oem 的 Windows 10 安全性功能和需求

Windows 10 S 是 Windows 10 專業版的特定設定,可提供已針對安全性和效能簡化的熟悉 Windows 體驗。 Windows 10 可提供雲端和功能完整的應用程式,而且是針對新式裝置所設計。 Microsoft Defender 一律處於開啟狀態且一律為最新狀態。

Windows 10 S 只會從存放區執行已驗證的應用程式,並從 Windows Update 驗證驅動程式。 Windows 10 s 提供支援 Azure Active Directory,且搭配 MSA 或 Intune 教育版時,Windows 10 預設會將檔案儲存至 OneDrive。

Windows 10 的已啟用功能

Windows 10 S 模式使用應用程式的程式碼完整性原則、硬體和認證組合來保護客戶。 Windows 10,只會從Windows 硬體開發人員中心儀表板,執行使用 Windows、WHQL、ELAM 或存放區憑證簽署的可執行程式碼。 這包括驅動程式隨附的應用程式。

功能 Windows 10 S Windows 10 Home Windows 10 Pro
非存放區應用程式
內部部署的網域加入 Yes
Azure AD 加入網域
Windows 儲存應用程式 (包含 Win32 centennial 應用程式)
OneDrive 自動安裝和同步處理;需要 MSA 可設定 可設定
Microsoft 預設應用程式設定 可設定 可設定
商務 Windows 更新
商務 Windows 商店
行動裝置管理 (MDM) Yes 有限 Yes
BitLocker
使用 Azure AD Enterprise 狀態漫遊
共用的電腦設定

Windows 10 S 預設新式應用程式設定

  • 電子郵件:郵件
  • 地圖:地圖
  • 相片檢視器:相片
  • 搜尋: Bing
  • 影片播放影片:電影 & 電視
  • Web 瀏覽器: Edge
  • OneDrive 針對 MSA 帳戶自動設定,讓檔、相片和桌上型電腦自動進行同步處理,且使用者擁有5gb 的標準儲存體。

虛擬程式碼完整性原則

虛擬程式碼完整性原則 (HVCI) 封鎖未簽署或未正確簽署之二進位檔的執行。 只有在執行實驗室或原廠映射自訂,或在部署期間執行環境為 WinPE 或 Audit 模式時,才建議使用不支援的二進位檔。 HVCI 預設不會開啟,因此您必須將它開啟。 如需如何進行此作業的指示,請參閱 啟用 HVCI

一旦在系統上啟用 CI 原則,就會在兩個位置啟用:

  • Windows 10 S,在開機時強制執行
  • UEFI 固件原則,在固件負載和 OS 開機期間強制執行

如需詳細資訊,請參閱 受管理程式保護的程式碼完整性 (HVCI)

簽署的驅動程式和 Windows 10 S

Windows 10 S 的驅動程式簽章不同。若要在 Windows 10 S 上安裝,驅動程式套件必須符合下列需求:

  • 驅動程式套件必須使用 Windows、WHQL、ELAM 或 Windows 硬體開發人員中心儀表板上的儲存憑證進行數位簽署。
  • 隨附軟體必須以 Microsoft Store 憑證簽署。
  • 在解壓縮未簽署二進位檔的驅動程式套件中,不包含 * .exe、* .zip、* .msi 或 * .cab。
  • 驅動程式只會使用 INF 指示詞進行安裝。
  • 驅動程式不會呼叫封鎖的收件匣元件。
  • 驅動程式不包含任何使用者介面元件、應用程式或設定。 請改為使用 Microsoft Store 中的通用應用程式,例如:
    • 硬體支援應用程式
    • UWP 裝置應用程式
    • Centennial 應用程式
    • 驅動程式和固件服務使用 Windows Update 而不是更新程式應用程式。

如需詳細資訊,請參閱Windows 10 S 驅動程式需求,以及將驅動程式發佈到 Windows Update

不支援的內容

Windows 10 S 不允許任何不在存放區中的應用程式。 第二個限制是 Windows 10 S 不允許內部部署網域加入。 此外,某些 Windows 自訂和某些應用程式則不受支援。 如需詳細資訊,請參閱規劃 Windows 10 S 部署

下列元件會在 Windows 10 中遭到封鎖而無法執行。任何呼叫其中一個已封鎖元件的腳本或應用程式將會遭到封鎖。 如果您的製造程式使用依賴封鎖元件的腳本或應用程式,您可以暫時 啟用製造模式 來進行設定和測試,但無法在啟用製造模式的情況下寄出電腦。

  • bash.exe
  • cdb.exe
  • cmd.exe
  • cscript.exe
  • csi.exe
  • dnx.exe
  • kd.exe
  • lxsmanager.dll
  • msbuild.exe
  • ntsd.exe
  • powershell.exe
  • powershell_ise.exe
  • rcsi.exe
  • reg.exe
  • regedt32.exe
  • windgb.exe
  • wmic.exe
  • wscript.exe