Windows 10 Secured-Core-PCs
Microsoft arbeitet eng mit OEM-Partnern zusammen, um sicherzustellen, dass alle zertifizierten Windows-Systeme eine sichere Betriebsumgebung bieten. Windows lässt sich eng in die Hardware integrieren, um Schutzmaßnahmen bereitzustellen, die die verfügbaren Hardwarefunktionen nutzen:
- Baseline Windows-Sicherheit – empfohlene Baseline für alle individuellen Systeme, die grundlegenden Systemintegritätsschutz bietet. Leverages TPM 2.0 für einen Hardware-Vertrauensanker, sicheres Booten und BitLocker-Laufwerkverschlüsselung.
- Virtualisierungsbasierte Sicherheit aktiviert – nutzt Virtualisierungsfunktionen von Hardware und Hypervisor, um zusätzlichen Schutz für kritische Subsysteme und Daten zu bieten.
- Secured-Core – empfohlen für die sensibelsten Systeme und Branchen wie Finanzen, Gesundheitswesen und Regierungsbehörden. Baut auf den vorherigen Ebenen auf und nutzt erweiterte Prozessorfunktionen, um Schutz vor Firmwareangriffen bereitzustellen.
Secured-Core-PCs
Microsoft arbeitet eng mit OEM-Partnern und Siliconanbietern zusammen, um Secured-Core-PCs zu erstellen, die tief integrierte Hardware, Firmware und Software enthalten, um eine verbesserte Sicherheit für Geräte, Identitäten und Daten zu gewährleisten.
Secured-Core-PCs bieten Schutzfunktionen, die vor anspruchsvollen Angriffen nützlich sind und bei der Behandlung von missionskritischen Daten in einigen der vertraulichsten Branchen, wie z. B. Gesundheitsmitarbeiter, die medizinische Datensätze und andere persönliche identifizierbare Informationen (PII) behandeln, kommerzielle Rollen, die hohe geschäftliche Auswirkungen und hoch vertrauliche Daten behandeln, wie z. B. ein Finanzverantwortlicher mit Gewinndaten.
Für Allzweck-Laptops, Tablets, 2-in-1-Geräte, mobile Arbeitsstationen und Desktops empfiehlt Microsoft die Verwendung von Sicherheitsbaselines für eine optimale Konfiguration. Weitere Informationen finden Sie unter Windows-Sicherheitsbaselines.
Die Baseline Windows-Sicherheit wird durch Secure Boot, Bitlocker-Geräteverschlüsselung, Microsoft Defender, Windows Hello und einen TPM 2.0-Chip unterstützt, um einen Hardware-Vertrauensanker für die Betriebssystemplattform bereitzustellen. Diese Funktionen sind so konzipiert, dass moderne Geräte mit allgemeinem Zweck gesichert werden. Wenn Sie eine Entscheidungsträger sind, die neue Geräte kaufen, sollten Ihre Geräte die grundlegenden Windows-Sicherheitsanforderungen erfüllen.
Darüber hinaus bietet Windows 10 im S-Modus eine zusätzliche Sicherheitsebene mit Flexibilität. Der S-Modus ist eine Konfiguration, die in allen Windows-Editionen verfügbar ist. Indem sichergestellt wird, dass nur vertrauenswürdige Anwendungen auf dem System ausgeführt werden, sorgt der S-Modus für ein schnelles und sicheres Windows-Erlebnis. Dies ist mit einigen Kosten in Bezug auf die Kompatibilität verbunden, aber Intune ermöglicht es Kunden auch, Anwendungen auf einem S-Modus-System zu installieren, während der S-Modus-Schutz gegen die Ausführung nicht vertrauenswürdiger Anwendungen beibehalten wird.
Was macht einen Secured-Core-PC aus
| Vorteil | Funktion | Hardware-/Firmwareanforderung | Geplante Windows-Sicherheit | Secured-Core-PCs |
|---|---|---|---|---|
| Erstellen eines hardwarebasierten Stamms der Vertrauensstellung | Trusted Platform Module 2.0 (TPM) | Erfüllen Sie die neuesten Microsoft-Anforderungen für die Spezifikation Trusted Computing Group (TCG) | V | V |
| Dynamic Root of Trust for Measurement (DRTM) | Aktiviert auf dem Gerät (über sicheres Starten) | V | ||
| Systemverwaltungsmodus (SMM) | Aktiviert auf dem Gerät (über System Guard) | V | ||
| Sicherer Start | Der sichere Start ist standardmäßig im BIOS aktiviert. | V | V | |
| Speicherzugriffsschutz | Das Gerät unterstützt den Speicherzugriffsschutz (Kernel DMA Protection) | V | ||
| Sicherstellen einer starken Codeintegrität | Integrität des Hypervisor-Codes (HVCI) | Aktiviert auf dem Gerät | V | |
| Bereitstellen einer erweiterten Identitätsüberprüfung und -schutz | Windows Hello | Wenn das Gerät Windows Hello unterstützt, müssen diese Implementierungen die erweiterte Anmeldung unterstützen. „Fähig“ bedeutet:
|
V* | V |
| Schützen Sie kritische Daten, wenn ein Gerät verloren geht, gestohlen oder beschlagnahmt wird | BitLocker-Verschlüsselung | BitLocker kann das TPM2.0 nutzen, um Daten zu verschlüsseln und zu schützen | V | V |
*Auf einigen Geräten möglich