Fitur dan persyaratan keamanan Windows 10 S untuk OEM
Windows 10 S adalah konfigurasi spesifik Windows 10 Pro yang menawarkan pengalaman Windows yang familier yang disederhanakan untuk keamanan dan performa. Windows 10 S menyediakan yang terbaik dari cloud dan aplikasi unggulan lengkap, dan dirancang untuk perangkat modern. Pertahanan Microsoft selalu aktif dan selalu diperbarui.
Windows 10 S hanya akan menjalankan aplikasi terverifikasi dari Store dan driver terverifikasi dari Windows Update. Windows 10 S menyediakan dukungan Azure Active Directory, dan ketika dipasangkan dengan MSA atau Intune for Education, Default Windows 10 S untuk menyimpan file ke OneDrive.
Fitur yang diaktifkan untuk Windows 10 S
Mode Windows 10 S melindungi pelanggan dengan menggunakan kombinasi kebijakan integritas kode, perangkat keras, dan sertifikasi untuk aplikasi. Windows 10 S hanya akan menjalankan kode yang dapat dieksekusi yang ditandatangani dengan sertifikat Windows, WHQL, ELAM, atau Store dari Dasbor Pusat Pengembang Perangkat Keras Windows. Ini termasuk aplikasi pendamping untuk driver.
| Fitur | Windows 10 S | Windows 10 Home | Windows 10 Pro |
|---|---|---|---|
| Aplikasi non-penyimpanan | Ya | Ya | |
| Gabungan domain lokal | Ya | ||
| Gabungan domain Azure ACTIVE Directory | Ya | Ya | |
| Aplikasi Windows Store (termasuk aplikasi win32 centennial) | Ya | Ya | Ya |
| Penyiapan dan sinkronisasi otomatis OneDrive; Membutuhkan MSA | Ya | Dapat dikonfigurasi | Dapat dikonfigurasi |
| Set aplikasi default Microsoft | Ya | Dapat dikonfigurasi | Dapat dikonfigurasi |
| Pembaruan Windows untuk bisnis | Ya | Ya | |
| Windows Store untuk bisnis | Ya | Ya | |
| Manajemen Perangkat Seluler (MDM) | Ya | terbatas | Ya |
| BitLocker | Ya | Ya | |
| Roaming status perusahaan dengan Microsoft Azure ACTIVE Directory | Ya | Ya | |
| Konfigurasi PC bersama | Ya | Ya |
Konfigurasi aplikasi modern default Windows 10 S
- Email: Email
- Peta : Peta
- Penampil foto : Foto
- Pencarian : Bing
- Pemutar video: Film & TV
- Browser web: Edge
- OneDrive secara otomatis dikonfigurasi untuk akun MSA sehingga dokumen, Foto, dan Desktop disinkronkan secara otomatis dan pengguna memiliki penyimpanan standar 5GB.
Perlindungan integritas memori
Integritas memori adalah fitur keamanan berbasis virtualisasi (VBS) yang tersedia di Windows 10, Windows 11, dan Windows Server 2016 atau yang lebih tinggi. Integritas memori dan VBS meningkatkan model ancaman Windows dan memberikan perlindungan yang lebih kuat terhadap malware yang mencoba mengeksploitasi kernel Windows. VBS menggunakan hypervisor Windows untuk membuat lingkungan virtual terisolasi yang menjadi akar kepercayaan OS yang mengasumsikan kernel dapat disusupi. Integritas memori adalah komponen penting yang melindungi dan mengeraskan Windows dengan menjalankan integritas kode mode kernel dalam lingkungan virtual VBS yang terisolasi. Integritas memori juga membatasi alokasi memori kernel yang dapat digunakan untuk membahayakan sistem, memastikan bahwa halaman memori kernel hanya dibuat dapat dieksekusi setelah melewati pemeriksaan integritas kode di dalam lingkungan runtime aman, dan halaman yang dapat dieksekusi sendiri tidak pernah dapat ditulis.
Catatan
Integritas memori terkadang disebut sebagai integritas kode yang dilindungi hypervisor (HVCI) atau integritas kode yang diberlakukan hypervisor, dan awalnya dirilis sebagai bagian dari Device Guard. Device Guard tidak lagi digunakan kecuali untuk menemukan integritas memori dan pengaturan VBS dalam Kebijakan Grup atau registri Windows.
