PCs de núcleo seguro do Windows 10
A Microsoft trabalha em estreita colaboração com parceiros OEM para ajudar a garantir que todos os sistemas Windows certificados forneçam um ambiente operacional seguro. O Windows se integra estreitamente ao hardware para fornecer proteções que aproveitam os recursos de hardware disponíveis:
- Segurança de linha de base do Windows – linha de base recomendada para todos os sistemas individuais que fornecem proteções fundamentais de integridade do sistema. Aproveita o TPM 2.0 para uma raiz de hardware de confiança, inicialização segura e criptografia de unidade do BitLocker.
- Segurança baseada em virtualização habilitada – aproveita os recursos de virtualização do hardware e do hipervisor para fornecer proteção adicional para subsistemas e dados críticos.
- Núcleo seguro – recomendado para os sistemas e setores mais sensíveis, como agências financeiras, de saúde e governamentais. Baseia-se nas camadas anteriores e aproveita as funcionalidades avançadas do processador para fornecer proteção contra ataques de firmware.
PCs de núcleo seguro
A Microsoft está trabalhando em estreita colaboração com parceiros OEM e fornecedores de silício para criar computadores de núcleo seguro que apresentam hardware, firmware e software profundamente integrados para garantir uma segurança aprimorada para dispositivos, identidades e dados.
PCs de núcleo seguro fornecem proteções úteis contra ataques sofisticados e podem fornecer maior garantia ao lidar com dados críticos em alguns dos setores mais sensíveis aos dados, como profissionais de saúde que lidam com registros médicos e outras PII (informações de identificação pessoal), funções comerciais que lidam com alto impacto nos negócios e dados altamente confidenciais, como um controlador financeiro com dados de ganhos.
Para laptops, tablets, 2 em 1, estações de trabalho móveis e desktops de uso geral, a Microsoft recomenda o uso de linhas de base de segurança para a configuração ideal. Para obter mais informações, consulte Linhas de base de segurança do Windows.
A segurança da linha de base do Windows é compatível com Inicialização Segura, criptografia de dispositivo Bitlocker, Microsoft Defender, Windows Hello e um chip TPM 2.0 para fornecer uma raiz de hardware de confiança para a plataforma do sistema operacional. Esses recursos foram projetados para proteger dispositivos modernos de uso geral. Se você for um tomador de decisão que compra novos dispositivos, seus dispositivos deverão atender aos requisitos de segurança de linha de base do Windows.
Além disso, Windows 10 no modo S fornece uma camada adicional de segurança com flexibilidade. O modo S é uma configuração que está disponível em todas as edições do Windows. Ao garantir que apenas aplicativos confiáveis sejam executados no sistema, o modo S mantém a experiência do Windows rápida e protegida. Isso vem com algum custo em termos de compatibilidade, mas Intune também permite que os clientes instalem aplicativos em um sistema de modo S, mantendo as proteções do modo S contra aplicativos não confiáveis em execução.
O que torna um computador de núcleo seguro
| Benefício | Recurso | Requisito de hardware/firmware | Segurança do Windows de linha de base | PCs de núcleo seguro |
|---|---|---|---|---|
| Criar uma raiz de confiança com suporte de hardware | Trusted Platform Module 2.0 (TPM) | Atender aos requisitos mais recentes da Microsoft para a especificação de TCG (Grupo de Computação Confiável) | V | V |
| Raiz dinâmica de confiança para medição (DRTM) | Habilitado no dispositivo (via Inicialização Segura) | V | ||
| Modo de Gerenciamento do Sistema (SMM) | Habilitado no dispositivo (via System Guard) | V | ||
| Inicialização Segura | A Inicialização Segura está habilitada no BIOS por padrão. | V | V | |
| Proteção de Acesso à Memória | O dispositivo dá suporte à Proteção de Acesso à Memória (Proteção contra DMA do Kernel) | V | ||
| Garantir a integridade forte do código | Integridade do código do hipervisor (HVCI) | Habilitado no dispositivo | V | |
| Fornecer verificação e proteção avançadas de identidade | Windows Hello | Se o dispositivo der suporte a Windows Hello, essas implementações deverão ser capazes de entrada aprimorada. "Compatível" significa:
|
V* | V |
| Proteger dados críticos se um dispositivo for perdido, roubado ou confiscado | Criptografia de BitLocker | O BitLocker pode aproveitar o TPM2.0 para criptografar e proteger dados" | V | V |
*Possível em alguns dispositivos