Requisitos y características de seguridad de Windows 10 S para los OEM
Windows 10 S es una configuración específica de Windows 10 Pro que ofrece una experiencia familiar de Windows optimizada para una mejor seguridad y rendimiento. Windows 10 S proporciona lo mejor de la nube y aplicaciones con todo tipo de características.También está diseñando para dispositivos modernos. Microsoft Defender está siempre activado y actualizado.
Windows 10 S ejecutará únicamente aplicaciones verificadas en la Store y controladores verificados en Windows Update. Windows 10 S proporciona compatibilidad con Azure Active Directory y, cuando se empareja con una MSA o Intune para Educación, Windows 10 S almacena archivos de forma predeterminada en OneDrive.
Características habilitadas para Windows 10 S
Windows 10 modo S protege a los clientes mediante una combinación de directivas de integridad de código, hardware y certificación para aplicaciones. Windows 10 S solo ejecutará código ejecutable firmado con un certificado de Windows, WHQL, ELAM o Store desde el Panel del Centro de desarrollo de hardware de Windows. Esto incluye aplicaciones complementarias para controladores.
| Características | Windows 10 S | Windows 10 Home | Windows 10 Pro |
|---|---|---|---|
| Aplicaciones que no son de la tienda | Sí | Sí | |
| Unión a un dominio local | Sí | ||
| Unión a un dominio de Azure AD | Sí | Sí | |
| Aplicaciones de la Tienda Windows (incluidas las aplicaciones centenniales win32) | Sí | Sí | Sí |
| Configuración y sincronización automáticas de OneDrive; Requiere MSA | Sí | Configurable | Configurable |
| Conjunto de aplicaciones predeterminadas de Microsoft | Sí | Configurable | Configurable |
| Windows Update para empresas | Sí | Sí | |
| Tienda Windows para empresas | Sí | Sí | |
| Administración de dispositivos móviles (MDM) | Sí | Limitada | Sí |
| BitLocker | Sí | Sí | |
| Itinerancia de estado empresarial con Azure AD | Sí | Sí | |
| Configuración del equipo compartido | Sí | Sí |
Windows 10 configuración de aplicaciones modernas predeterminada de S
- Email: Correo
- Mapas: Mapas
- Visor de fotos: Fotos
- Búsqueda: Bing
- Reproductor de vídeo: Movies & TV
- Explorador web: Edge
- OneDrive se configura automáticamente para las cuentas de MSA para que los documentos, fotos y escritorio se sincronicen automáticamente y el usuario tenga 5 GB de almacenamiento estándar.
Protección de integridad de memoria
La integridad de memoria es una característica de seguridad basada en virtualización (VBS) disponible en Windows 10, Windows 11 y Windows Server 2016 o superior. La integridad de la memoria y VBS mejoran el modelo de amenazas de Windows y proporcionan protecciones más sólidas contra malware que intentan aprovechar el kernel de Windows. VBS usa el hipervisor de Windows para crear un entorno virtual aislado que se convierte en la raíz de confianza del sistema operativo que supone que el kernel se puede poner en peligro. La integridad de memoria es un componente crítico que protege y protege Windows mediante la ejecución de la integridad de código del modo kernel dentro del entorno virtual aislado de VBS. La integridad de la memoria también restringe las asignaciones de memoria del kernel que podrían usarse para poner en peligro el sistema, lo que garantiza que las páginas de memoria del kernel solo se realicen ejecutables después de pasar comprobaciones de integridad de código dentro del entorno de tiempo de ejecución seguro y las páginas ejecutables nunca se puedan escribir.
Nota
La integridad de memoria se conoce a veces como integridad de código protegida por hipervisor (HVCI) o hipervisoraplicada integridad de código, y se publicó originalmente como parte de Device Guard. Device Guard ya no se usa excepto para localizar la integridad de la memoria y la configuración de VBS en directiva de grupo o en el registro de Windows.
La integridad de memoria está activada de forma predeterminada en instalaciones limpias de Windows 10 en modo S y Windows 11 en hardware compatible, como se describe en habilitación de integridad de memoria. En otros sistemas que no cumplen los requisitos de habilitación automática de integridad de memoria, los clientes pueden optar por usar cualquiera de los métodos descritos en cómo habilitar la integridad de la memoria.
La integridad del código del modo kernel, protegida por la integridad de memoria, impide la ejecución de archivos binarios sin firmar o firmados incorrectamente en el kernel. El uso de archivos binarios no admitidos solo se debe realizar durante la personalización de imágenes de laboratorio o de fábrica, o durante la implementación en la que el entorno de ejecución sea WinPE o Modo de auditoría.
Para más información, consulte Integridad de memoria y seguridad basada en virtualización.
Directiva de integridad de código en modo de usuario
Windows 10 en modo S se implementa mediante una directiva que exige la integridad del código (CI) del modo de usuario. Una vez habilitada la directiva de CI en un sistema, se habilita en dos lugares:
- Windows 10 S, aplicado en el arranque
- Directiva de firmware de UEFI, aplicada durante la carga del firmware y el arranque del sistema operativo
Controladores firmados y Windows 10 S
La firma de controladores es diferente para Windows 10 S. Para instalar en Windows 10 S, los paquetes de controladores deben cumplir los siguientes requisitos:
- Los paquetes de controladores deben firmarse digitalmente con un certificado de Windows, WHQL, ELAM o Store desde el panel del Centro para desarrolladores de hardware de Windows.
- El software complementario debe estar firmado con un certificado de Microsoft Store.
- No incluye un *.exe, *.zip, *.msi o *.cab en el paquete de controladores que extrae archivos binarios sin firmar.
- El controlador solo se instala mediante directivas INF.
- El controlador no llama a componentes de bandeja de entrada bloqueados.
- Los controladores no incluyen ningún componente, aplicación o configuración de la interfaz de usuario. En su lugar, use aplicaciones universales de Microsoft Store, por ejemplo:
- Aplicaciones de soporte técnico de hardware
- Aplicaciones de dispositivos para UWP
- Aplicaciones centenniales
- El mantenimiento de controladores y firmware usa Windows Update y no una aplicación de actualizador.
Para obtener más información, consulte Windows 10 S Driver Requirements and Publish a driver to Windows Update (Publicar un controlador en Windows Update).
Lo que no se admite
Windows 10 S no permite ninguna aplicación que no esté en la Tienda. Una segunda limitación es que Windows 10 S no permite combinaciones de dominio locales. Además, algunas personalizaciones de Windows y algunas aplicaciones no se admiten. Para obtener más información, consulte Planning a Windows 10 S deployment (Planeación de una implementación de Windows 10 S).
Se bloquea la ejecución de los siguientes componentes en Windows 10 S. Se bloqueará cualquier script o aplicación que llame a uno de estos componentes bloqueados. Si el proceso de fabricación usa scripts o aplicaciones que dependen de componentes bloqueados, puede habilitar temporalmente el modo de fabricación para configurar y probar, pero no puede enviar un equipo con el modo de fabricación habilitado.
- bash.exe
- cdb.exe
- cmd.exe
- cscript.exe
- csi.exe
- dnx.exe
- kd.exe
- lxsmanager.dll
- msbuild.exe
- ntsd.exe
- powershell.exe
- powershell_ise.exe
- rcsi.exe
- reg.exe
- regedt32.exe
- windgb.exe
- wmic.exe
- wscript.exe