Windows 10 安全核心电脑
Microsoft 与 OEM 合作伙伴密切合作,帮助确保所有经过认证的 Windows 系统可提供安全的操作环境。 Windows 与硬件紧密集成,以提供利用可用硬件功能的保护:
- 基线 Windows 安全 – 适用于所有各个系统的建议基线,可提供基础系统完整性保护。 利用 TPM 2.0 实现硬件信任根、安全启动和 BitLocker 驱动器加密。
- 启用了基于虚拟化的安全性 – 利用硬件和虚拟机监控程序提供的虚拟化功能,为关键子系统和数据提供额外保护。
- 安全核心 – 建议用于最敏感的系统和行业,例如金融、医疗保健和政府机构。 在上面各层的基础上构建,利用高级处理器功能提供保护,以防范固件攻击。
安全核心 PC
Microsoft 在与 OEM 合作伙伴和芯片供应商密切合作,以构建具有深度集成的硬件、固件和软件的安全核心 PC,以确保增强设备、标识和数据的安全性。
安全核心 PC 提供的保护可用于防范复杂的攻击,并且在某些数据敏感度最高的行业中处理任务关键型数据时可以提供更多保障,例如处理医疗记录和其他个人身份信息 (PII) 的医疗保健工作者、处理高业务影响和高度敏感数据的商业角色(如具有收益数据的财务总监)。
对于常规用途笔记本电脑、平板电脑、二合一计算机、移动工作站和桌面设备,Microsoft 建议使用安全基线来实现最佳配置。 有关详细信息,请参阅 Windows 安装基线。
安全启动、Bitlocker 设备加密、Microsoft Defender、Windows Hello 和 TPM 2.0 芯片支持基线 Windows 安全,以便为 OS 平台提供硬件信任根。 这些功能旨在保护常规用途新式设备。 如果你是购买新设备的决策者,则设备应符合基线 Windows 安全要求。
此外,S 模式下的 Windows 10 可灵活地提供额外的安全层。 S 模式是在所有 Windows 版本上可用的配置。 通过确保只有受信任应用程序在系统上运行,S 模式可使 Windows 体验保持快速且安全。 这在兼容性方面带来了一些成本,但 Intune 还允许客户在 S 模式系统上安装应用程序,同时维护 S 模式保护以防止运行不受信任的应用程序。
什么是安全核心 PC
| 优势 | 功能 | 硬件/固件要求 | 基线 Windows 安全 | 安全核心 PC |
|---|---|---|---|---|
| 创建硬件支持的信任根 | 受信任的平台模块 2.0 (TPM) | 满足针对受信任的计算组 (TCG) 规范的最新 Microsoft 要求 | V | V |
| 用于测量的动态信任根 (DRTM) | 在设备上启用(通过安全启动) | V | ||
| 系统管理模式 (SMM) | 在设备上启用(通过系统保护) | V | ||
| 安全启动 | 默认情况下,安全启动在 BIOS 中已启用。 | V | V | |
| 内存访问保护 | 设备支持内存访问保护(内核 DMA 保护) | V | ||
| 确保强代码完整性 | 虚拟机监控程序代码完整性 (HVCI) | 在设备上启用 | V | |
| 提供高级身份验证和保护 | Windows Hello | 如果设备支持 Windows Hello,则这些实现必须支持增强的登录。 “有能力”表示:
|
V* | V |
| 在设备丢失、被盗或被没收时保护关键数据 | BitLocker 加密 | BitLocker 可以利用 TPM2.0 对数据进行加密和保护 | V | V |
*在某些设备上可能提供