Windows 10 Secured-Core-PCsWindows 10 Secured-core PCs

Microsoft arbeitet eng mit OEM-Partnern zusammen, um sicherzustellen, dass alle zertifizierten Windows-Systeme eine sichere Betriebsumgebung bereitstellen.Microsoft works closely with OEM partners to help ensure that all certified Windows systems deliver a secure operating environment. Windows ist eng in die Hardware integriert, um Schutz zu bieten, die die verfügbaren Hardwarefunktionen nutzen:Windows integrates closely with the hardware to deliver protections that take advantage of available hardware capabilities:

  • Grundlegende Windows-Sicherheit – empfohlene Baseline für alle einzelnen Systeme, die den grundlegenden Schutz vor Systemintegrität bereitstellen.Baseline Windows security – recommended baseline for all individual systems that provides foundational system integrity protections. Nutzt TPM 2,0 für einen Hardware Stamm von Vertrauenswürdigkeit, sicherem Start und BitLocker-Laufwerk Verschlüsselung.Leverages TPM 2.0 for a hardware root of trust, secure boot and BitLocker drive encryption.
  • Virtualisierungsbasierte Sicherheit aktiviert – nutzt Virtualisierungsfunktionen von der Hardware und dem Hypervisor, um zusätzlichen Schutz für wichtige Subsysteme und Daten bereitzustellen.Virtualization-based security enabled – leverages virtualization capabilities from hardware and the hypervisor to provide additional protection for critical subsystems and data.
  • Gesicherte Kerne – empfohlen für die sensibelsten Systeme und Branchen wie Finanzwesen, Gesundheitswesen und Regierungsbehörden.Secured-core – recommended for the most sensitive systems and industries like financial, healthcare, and government agencies. Basiert auf den vorherigen Ebenen und nutzt erweiterte Prozessor Funktionen, um Schutz vor firmwareangriffen zu bieten.Builds on the previous layers and leverages advanced processor capabilities to provide protection from firmware attacks.

Gesicherte PCsSecured-core PCs

Microsoft arbeitet eng mit OEM-Partnern und Silizium Herstellern zusammen, um gesicherte PCs zu erstellen, die stark integrierte Hardware, Firmware und Software zur Gewährleistung der Sicherheit für Geräte, Identitäten und Daten enthalten.Microsoft is working closely with OEM partners and silicon vendors to build Secured-core PCs that features deeply integrated hardware, firmware and software to ensure enhanced security for devices, identities and data.

Gesicherte Kern-PCs bieten Schutzmaßnahmen, die für anspruchsvolle Angriffe nützlich sind und eine höhere Sicherheit bei der Verarbeitung Unternehmens kritischer Daten in den meisten Daten sensiblen Branchen bieten, wie z. b. Mitarbeiter des Gesundheitswesens, die medizinische Datensätze und andere personenbezogene Informationen (PII) verarbeiten, z. b. ein Finanz Controller mit Ergebnisdaten.Secured-core PCs provide protections that are useful against sophisticated attacks and can provide increased assurance when handling mission-critical data in some of the most data-sensitive industries, such as healthcare workers that handle medical records and other personally identifiable information (PII), commercial roles that handle high business impact and highly sensitive data, such as a financial controller with earnings data.

Für allgemeine Laptops, Tablets, 2-in-a-PCs, Mobile Arbeitsstationen und Desktops empfiehlt Microsoft die Verwendung von Sicherheitsbaselines für die optimale Konfiguration.For general purpose laptops, tablets, 2-in-1’s, mobile workstations, and desktops, Microsoft recommends using Security baselines for optimal configuration. Weitere Informationen finden Sie unter Windows-Sicherheitsbaselines.For more info, see Windows security baselines.

Grundlegende Windows-Sicherheit wird durch den sicheren Start, die BitLocker-Geräteverschlüsselung, Microsoft Defender, Windows Hello und einen TPM 2,0-Chip unterstützt, um einen Hardware Stamm der Vertrauensstellung für die Betriebssystem Plattform bereitzustellen.Baseline Windows security is supported by Secure Boot, Bitlocker device encryption, Microsoft Defender, Windows Hello and a TPM 2.0 chip to provide a hardware root of trust for the OS platform. Diese Features dienen zum Sichern von allgemeinen modernen Geräten.These features are designed to secure general purpose modern devices. Wenn Sie ein Entscheidungsträger sind, der neue Geräte kauft, sollten Ihre Geräte die grundlegenden Windows-Sicherheitsanforderungen erfüllen.If you are a decision maker purchasing new devices, your devices should meet the baseline Windows security requirements.

