Microsoft arbeitet eng mit OEM-Partnern zusammen, um sicherzustellen, dass alle zertifizierten Windows-Systeme eine sichere Betriebsumgebung bieten. Windows lässt sich eng in die Hardware integrieren, um Schutzmaßnahmen bereitzustellen, die die verfügbaren Hardwarefunktionen nutzen:
Baseline Windows-Sicherheit – empfohlene Baseline für alle individuellen Systeme, die grundlegenden Systemintegritätsschutz bietet. Leverages TPM 2.0 für einen Hardware-Vertrauensanker, sicheres Booten und BitLocker-Laufwerkverschlüsselung.
Virtualisierungsbasierte Sicherheit aktiviert – nutzt Virtualisierungsfunktionen von Hardware und Hypervisor, um zusätzlichen Schutz für kritische Subsysteme und Daten zu bieten.
Secured-Core – empfohlen für die sensibelsten Systeme und Branchen wie Finanzen, Gesundheitswesen und Regierungsbehörden. Baut auf den vorherigen Ebenen auf und nutzt erweiterte Prozessorfunktionen, um Schutz vor Firmwareangriffen bereitzustellen.
Secured-Core-PCs
Microsoft arbeitet eng mit OEM-Partnern und Siliconanbietern zusammen, um Secured-Core-PCs zu erstellen, die tief integrierte Hardware, Firmware und Software enthalten, um eine verbesserte Sicherheit für Geräte, Identitäten und Daten zu gewährleisten.
Secured-Core-PCs bieten Schutzfunktionen, die vor anspruchsvollen Angriffen nützlich sind und bei der Behandlung von missionskritischen Daten in einigen der vertraulichsten Branchen, wie z. B. Gesundheitsmitarbeiter, die medizinische Datensätze und andere persönliche identifizierbare Informationen (PII) behandeln, kommerzielle Rollen, die hohe geschäftliche Auswirkungen und hoch vertrauliche Daten behandeln, wie z. B. ein Finanzverantwortlicher mit Gewinndaten.
Für Allzweck-Laptops, Tablets, 2-in-1-Geräte, mobile Arbeitsstationen und Desktops empfiehlt Microsoft die Verwendung von Sicherheitsbaselines für eine optimale Konfiguration. Weitere Informationen finden Sie unter Windows-Sicherheitsbaselines.
Die Baseline Windows-Sicherheit wird durch Secure Boot, Bitlocker-Geräteverschlüsselung, Microsoft Defender, Windows Hello und einen TPM 2.0-Chip unterstützt, um einen Hardware-Vertrauensanker für die Betriebssystemplattform bereitzustellen. Diese Funktionen sind so konzipiert, dass moderne Geräte mit allgemeinem Zweck gesichert werden. Wenn Sie eine Entscheidungsträger sind, die neue Geräte kaufen, sollten Ihre Geräte die grundlegenden Windows-Sicherheitsanforderungen erfüllen.
Was macht einen Secured-Core-PC aus
Vorteil
Funktion
Hardware-/Firmwareanforderung
Geplante Windows-Sicherheit
Secured-Core-PCs
Erstellen eines hardwarebasierten Stamms der Vertrauensstellung
Sicherer Start
Der sichere Start ist standardmäßig im BIOS aktiviert.
✅
✅
✅
Sicherer Start
Der UEFI-Zertifizierungsstelle von Drittanbietern wird standardmäßig nicht vertraut, mit BIOS-Option zur Aktivierung des Vertrauens
✅
Trusted Platform Module 2.0 (TPM)
Erfüllen Sie die neuesten Microsoft-Anforderungen für die Spezifikation Trusted Computing Group (TCG)
✅
✅
✅
Direct Memory Access (DMA)-Schutz
Das Gerät unterstützt den Speicherzugriffsschutz (Kernel DMA Protection)
✅
✅
✅
Schutz vor Angriffen auf Firmwareebene (eine der 2 angegebenen Ansätze kann verwendet werden)
System Guard Secure Launch (D-RTM) mit System Management Mode (SMM)-Isolierung
Aktiviert auf dem Gerät (über sicheres Starten)
✅
✅
S-RTM und eigenständiges MM mit MM-Supervisor (der auf FASR-Geräten implementierte Ansatz)
Schützen Sie das Betriebssystem vor der Ausführung von nicht verifiziertem Code
Integrität des Hypervisor-Codes (HVCI)
Aktiviert auf dem Gerät
✅
✅
Bereitstellen einer erweiterten Identitätsüberprüfung und -schutz
Windows Hello mit erhöhter Anmeldesicherheit (ESS)
Ein Gerät mit Windows Hello mit ESS ist aktiviert, wenn es über die integrierten ESS-Hardwarekomponenten für die Gesichts- oder Fingerabdruckauthentifizierung und die erforderliche Unterstützung im BIOS verfügt.
✅*
✅
Schützen Sie kritische Daten, wenn ein Gerät verloren geht, gestohlen oder beschlagnahmt wird
BitLocker-Verschlüsselung
BitLocker kann das TPM 2.0 nutzen, um Daten zu verschlüsseln und zu schützen
✅
*Nur auf Geräten mit integrierten biometrischen Windows Hello-Gesichts- oder Fingerabdrucksensoren für die Anmeldung möglich.
Learn about advanced firmware and security features of Microsoft Surface devices, Surface UEFI, Project Mu, configuring Virtualization-based Security and Memory Integrity in Windows, and Firmware Attack Surface Reduction.