Integritas memori diaktifkan secara default pada penginstalan bersih Windows 10 dalam mode S dan Windows 11 pada perangkat keras yang kompatibel seperti yang dijelaskan dalam pengaktifan integritas memori. Pada sistem lain yang tidak memenuhi persyaratan pengaktifan otomatis integritas memori, pelanggan dapat memilih menggunakan salah satu metode yang dijelaskan dalam cara mengaktifkan integritas memori.
Integritas kode mode kernel, dilindungi oleh integritas memori, mencegah eksekusi biner yang tidak ditandatangani atau ditandatangani dengan tidak benar di kernel. Menggunakan biner yang tidak didukung hanya boleh dilakukan selama penyesuaian gambar lab atau pabrik, atau selama penyebaran di mana lingkungan eksekusi adalah WinPE atau Mode Audit.
Untuk informasi selengkapnya, lihat Integritas memori dan keamanan berbasis virtualisasi
Kebijakan integritas kode mode pengguna
Windows 10 dalam mode S diimplementasikan menggunakan kebijakan yang memberlakukan integritas kode mode pengguna (CI). Setelah kebijakan CI diaktifkan pada sistem, kebijakan tersebut diaktifkan di dua tempat:
- Windows 10 S, diberlakukan saat boot
- Kebijakan firmware UEFI, diberlakukan selama beban firmware dan boot OS
Driver yang ditandatangani dan Windows 10 S
Penandatanganan driver berbeda untuk Windows 10 S. Untuk menginstal pada Windows 10 S, paket driver harus memenuhi persyaratan berikut:
- Paket driver harus ditandatangani secara digital dengan sertifikat Windows, WHQL, ELAM, atau Store dari Dasbor Pusat Pengembang Perangkat Keras Windows.
- Perangkat lunak pendamping harus ditandatangani dengan Sertifikat Microsoft Store.
- Tidak termasuk *.exe, *.zip, *.msi atau *.cab dalam paket driver yang mengekstrak biner yang tidak ditandatangani.
- Pengandar menginstal hanya menggunakan arahan INF.
- Driver tidak memanggil komponen kotak masuk yang diblokir.
- Driver tidak menyertakan komponen antarmuka pengguna, aplikasi, atau pengaturan apa pun. Sebagai gantinya, gunakan aplikasi Universal dari Microsoft Store, misalnya:
- Aplikasi Dukungan Perangkat Keras
- Aplikasi perangkat UWP
- Aplikasi Centennial
- Layanan driver dan firmware menggunakan Windows Update dan bukan aplikasi updater.
Untuk informasi selengkapnya, lihat Persyaratan Driver Windows 10 S dan Menerbitkan driver ke Windows Update.
Yang tidak didukung
Windows 10 S tidak mengizinkan aplikasi apa pun yang tidak ada di Bursa. Batasan kedua adalah bahwa Windows 10 S tidak mengizinkan gabungan domain lokal. Selain itu, beberapa kustomisasi Windows dan beberapa aplikasi tidak didukung. Untuk informasi selengkapnya, lihat Merencanakan penyebaran Windows 10 S
Komponen berikut diblokir agar tidak berjalan di Windows 10 S. Setiap skrip atau aplikasi yang memanggil salah satu komponen yang diblokir ini akan diblokir. Jika proses manufaktur Anda menggunakan skrip atau aplikasi yang mengandalkan komponen yang diblokir, Anda dapat mengaktifkan mode manufaktur untuk sementara waktu untuk mengonfigurasi dan menguji, tetapi Anda tidak dapat mengirim PC dengan mode manufaktur diaktifkan.
- bash.exe
- cdb.exe
- cmd.exe
- cscript.exe
- csi.exe
- dnx.exe
- kd.exe
- lxsmanager.dll
- msbuild.exe
- ntsd.exe
- powershell.exe
- powershell_ise.exe
- rcsi.exe
- reg.exe
- regedt32.exe
- windgb.exe
- wmic.exe
- wscript.exe