Вопросы безопасности для производителей оборудования

Как изготовитель оборудования (OEM) у вас есть уникальная возможность повлиять на эффективность мер безопасности, доступных клиентам. Клиентам нужна возможность защищать свои устройства. Windows 10 функции безопасности основаны на оборудовании и встроенном программном обеспечении с поддержкой безопасности. Именно здесь вы. чтобы предоставить отличительные особенности для устройств или продавать Enterprise пространстве, необходимо предоставить новейшие улучшения оборудования, с помощью которых Windows 10 можно настроить для обеспечения безопасности.

ИТ- специалисты: дополнительные сведения об этих функциях, включая развертывание на предприятии, см. в разделе безопасность устройств и контроль работоспособности устройств на основе Windows 10.

Windows 10 S

Windows 10 S — это конкретная конфигурация Windows 10 Pro, которая предлагает привычный Windowsный интерфейс, оптимизированный для обеспечения безопасности и производительности. Windows 10 Предоставляет лучшие решения для облачных и полнофункциональных приложений, предназначенные для современных устройств. Защитник Майкрософт всегда включен и всегда обновлен.

Windows 10 будут запускать проверенные приложения только из магазина и проверенных драйверов с Центр обновления Windows. Windows 10 поддерживает Azure Active Directory, а при связывании с MSA или Intune для образовательных учреждений Windows 10 по умолчанию сохраняет файлы в OneDrive.

Изготовители оборудования: дополнительные сведения о Windows 10 s см. в разделе функции безопасности и требования Windows 10 S для изготовителей оборудования.

Шифрование устройства с помощью BitLocker

Шифрование устройств BitLocker — это набор функций, предоставляемых поставщиком вычислительной техники, предоставляя правильный набор оборудования на устройствах, которые продаются. Без правильной конфигурации оборудования шифрование устройства не включено. при наличии правильных конфигураций оборудования Windows 10 автоматически шифрует устройство.

Изготовители оборудования: дополнительные сведения о BitLocker см. в статье шифрование диска bitlocker в Windows 10 для изготовителей оборудования.

Безопасная загрузка

Безопасная загрузка — это стандарт безопасности, разработанный членами отрасли ПК, чтобы обеспечить загрузку ПК с использованием только программного обеспечения, которому доверяет производитель ПК. Когда компьютер запускается, встроенное по проверяет подпись каждого программного обеспечения загрузки, включая драйверы встроенного по (опциональные ROM), приложения EFI и операционную систему. Если подписи допустимы, компьютер загружается, а встроенное по обеспечивает управление операционной системой.

Изготовители оборудования: Дополнительные сведения о требованиях безопасной загрузки для изготовителей оборудования см. в статье Безопасная загрузка.

доверенный платформенный модуль (TPM) 2.0;

Технология доверенных платформенных модулей (TPM) предназначена для предоставления аппаратных функций, связанных с безопасностью. Микросхема TPM — это надежный криптографический процессор, который позволяет создавать, хранить и ограничивать использование криптографических ключей. Микросхема содержит несколько механизмов физической защиты, чтобы предотвратить взлом, и вредоносные программы не могут обойти функции безопасности TPM.

Примечание

С 28 июля 2016 г. все новые модели устройств, линии или ряды (или если вы обновляете конфигурацию оборудования существующей модели, линии или ряда с основным обновлением, например ЦП, графическими картами), необходимо реализовать и включить по умолчанию TPM 2,0 (сведения см. в разделе 3,7 страницы "минимальные требования к оборудованию"). Требование в отношении включения TPM 2.0 распространяется только на новые устройства, которые производятся.

Изготовители оборудования: Дополнительные сведения см. в разделе доверенный платформенный модуль (TPM) (TPM) 2,0 требования к оборудованию.

ИТ- специалисты: Чтобы понять, как работает TPM на предприятии, см. раздел доверенный платформенный модуль (TPM)

Требования к Единый интерфейс EFI (UEFI)

UEFI — это замена старого интерфейса встроенного по BIOS. при запуске устройства интерфейс встроенного по управляет процессом загрузки компьютера, а затем передает управление Windows или другой операционной системе. UEFI обеспечивает функции безопасности, такие как защищенные загрузочные и заводские зашифрованные диски, которые помогают предотвратить запуск ненадежного кода перед загрузкой операционной системы. начиная с Windows 10 версии 1703, для майкрософт требуется спецификация UEFI версии 2.3.1 c. Дополнительные сведения о требованиях изготовителя оборудования для UEFI см. в статье требования к встроенному по UEFI.

