Windows 11 安全核心計算機
Microsoft 與 OEM 合作夥伴密切合作,協助確保所有經認證的 Windows 系統都能提供安全的作業環境。 Windows 與硬體緊密整合,以提供利用可用硬體功能的保護:
- 基準 Windows 安全性 – 針對所有提供基礎系統完整性保護的個別系統建議基準。 針對信任、安全開機和 BitLocker 磁碟驅動器加密的硬體根目錄,利用 TPM 2.0。
- 已啟用虛擬化型安全性 – 利用硬體和 Hypervisor 的虛擬化功能,為重要子系統和數據提供額外的保護。
- 安全核心 – 建議用於最敏感的系統和產業,例如金融、醫療保健和政府機構。 以先前層為基礎,並利用進階處理器功能來提供韌體攻擊的保護。
安全核心計算機
Microsoft 正與 OEM 合作夥伴和晶片廠商密切合作,建置具有深度整合硬體、韌體和軟體的安全核心計算機,以確保裝置、身分識別和數據的安全性增強。
安全核心計算機提供保護,可防範複雜的攻擊,並在處理某些最敏感的產業中任務關鍵性數據時提供更高的保證,例如處理醫療記錄和其他個人標識資訊(PII)的醫療保健工作者,以及處理高商業影響和高度敏感數據的商業角色,例如具有收益數據的財務控制者。
針對一般用途的膝上型計算機、平板計算機、2-in-1、行動工作站和桌面計算機,Microsoft 建議使用安全性基準進行最佳設定。 如需詳細資訊,請參閱 Windows 安全性基準。
安全開機、Bitlocker 裝置加密、Microsoft Defender、Windows Hello 和 TPM 2.0 晶片支援基準 Windows 安全性,以提供 OS 平台的硬體根信任。 這些功能的設計目的是保護一般用途的新式裝置。 如果您是購買新裝置的決策者,您的裝置應該符合基準 Windows 安全性需求。
什麼是安全核心計算機
| 優點 | 功能 | 硬體/韌體需求 | 比較基準 Windows 安全性 | 安全核心計算機 |
|---|---|---|---|---|
| 建立硬體支援信任根 | ||||
| 安全開機 | 預設會在 BIOS 中啟用安全開機。 | ✅ | ✅ | |
| 安全開機 | 預設不會信任第三方 UEFI CA,且 BIOS 選項可啟用信任 | ✅ | ||
| 信任的平台模組 2.0 (TPM) | 符合信任運算群組 (TCG) 規格的最新 Microsoft 需求 | ✅ | ✅ | |
| 直接記憶體存取 (DMA) 保護 | 裝置支援記憶體存取保護(核心 DMA 保護) | ✅ | ✅ | |
| 防範韌體層級攻擊(可以使用指定的 2 種方法之一) | 系統防護 安全啟動 (D-RTM) 與系統管理模式 (SMM) 隔離 | 在裝置上啟用 (透過安全啟動) | ✅ | ✅ |
| S-RTM 和獨立 MM 與 MM 主管 (在 FASR 裝置上實作 的方法) | 在具有 FASR 韌體之 裝置上支援 | ✅ | ||
| 防止作業系統執行未驗證的程式碼 | Hypervisor 程序代碼完整性 (HVCI) | 在裝置上啟用 | ✅ | ✅ |
| 提供進階身分識別驗證和保護 | 具有增強式登入安全性的 Windows Hello (ESS) | 如果具有 ESS 的 Windows Hello 硬體內建元件進行臉部或指紋驗證,以及 BIOS 中的必要支援,則會啟用具有 Windows Hello 與 ESS 的裝置 | ✅* | ✅ |
| 如果裝置遺失、遭竊或沒收,請保護重要數據 | BitLocker 加密 | BitLocker 可以利用 TPM 2.0 來加密和保護數據 | ✅ | ✅ |
*只有在具有內建 Windows Hello 生物特徵辨識登入臉部或指紋感測器的裝置上才可行。