Sicherheitsaspekte für Originalgerätehersteller

Als Originalgerätehersteller (OEM) haben Sie eine einzigartige Möglichkeit, die Wirksamkeit der für Ihre Kunden verfügbaren Sicherheitsmaßnahmen zu beeinflussen. Kunden möchten und benötigen die Möglichkeit, ihre Geräte zu sichern. Windows 10 Sicherheitsfeatures basieren auf sicherheitsfähigen Hardware und Firmware. Hier kommen Sie ein. Um einen Unterschiedlicher für Ihre Geräte bereitzustellen oder im Enterprise Raum zu verkaufen, möchten Sie die neuesten Hardwareverbesserungen bereitstellen, mit denen Windows 10 für Sicherheit konfiguriert werden können.

IT-Experten: Weitere Informationen zu diesen Features, einschließlich der Bereitstellung in Ihrem Unternehmen, finden Sie unter Gerätesicherheit und Steuern der Integrität von Windows 10 basierten Geräten.

Windows 10 S

Windows 10 S ist eine bestimmte Konfiguration von Windows 10 Pro, die eine vertraute Windows Erfahrung bietet, die für Sicherheit und Leistung optimiert ist. Windows 10 S bietet das Beste aus der Cloud und voll funktionsfähigen Apps und ist für moderne Geräte konzipiert. Microsoft Defender ist immer auf dem neuesten Stand.

Windows 10 S führt nur überprüfte Apps aus dem Store und überprüften Treibern aus Windows Update aus. Windows 10 S unterstützt Azure Active Directory, und wenn sie mit MSA oder Intune für Bildungseinrichtungen gekoppelt sind, werden Windows 10 S standardmäßig dateien in OneDrive gespeichert.

Oems: Weitere Informationen zu Windows 10 S finden Sie unter Windows 10 S-Sicherheitsfeatures und -Anforderungen für OEMs.

BitLocker-Geräteverschlüsselung

Die BitLocker-Geräteverschlüsselung ist eine Reihe von Features, die von einem OEM aktiviert werden, indem sie den richtigen Satz von Hardware in den geräten bereitstellen, die Sie verkaufen. Ohne die richtige Hardwarekonfiguration ist die Geräteverschlüsselung nicht aktiviert. Mit den richtigen Hardwarekonfigurationen verschlüsselt Windows 10 automatisch ein Gerät.

Oems: Weitere Informationen zu BitLocker finden Sie unter BitLocker-Laufwerkverschlüsselung in Windows 10 für OEMs.

Sicherer Start

Sicherer Start ist ein Sicherheitsstandard, der von Mitgliedern der PC-Branche entwickelt wird, um sicherzustellen, dass ein PC nur mit Software startet, die vom PC-Hersteller vertrauenswürdig ist. Wenn der PC gestartet wird, überprüft die Firmware die Signatur der einzelnen Startsoftware, einschließlich Firmwaretreiber (Option ROMs), EFI-Anwendungen und des Betriebssystems. Wenn die Signaturen gültig sind, wird der PC gestartet, und die Firmware übergibt die Kontrolle an das Betriebssystem.

Oems: Weitere Informationen zu den Anforderungen für den sicheren Start für OEMs finden Sie unter Secure Boot.

Trusted Platform Module (TPM) 2.0

Die TPM-Technologie stellt hardwarebasierte, sicherheitsbezogene Funktionen bereit. Ein TPM-Chip ist ein sicherer Krypto-Prozessor, der Sie u. a. beim Erstellen und Speichern kryptografischer Schlüssel sowie beim Beschränken der Nutzung kryptografischer Schlüssel unterstützt. Der Chip umfasst mehrere physische Sicherheitsmechanismen, die ihn manipulationssicher machen, und Schadsoftware ist nicht in der Lage, die TPM-Sicherheitsfunktionen zu manipulieren.

Hinweis

Seit dem 28. Juli 2016 müssen alle neuen Gerätemodelle, Linien oder Reihen (oder wenn Sie die Hardwarekonfiguration eines vorhandenen Modells, einer Linie oder Serie mit einem hauptupdate aktualisieren, z. B. CPU, Grafikkarten), standardmäßig TPM 2.0 implementieren und aktivieren (Details in Abschnitt 3.7 der Seite "Mindesthardwareanforderungen"). Die Anforderung, TPM 2.0 zu aktivieren, gilt nur für die Herstellung neuer Geräte.

Oems: Weitere Informationen finden Sie unter Trusted Platform Module (TPM) 2.0 Hardwareanforderungen.

IT-Experten: Informationen dazu, wie TPM in Ihrem Unternehmen funktioniert, finden Sie unter Trusted Platform Module

Anforderungen für unified Extensible Firmware Interface (UEFI)

UEFI ist ein Ersatz für die ältere BIOS-Firmwareschnittstelle. Wenn die Geräte gestartet werden, steuert die Firmwareschnittstelle den Startvorgang des PCs und übergibt dann die Steuerung an Windows oder ein anderes Betriebssystem. UEFI ermöglicht Sicherheitsfeatures wie sicheres Start- und Factory-verschlüsseltes Laufwerk, das verhindert, dass nicht vertrauenswürdiger Code ausgeführt wird, bevor das Betriebssystem geladen wird. Ab Windows 10, Version 1703, erfordert Microsoft UEFI-Spezifikation Version 2.3.1c. Weitere Informationen zu den OEM-Anforderungen für UEFI finden Sie unter UEFI-Firmwareanforderungen.

