Windows 10 компьютеры с защищенными ядрами

Корпорация Майкрософт тесно сотрудничает с партнерами oem, чтобы гарантировать, что все сертифицированные Windows системы обеспечивают безопасную операционную среду. Windows тесно интегрируется с оборудованием для обеспечения защиты, которая использует преимущества доступных аппаратных возможностей:

  • Базовые Windows безопасности — рекомендуемые базовые показатели для всех отдельных систем, которые обеспечивают защиту целостности системы. Использует TPM 2.0 для аппаратного корня доверия, безопасной загрузки и шифрования диска BitLocker.
  • Включенная безопасность на основе виртуализации — использует возможности виртуализации с оборудования и гипервизора, чтобы обеспечить дополнительную защиту критически важных подсистем и данных.
  • Secured-core — рекомендуется для наиболее чувствительных систем и отраслей, таких как финансовые, медицинские и государственные учреждения. Строится на предыдущих уровнях и использует расширенные возможности процессора для защиты от атак встроенного ПО.

Компьютеры с защищенными ядрами

Корпорация Майкрософт тесно сотрудничает с партнерами oem и поставщиками силиконов для создания защищенных компьютеров, которые поддерживают глубоко интегрированное оборудование, встроенное ПО и программное обеспечение, чтобы обеспечить повышенную безопасность для устройств, удостоверений и данных.

Защищенные базовые компьютеры обеспечивают защиту, которая полезна от сложных атак и может обеспечить повышенную безопасность при обработке критически важных данных в некоторых из наиболее чувствительных к данным отраслей, таких как медицинские работники, обрабатывающие медицинские записи и другую личную информацию (PII), коммерческие роли, которые обрабатывают высокие бизнес-последствия и высокочувствительные данные, такие как финансовый контролер с данными о доходах.

Для ноутбуков общего назначения, планшетов, 2-в-1, мобильных рабочих станций и настольных компьютеров корпорация Майкрософт рекомендует использовать базовые показатели безопасности для оптимальной настройки. Дополнительные сведения см. в разделе Windows базовых показателей безопасности.

Базовая Windows безопасности поддерживается безопасной загрузкой, шифрованием устройств Bitlocker, Microsoft Defender, Windows Hello и микросхемой TPM 2.0 для обеспечения аппаратного корня доверия для платформы ОС. Эти функции предназначены для защиты современных устройств общего назначения. Если вы принимаете решения о приобретении новых устройств, устройства должны соответствовать базовым требованиям Windows безопасности.

Кроме того, Windows 10 в S-режиме обеспечивает дополнительный уровень безопасности с гибкостью. Режим S — это конфигурация, доступная во всех выпусках Windows. Гарантируя, что в системе работают только доверенные приложения, режим S обеспечивает быстрое и безопасное взаимодействие с Windows. Это дает некоторые затраты с точки зрения совместимости, но Intune также позволяет клиентам устанавливать приложения в системе режима S, сохраняя при этом защиту режима S от запуска ненадежных приложений.

Что делает компьютер с защищенным ядром

Преимущество Компонент Требования к оборудованию и встроенному ПО Базовые Безопасность Windows Компьютеры с защищенными ядрами
Создание аппаратного корня доверия с поддержкой оборудования Доверенный платформенный модуль 2.0 (TPM) Соответствие последним требованиям Майкрософт для спецификации доверенной вычислительной группы (TCG) V V
Динамический корень доверия для измерения (DRTM) Включен на устройстве (с помощью безопасного запуска) V
Режим управления системой (СМНО) Включено на устройстве (с помощью System Guard) V
Безопасная загрузка Безопасная загрузка включена в BIOS по умолчанию. V V
Защита доступа к памяти Устройство поддерживает защиту доступа к памяти (защита DMA ядра) V
Обеспечение строгой целостности кода Целостность кода гипервизора (HVCI) Включено на устройстве V
Обеспечение расширенной проверки подлинности и защиты Windows Hello Если устройство поддерживает Windows Hello, эти реализации должны иметь возможность расширенного входа. "Поддерживается" означает:
  • Разработанные в SecureBIO компоненты для режимов Windows Hello поддерживаются на устройстве (распознавание лиц и (или) отпечатков пальцев.
  • Устройство имеет правильные компоненты SecureBIO для включения функций SecureBIO в будущем выпуске ОС; это означает, что BIOS устройства реализует необходимую таблицу SecureBIO SDEV, но она отключена по умолчанию до тех пор, пока не будет поддерживаться будущей версией ОС.
V* V
Защита критически важных данных, если устройство потеряно, украдено или конфисковано шифрование BitLocker; BitLocker может использовать TPM2.0 для шифрования и защиты данных". V V

*Возможно на некоторых устройствах