PC with manufacturing mode enabled.

  • bash.exebash.exe
  • cdb.execdb.exe
  • cmd.execmd.exe
  • cscript.execscript.exe
  • csi.execsi.exe
  • dnx.exednx.exe
  • kd.exekd.exe
  • lxsmanager.dlllxsmanager.dll
  • msbuild.exemsbuild.exe
  • ntsd.exentsd.exe
  • powershell.exepowershell.exe
  • powershell_ise.exepowershell_ise.exe
  • rcsi.exercsi.exe
  • reg.exereg.exe
  • regedt32.exeregedt32.exe
  • windgb.exewindgb.exe
  • wmic.exewmic.exe
  • wscript.exewscript.exe