Изготовители оборудования: Дополнительные сведения о том, что необходимо сделать для поддержки драйверов UEFI, см. в разделе UEFI в Windows.

Безопасность на основе виртуализации

Функции безопасности на основе оборудования, также называемые безопасностью на основе виртуализации или VBS, обеспечивают изоляцию безопасного ядра от нормальной операционной системы. Уязвимость и атаки Zero-Day в операционной системе не могут использоваться злоумышленниками из-за этой изоляции.

Изготовители оборудования: Дополнительные сведения о требованиях к оборудованию VBS см. в статье требования к оборудованию для обеспечения безопасности на основе виртуализации (VBS).

Application Guard в Microsoft Defender

Application Guard помогает изолировать определенные предприятием ненадежные сайты, защищая предприятие, пока его сотрудники просматривают Интернет.

При продаже устройств корпоративным клиентам необходимо предоставить оборудование, которое поддерживает функции безопасности, необходимые предприятиям.

Изготовители оборудования: дополнительные сведения о требованиях к оборудованию для Application Guard в Microsoft Defender см. в разделе Application Guard в Microsoft Defender требования к оборудованию.

Credential Guard в Microsoft Defender

Credential Guard использует безопасность на основе виртуализации для изоляции и защиты секретов (например, хэшей паролей NTLM и билетов на получение билета Kerberos) для блокировки атак Pass-a-hash или Pass-a-Ticket.

Изготовители оборудования: Дополнительные сведения о требованиях к оборудованию для Credential Guard в защитнике Microsoft см. в статье требования к оборудованию для защиты учетных данных защитника Microsoft

ИТ- специалисты: Сведения о настройке и развертывании Credential Guard в защитнике Майкрософт на предприятии см. в статье Защита производных учетных записей домена с помощью Credential Guard в защитнике Microsoft.

Hypervisor-Protectedная целостность кода — это сочетание компонентов безопасности оборудования и программного обеспечения, связанных с предприятием, которые при совместной настройке заблокируют устройство и смогут запускать только доверенные приложения, определенные в политиках целостности кода.

начиная с Windows 10 1703, функции Device Guard в Microsoft Defender были сгруппированы в две новые функции: Exploit Guard в Microsoft Defender и управление приложениями защитника майкрософт. Если они включены, Hypervisor-Protected целостность кода включена.

Изготовители оборудования: Дополнительные сведения о требованиях к оборудованию Hypervisor-Protected целостности кода см. в разделе безопасность на основе виртуализации (VBS).

ИТ- специалисты: Сведения о развертывании Hypervisor-Protected целостности кода на предприятии см. в разделе требования и рекомендации по планированию развертывания для Hypervisor-Protected целостности кода.

Защита с DMA ядра

Функции безопасности на основе оборудования, также называемые защитой доступа к памяти, обеспечивают изоляцию и защиту от атак с помощью прямого доступа к данным в процессе загрузки и во время выполнения операционной системы.

Изготовители оборудования: Дополнительные сведения о требованиях к платформе защиты DMA в ядре см. в разделе Защита DMA ядра для изготовителей оборудования.

Разработчики драйверов: Дополнительные сведения о защите DMA ядра и повторном сопоставлении DMA совместимых драйверах см. в разделе Включение повторного сопоставления DMA для драйверов устройств.

ИТ- специалисты: Дополнительные сведения о политиках защиты DMA в ядре и взаимопользовательском интерфейсе см. в разделе Защита с DMA в ядре.

Windows Hello

Microsoft Windows Hello предоставляет пользователям персональную и безопасную процедуру проверки подлинности устройства в зависимости от их присутствия. Пользователи могут осуществлять вход в систему с помощью взгляда или касания без необходимости в использовании пароля. В сочетании с Microsoft Passport биометрическая проверка подлинности использует отпечатки пальцев или распознавание лиц, а также более безопасную, более личную и удобную.

сведения о том, как Windows Hello работает с сопутствующей платформой устройства, см. в разделе Windows Hello и сопутствующая платформа устройства.

дополнительные сведения о требованиях к биометрической поддержке Windows Hello см. в разделе Windows Hello требования к биометрической метрике.

сведения о том, как работает проверка подлинности, см. в разделе Windows Hello проверка подлинности лиц.