Windows 10 Secured-Core-PCs

  • Artikel

Microsoft arbeitet eng mit OEM-Partnern zusammen, um sicherzustellen, dass alle zertifizierten Windows Systeme eine sichere Betriebssystemumgebung bereitstellen. Windows integriert sich eng mit der Hardware, um Schutz zu bieten, die die verfügbaren Hardwarefunktionen nutzen:

  • Geplante Windows Sicherheit – empfohlene Basislinie für alle einzelnen Systeme, die grundlegende Systemintegritätsschutz bieten. Nutzt TPM 2.0 für einen Hardwarestamm der Vertrauensstellung, sichere Start- und BitLocker-Laufwerkverschlüsselung.
  • Virtualisierungsbasierte Sicherheit aktiviert – nutzt Virtualisierungsfunktionen von Hardware und Hypervisor, um zusätzlichen Schutz für kritische Subsysteme und Daten bereitzustellen.
  • Gesicherter Kern – empfohlen für die vertraulichsten Systeme und Branchen wie Finanz-, Gesundheits- und Regierungsstellen. Baut auf den vorherigen Ebenen auf und nutzt erweiterte Prozessorfunktionen, um Schutz vor Firmwareangriffen bereitzustellen.

Gesicherte PCs

Microsoft arbeitet eng mit OEM-Partnern und Siliconanbietern zusammen, um gesicherte Kern-PCs zu erstellen, die tief integrierte Hardware, Firmware und Software enthalten, um eine verbesserte Sicherheit für Geräte, Identitäten und Daten zu gewährleisten.

Gesicherte Kern-PCs bieten Schutzfunktionen, die vor anspruchsvollen Angriffen nützlich sind und bei der Behandlung von missionskritischen Daten in einigen der vertraulichsten Branchen, wie z. B. Gesundheitsmitarbeiter, die medizinische Datensätze und andere persönliche identifizierbare Informationen (PII) behandeln, kommerzielle Rollen, die hohe geschäftliche Auswirkungen und hoch vertrauliche Daten behandeln, wie z. B. ein Finanzverantwortlicher mit Gewinndaten.

Für allgemeine Laptops, Tablets, 2-In-1-, mobile Arbeitsstationen und Desktops empfiehlt Microsoft die Verwendung von Sicherheitsbasisplanen für optimale Konfiguration. Weitere Informationen finden Sie unter Windows Sicherheitsbasislinien.

Geplante Windows Sicherheit wird von secure Boot, Bitlocker-Geräteverschlüsselung, Microsoft Defender, Windows Hello und einem TPM 2.0-Chip unterstützt, um einen Hardwarestamm der Vertrauensstellung für die Betriebssystemplattform bereitzustellen. Diese Features sind so konzipiert, dass moderne Geräte mit allgemeinem Zweck gesichert werden. Wenn Sie eine Entscheidungsträger sind, neue Geräte zu kaufen, sollten Ihre Geräte die basiseigenen Windows Sicherheitsanforderungen erfüllen.

Darüber hinaus bietet Windows 10 im S-Modus eine zusätzliche Sicherheitsschicht mit Flexibilität. Der S-Modus ist eine Konfiguration, die auf allen Windows Editionen verfügbar ist. Durch die Gewährleistung, dass nur vertrauenswürdige Anwendungen auf dem System ausgeführt werden, behält der S-Modus die Windows Erfahrung schnell und gesichert. Dies bietet einige Kosten für die Kompatibilität, aber Intune ermöglicht es Kunden auch, Anwendungen auf einem S-Modus-System zu installieren, während die S-Modusschutze vor dem Ausführen nicht vertrauenswürdiger Anwendungen beibehalten werden.

Was macht einen gesicherten Kern-PC

Vorteil Funktion Hardware-/Firmwareanforderung Geplante Windows-Sicherheit Gesicherte PCs
Erstellen eines hardwarebasierten Stamms der Vertrauensstellung Trusted Platform Module 2.0 (TPM) Erfüllen Sie die neuesten Microsoft-Anforderungen für die Spezifikation "Trusted Computing Group" (TCG) V V
Dynamischer Stamm der Vertrauensstellung für Messung (DRTM) Aktiviert auf dem Gerät (über sicheres Starten) V
Systemverwaltungsmodus (SMM) Aktiviert auf dem Gerät (über System Guard) V
Sicherer Start Der sichere Start ist standardmäßig im BIOS aktiviert. V V
Speicherzugriffsschutz Das Gerät unterstützt den Speicherzugriffsschutz (Kernel DMA Protection) V
Sicherstellen einer starken Codeintegrität Hypervisorcodeintegrität (HVCI) Aktiviert auf dem Gerät V
Bereitstellen einer erweiterten Identitätsüberprüfung und -schutz Windows Hello Wenn das Gerät Windows Hello unterstützt, müssen diese Implementierungen in der Lage sein, die erweiterte Anmeldung zu erhalten. "Fähig" bedeutet:
  • Entworfene SecureBIO-fähige Komponenten für die Windows Hello Modi werden auf dem Gerät unterstützt (Gesicht und/oder Fingerabdruck)
  • Das Gerät verfügt über die richtigen SecureBIO-Komponenten, um die SecureBIO-Funktionalität in einer zukünftigen Betriebssystemversion zu ermöglichen; d. h. das Geräte-BIOS implementiert die erforderliche SecureBIO SDEV-Tabelle, ist jedoch standardmäßig deaktiviert, bis sie von einer zukünftigen Betriebssystemversion unterstützt wird.
 V* V
Schützen von kritischen Daten, wenn ein Gerät verloren geht, gestohlen oder konfisziert BitLocker-Verschlüsselung BitLocker kann das TPM2.0 nutzen, um Daten zu verschlüsseln und zu schützen" V V

*Möglich auf einigen Geräten