Pertimbangan keamanan untuk Produsen Peralatan Asli
Sebagai Original Equipment Manufacturer (OEM), Anda memiliki kesempatan unik untuk berdampak pada kemanjuran langkah-langkah keamanan yang tersedia untuk pelanggan Anda. Pelanggan menginginkan dan membutuhkan kemampuan untuk mengamankan perangkat mereka. Windows 10 fitur keamanan dibangun di atas perangkat keras dan firmware yang mendukung keamanan. Di situlah Anda masuk Untuk menyediakan pembeda untuk perangkat Anda, atau menjual di ruang Enterprise, Anda ingin memberikan peningkatan perangkat keras terbaru, yang dengannya Windows 10 dapat dikonfigurasi untuk keamanan.
Profesional TI: Untuk mempelajari selengkapnya tentang fitur-fitur ini termasuk cara menyebarkannya di perusahaan Anda, lihat Keamanan Perangkat dan Mengontrol kesehatan perangkat berbasis Windows 10.
Windows 10 S
Windows 10 S adalah konfigurasi Windows 10 Pro tertentu yang menawarkan pengalaman Windows yang familier yang disederhanakan untuk keamanan dan performa. Windows 10 S menyediakan aplikasi cloud dan fitur lengkap terbaik, dan dirancang untuk perangkat modern. Microsoft Defender selalu aktif dan selalu diperbarui.
Windows 10 S hanya akan menjalankan aplikasi terverifikasi dari Store dan driver terverifikasi dari Windows Update. Windows 10 S menyediakan dukungan Azure Active Directory, dan saat dipasangkan dengan MSA atau Intune for Education, Windows 10 S default untuk menyimpan file ke OneDrive.
Oem: Untuk informasi selengkapnya tentang Windows 10 S, lihat fitur dan persyaratan keamanan Windows 10 S untuk OEM.
Enkripsi perangkat BitLocker
Enkripsi perangkat BitLocker adalah serangkaian fitur yang diaktifkan oleh OEM dengan menyediakan set perangkat keras yang tepat di perangkat yang Anda jual. Tanpa konfigurasi perangkat keras yang tepat, enkripsi perangkat tidak diaktifkan. Dengan konfigurasi perangkat keras yang tepat, Windows 10 secara otomatis mengenkripsi perangkat.
Oem: Untuk mempelajari selengkapnya tentang BitLocker, lihat Enkripsi drive BitLocker di Windows 10 untuk OEM.
Boot Aman
Boot Aman adalah standar keamanan yang dikembangkan oleh anggota industri PC untuk membantu memastikan bahwa boot PC hanya menggunakan perangkat lunak yang dipercaya oleh produsen PC. Ketika PC dimulai, firmware memeriksa tanda tangan setiap perangkat lunak boot, termasuk driver firmware (Option ROM), aplikasi EFI, dan sistem operasi. Jika tanda tangan valid, boot PC, dan firmware memberikan kontrol ke sistem operasi.
Oem: Untuk mempelajari selengkapnya tentang persyaratan Boot Aman untuk OEM, lihat Boot Aman.
Modul Platform Tepercaya (TPM) 2.0
Teknologi Trusted Platform Module (TPM) dirancang untuk menyediakan fungsi berbasis perangkat keras terkait keamanan. Chip TPM adalah prosesor kriptografi aman yang membantu Anda melakukan tindakan seperti menghasilkan, menyimpan, dan membatasi penggunaan kunci kriptografi. Chip ini mencakup beberapa mekanisme keamanan fisik untuk membuatnya tahan terhadap perubahan, dan perangkat lunak berbahaya tidak dapat mengubah fungsi keamanan TPM.
Catatan
Sejak 28 Juli 2016, semua model, garis, atau seri perangkat baru (atau jika Anda memperbarui konfigurasi perangkat keras dari model, baris, atau seri yang ada dengan pembaruan besar, seperti CPU, kartu grafis) harus menerapkan dan mengaktifkan secara default TPM 2.0 (detail di bagian 3.7 dari halaman Persyaratan perangkat keras minimum). Persyaratan untuk mengaktifkan TPM 2.0 hanya berlaku untuk pembuatan perangkat baru.
Oem: Untuk informasi selengkapnya, lihat Persyaratan perangkat keras Trusted Platform Module (TPM) 2.0.
Profesional TI: Untuk memahami cara kerja TPM di perusahaan Anda, lihat Modul Platform Tepercaya
Persyaratan Unified Extensible Firmware Interface (UEFI)
UEFI adalah pengganti antarmuka firmware BIOS yang lebih lama. Ketika perangkat dimulai, antarmuka firmware mengontrol proses booting PC, dan kemudian meneruskan kontrol ke Windows atau sistem operasi lainnya. UEFI memungkinkan fitur keamanan seperti Boot Aman dan drive terenkripsi pabrik yang membantu mencegah kode yang tidak tepercaya berjalan sebelum sistem operasi dimuat. Pada Windows 10, versi 1703, Microsoft memerlukan Spesifikasi UEFI versi 2.3.1c. Untuk mempelajari selengkapnya tentang persyaratan OEM untuk UEFI, lihat Persyaratan firmware UEFI.