Außerdem bietet Windows 10 im S-Modus eine zusätzliche Sicherheitsebene mit flexibler Flexibilität.In addition, Windows 10 in S mode provides an additional layer of security with flexibility. Der S-Modus ist eine Konfiguration, die in allen Windows-Editionen verfügbar ist.S mode is a configuration that’s available on all Windows editions. Wenn Sie sicherstellen, dass nur vertrauenswürdige Anwendungen auf dem System ausgeführt werden, hält der S-Modus die Windows-Darstellung schnell und sicher.By ensuring only trusted applications are run on the system, S mode keeps the Windows experience fast and secured. Dies führt zu einem gewissen Preis in Bezug auf die Kompatibilität, aber InTune ermöglicht es Kunden, Anwendungen auf einem s-System System zu installieren, während der s-Modus Schutz vor der Ausführung nicht vertrauenswürdiger Anwendungen bleibt.This comes with some cost in terms of compatibility, but Intune also allows customers to install applications on an S mode system, while maintaining the S mode protections against running non-trusted applications.

Was macht einen gesicherten PCWhat makes a Secured-core PC

VorteilBenefit FunktionFeature Hardware-/firmwareanforderungHardware/Firmware requirement Grundlegende Windows-SicherheitBaseline Windows Security Gesicherte PCsSecured-core PCs
Erstellen eines Hardware gestützten Vertrauens StammsCreate a hardware backed root of trust Trusted Platform Module 2,0 (TPM)Trusted Platform Module 2.0 (TPM) Erfüllen der neuesten Microsoft-Anforderungen für die Trusted Computing Group (TCG)-SpezifikationMeet the latest Microsoft requirements for the Trusted Computing Group (TCG) specification VV VV
Dynamic Root of Trust for Measurement (drtm)Dynamic Root of Trust for Measurement (DRTM) Auf Gerät aktiviert (über sicheren Start)Enabled on device (via Secure Launch) VV
System Verwaltungsmodus (SMM)System Management Mode (SMM) Auf Gerät aktiviert (über System Guard)Enabled on device (via System Guard) VV
Sicherer StartSecure Boot Der sichere Start ist standardmäßig im BIOS aktiviert.Secure Boot is enabled in the BIOS by default. VV VV
Speicherzugriffs SchutzMemory Access Protection Das Gerät unterstützt den Speicherzugriffs Schutz (Kernel DMA-Schutz).The device supports Memory Access Protection (Kernel DMA Protection) VV
Sicherstellen der Integrität des starken CodesEnsure strong code integrity Hypervisor-Code Integrität (hvci)Hypervisor Code Integrity (HVCI) Auf Gerät aktiviertEnabled on device VV
Bereitstellen der erweiterten Identitätsüberprüfung und des SchutzesProvide advanced identity verification and protection Windows HelloWindows Hello Wenn das Gerät Windows Hello unterstützt, müssen diese Implementierungen in der Lage sein, die Anmeldung zu verbessern.If device supports Windows Hello, then those implementations must be capable of Enhanced sign-in. "Fähig" bedeutet Folgendes:“Capable” means:
  • Im Gerät entworfene securebio-fähige Komponenten für die Windows Hello-Modi werden auf dem Gerät unterstützt (Gesichts-und/oder Fingerabdruck).Designed-in SecureBIO capable components for the Windows Hello modes are supported on the device (Face and/or Fingerprint)
  • Das Gerät verfügt über die passenden securebio-Komponenten, um die securebio-Funktionalität in einem zukünftigen Betriebssystem Release zu aktivieren. Dies bedeutet, dass das BIOS des Geräts die erforderliche securebio sdev-Tabelle implementiert, aber standardmäßig deaktiviert ist, bis eine zukünftige Betriebssystemversion unterstützt wird.The device has the right SecureBIO components to enable SecureBIO functionality in a future OS release; meaning, the device BIOS implements the necessary SecureBIO SDEV table, but it is disabled by DEFAULT until supported by a future OS version.
RamelowV\* VV
Kritische Daten schützen, wenn ein Gerät verloren geht, gestohlen oder beschlagnahmt wirdProtect critical data if a device is lost, stolen or confiscated BitLocker-VerschlüsselungBitLocker encryption BitLocker kann TPM 2.0 zum Verschlüsseln und schützen von Daten nutzen "BitLocker can leverage the TPM2.0 to encrypt and protect data” VV VV

* Auf einigen Geräten möglich*Possible on some devices