Oems: Weitere Informationen zur Unterstützung von UEFI-Treibern finden Sie unter UEFI in Windows.

Virtualisierungsbasierte Sicherheit (VBS)

Hardwarebasierte Sicherheitsfeatures, auch als virtualisierungsbasierte Sicherheit oder VBS bezeichnet, bieten eine Isolation des sicheren Kernels vom normalen Betriebssystem. Sicherheitsrisiken und Zero-Day Angriffe im Betriebssystem können aufgrund dieser Isolation nicht ausgenutzt werden.

Oems: Weitere Informationen zu VBS-Hardwareanforderungen finden Sie unter Hardwareanforderungen für virtualisierungsbasierte Sicherheit (VBS).

Microsoft Defender Application Guard

Application Guard hilft, unternehmensdefinierte nicht vertrauenswürdige Websites zu isolieren und ein Unternehmen zu schützen, während seine Mitarbeiter das Internet durchsuchen.

Wenn Sie Geräte an Unternehmenskunden verkaufen, möchten Sie Hardware bereitstellen, die die von Unternehmen benötigten Sicherheitsfeatures unterstützt.

Oems: Weitere Informationen zu Hardwareanforderungen für Microsoft Defender Application Guard finden Sie unter Microsoft Defender Application Guard Hardwareanforderungen.

Microsoft Defender Credential Guard

Credential Guard verwendet virtualisierungsbasierte Sicherheit zum Isolieren und Schützen von Geheimen (z. B. NTLM-Kennworthashes und Kerberos-Ticket-Bewilligungstickets), um Pass-the-Hash- oder Pass-the-Ticket-Angriffe zu blockieren.

Oems: Weitere Informationen zu hardwareanforderungen für Microsoft Defender Credential Guard finden Sie unter Microsoft Defender Credential Guard-Hardwareanforderungen.

IT-Experten: Informationen zum Konfigurieren und Bereitstellen von Microsoft Defender Credential Guard in Ihrem Unternehmen finden Sie unter Schützen abgeleiteter Domänenanmeldeinformationen mit Microsoft Defender Credential Guard.

Hypervisor-Protected Codeintegrität ist eine Kombination aus unternehmensbezogenen Hardware- und Softwaresicherheitsfeatures, die bei der Konfiguration ein Gerät heruntersperren, sodass nur vertrauenswürdige Anwendungen ausgeführt werden können, die in Codeintegritätsrichtlinien definiert sind.

Ab Windows 10 1703 wurden die Microsoft Defender Device Guard Features in zwei neue Features gruppiert: Microsoft Defender Exploit Guard und Microsoft Defender Application-Steuerelement. Wenn beide aktiviert sind, wird Hypervisor-Protected Codeintegrität aktiviert.

Oems: Weitere Informationen zu Hypervisor-Protected Hardwareanforderungen für Codeintegrität finden Sie unter Virtualisierungsbasierte Sicherheit (VBS).

IT-Experten: Informationen zum Bereitstellen Hypervisor-Protected Codeintegrität in Ihrem Unternehmen finden Sie unter Anforderungen und Bereitstellungsplanungsrichtlinien für Hypervisor-Protected Codeintegrität.

Kernel-DMA-Schutz

Hardwarebasierte Sicherheitsfeatures, auch als Speicherzugriffsschutz bezeichnet, bieten Isolation und Schutz vor böswilligen DMA-Angriffen während des Startvorgangs und während der Laufzeit des Betriebssystems.

Oems: Weitere Informationen zu Den Anforderungen der Kernel DMA Protection-Plattform finden Sie unter Kernel DMA Protection für OEMs.

Treiberentwickler: Weitere Informationen zu Kernel DMA Protection und DMA Remapping kompatiblen Treibern finden Sie unter Aktivieren der DMA-Neuinstallation für Gerätetreiber.

IT-Experten: Weitere Informationen zu Kernel-DMA-Schutzrichtlinien und -benutzererfahrung finden Sie unter Kernel DMA Protection.

Windows Hello

Microsoft Windows Hello bietet Benutzern eine persönliche, gesicherte Erfahrung, in der das Gerät basierend auf ihrer Anwesenheit authentifiziert wird. Benutzer können sich mit einem Aussehen oder einer Toucheingabe anmelden, ohne dass ein Kennwort erforderlich ist. In Verbindung mit Microsoft Passport verwendet die biometrische Authentifizierung Fingerabdruck oder Gesichtserkennung und ist sicherer, persönlicher und bequemer.

Informationen dazu, wie Windows Hello mit dem Begleitgeräteframework funktioniert, finden Sie unter Windows Hello und dem Begleitgeräteframework.

Informationen zu biometrischen Anforderungen zur Unterstützung Windows Hello finden Sie unter Windows Hello biometrischen Anforderungen.

Informationen zur Funktionsweise der Gesichtsauthentifizierung finden Sie unter Windows Hello Gesichtsauthentifizierung.