Oem: Untuk mempelajari lebih lanjut tentang apa yang perlu Anda lakukan untuk mendukung driver UEFI, lihat UEFI di Windows.
Keamanan berbasis virtualisasi (VBS)
Fitur keamanan berbasis perangkat keras, juga disebut keamanan berbasis virtualisasi atau VBS, menyediakan isolasi kernel aman dari sistem operasi normal. Kerentanan dan serangan Zero-Day dalam sistem operasi tidak dapat dieksploitasi karena isolasi ini.
Oem: Untuk informasi selengkapnya tentang persyaratan perangkat keras VBS, lihat Persyaratan perangkat keras Virtualization Based Security (VBS).
Microsoft Defender Application Guard
Application Guard membantu mengisolasi situs yang tidak tepercaya yang ditentukan perusahaan, melindungi perusahaan saat karyawannya menelusuri Internet.
Jika Anda menjual perangkat kepada pelanggan perusahaan, Anda ingin menyediakan perangkat keras yang mendukung fitur keamanan yang dibutuhkan perusahaan.
Oem: Untuk mempelajari selengkapnya tentang persyaratan perangkat keras untuk Microsoft Defender Application Guard, lihat persyaratan perangkat keras Microsoft Defender Application Guard.
Microsoft Defender Credential Guard
Credential Guard menggunakan keamanan berbasis virtualisasi untuk mengisolasi dan melindungi rahasia (misalnya, hash kata sandi NTLM dan tiket pemberian tiket Kerberos) untuk memblokir serangan pass-the-hash atau pass-the-ticket.
Oem: Untuk mempelajari selengkapnya tentang persyaratan perangkat keras untuk Microsoft Defender Credential Guard, lihat persyaratan perangkat keras Microsoft Defender Credential Guard.
Profesional TI: Untuk mempelajari cara mengonfigurasi dan menyebarkan Microsoft Defender Credential Guard di perusahaan Anda, lihat Melindungi kredensial domain turunan dengan Microsoft Defender Credential Guard.
Hypervisor-Protected Code Integrity adalah kombinasi dari fitur keamanan perangkat keras dan perangkat lunak terkait perusahaan yang, ketika dikonfigurasi bersama-sama, akan mengunci perangkat sehingga hanya dapat menjalankan aplikasi tepercaya yang ditentukan dalam kebijakan integritas kode.
Mulai Windows 10, 1703, fitur Microsoft Defender Device Guard telah dikelompokkan ke dalam dua fitur baru: Microsoft Defender Exploit Guard dan kontrol Aplikasi Microsoft Defender. Ketika keduanya diaktifkan, Hypervisor-Protected Integritas Kode diaktifkan.
Oem: Untuk informasi selengkapnya tentang persyaratan perangkat keras Integritas Kode Hypervisor-Protected, lihat Keamanan berbasis Virtualisasi (VBS).
Profesional TI: Untuk mempelajari cara menyebarkan integritas kode Hypervisor-Protected di perusahaan Anda, lihat Persyaratan dan panduan perencanaan penyebaran untuk integritas kode Hypervisor-Protected.
Perlindungan DMA Kernel
Fitur keamanan berbasis perangkat keras, juga disebut Perlindungan Akses Memori, memberikan isolasi dan perlindungan terhadap serangan DMA berbahaya selama proses boot dan selama runtime OS.
Oem: Untuk informasi selengkapnya tentang persyaratan platform Perlindungan DMA Kernel, lihat Perlindungan DMA Kernel untuk OEM.
Pengembang Driver: Untuk informasi selengkapnya tentang Perlindungan DMA Kernel dan Remapping driver yang kompatibel dengan DMA, lihat Mengaktifkan Remapping DMA untuk driver perangkat.
Profesional TI: Untuk mempelajari selengkapnya tentang kebijakan Perlindungan DMA Kernel dan pengalaman pengguna, lihat Perlindungan DMA Kernel.
Windows Hello
Microsoft Windows Hello memberi pengguna pengalaman pribadi dan aman di mana perangkat diautentikasi berdasarkan kehadiran mereka. Pengguna dapat masuk dengan tampilan atau sentuhan, tanpa perlu kata sandi. Bersama dengan Microsoft Passport, autentikasi biometrik menggunakan sidik jari atau pengenalan wajah dan lebih aman, lebih pribadi, dan lebih nyaman.
Untuk informasi tentang cara kerja Windows Hello dengan Kerangka Kerja Perangkat Pendamping, lihat Windows Hello dan Kerangka Kerja Perangkat Pendamping.
Untuk informasi tentang persyaratan biometrik untuk mendukung Windows Hello, lihat persyaratan biometrik Windows Hello.
Untuk informasi tentang cara kerja autentikasi wajah, lihat Windows Hello autentikasi wajah.