Requisiti e funzionalità di sicurezza di Windows 10 S per gli OEM
Windows 10 S è una configurazione specifica di Windows 10 Pro che offre un'esperienza di Windows familiare semplificata per la sicurezza e le prestazioni. Windows 10 S offre il meglio del cloud e delle app complete ed è progettato per i dispositivi moderni. Microsoft Defender è sempre attivo e sempre aggiornato.
Windows 10 S eseguirà solo app verificate dallo Store e dai driver verificati da Windows Update. Windows 10 S supporta Azure Active Directory e, se associato a MSA o Intune for Education, per impostazione predefinita Windows 10 S archivia i file in OneDrive.
Funzionalità abilitate per Windows 10 S
La modalità S di Windows 10 protegge i clienti usando una combinazione di criteri di integrità del codice, hardware e certificazione per le app. Windows 10 S eseguirà solo il codice eseguibile firmato con un certificato Windows, WHQL, ELAM o Store dal dashboard di Windows Hardware Developer Center. Sono incluse le app complementari per i driver.
| Funzionalità | Windows 10 S | Windows 10 Home | Windows 10 Pro |
|---|---|---|---|
| App non dello Store | Sì | Sì | |
| Aggiunta a un dominio locale | Sì | ||
| Aggiunta a un dominio di Azure AD | Sì | Sì | |
| App di Windows Store (incluse le app win32 centennial) | Sì | Sì | Sì |
| Installazione e sincronizzazione automatica di OneDrive; Richiede l'account del servizio gestito | Sì | Configurabile | Configurabile |
| Set di app predefinite Di Microsoft | Sì | Configurabile | Configurabile |
| Windows Update per le aziende | Sì | Sì | |
| Windows Store per le aziende | Sì | Sì | |
| Gestione di dispositivi mobili (MDM) | Sì | accesso | Sì |
| BitLocker | Sì | Sì | |
| Enterprise State Roaming con Azure AD | Sì | Sì | |
| Configurazione del PC condiviso | Sì | Sì |
Configurazione dell'app moderna predefinita di Windows 10 S
- Posta elettronica: Posta elettronica
- Mappe : Mappe
- Visualizzatore foto: Foto
- Ricerca : Bing
- Lettore video: Film e TV
- Web browser: Edge
- OneDrive configurato automaticamente per gli account MSA in modo che documenti, Foto e Desktop vengano sincronizzati automaticamente e che l'utente disponga di 5 GB di spazio di archiviazione standard.
Protezione dell'integrità della memoria
L'integrità della memoria è una funzionalità di sicurezza basata su virtualizzazione (VBS) disponibile in Windows 10, Windows 11 e Windows Server 2016 o versione successiva. L'integrità della memoria e la sicurezza basata su vbs migliorano il modello di minaccia di Windows e forniscono protezioni più avanzate contro il malware che tenta di sfruttare il kernel di Windows. La sicurezza basata su virtualizzazione usa l'hypervisor Di Windows per creare un ambiente virtuale isolato che diventa la radice di attendibilità del sistema operativo che presuppone che il kernel possa essere compromesso. L'integrità della memoria è un componente critico che protegge e protegge Windows eseguendo l'integrità del codice in modalità kernel all'interno dell'ambiente virtuale isolato della sicurezza basata su virtualizzazione. L'integrità della memoria limita anche le allocazioni di memoria del kernel che potrebbero essere usate per compromettere il sistema, assicurandosi che le pagine di memoria kernel vengano eseguite solo dopo aver superato i controlli di integrità del codice all'interno dell'ambiente di runtime protetto e le pagine eseguibili stesse non siano mai scrivibili.
Nota
L'integrità della memoria viene talvolta definita integrità del codice protetta dall'hypervisor (HVCI) o hypervisor applicata all'integrità del codice ed è stata originariamente rilasciata come parte di Device Guard. Device Guard non viene più usato tranne per individuare l'integrità della memoria e le impostazioni VBS in Criteri di gruppo o nel Registro di sistema di Windows.
L'integrità della memoria è attivata per impostazione predefinita su installazioni pulite di Windows 10 in modalità S e Windows 11 su hardware compatibile, come descritto in Abilitazione dell'integrità della memoria. In altri sistemi che non soddisfano i requisiti di abilitazione automatica dell'integrità della memoria, i clienti possono acconsentire esplicitamente usando uno dei metodi descritti in come abilitare l'integrità della memoria.
L'integrità del codice in modalità kernel, protetta dall'integrità della memoria, impedisce l'esecuzione di file binari non firmati o firmati in modo non corretto nel kernel. L'uso di file binari non supportati deve essere eseguito solo durante la personalizzazione dell'immagine del lab o della factory o durante la distribuzione in cui l'ambiente di esecuzione è WinPE o modalità di controllo.
Per altre informazioni, vedere Integrità della memoria e sicurezza basata sulla virtualizzazione
Criteri di integrità del codice in modalità utente
Windows 10 in modalità S viene implementato usando un criterio che applica l'integrità del codice in modalità utente . Dopo aver abilitato i criteri di integrazione continua in un sistema, viene abilitato in due posizioni:
- Windows 10 S, applicato all'avvio
- Criteri del firmware UEFI, applicati durante il caricamento del firmware e l'avvio del sistema operativo
Driver firmati e Windows 10 S
La firma del driver è diversa per Windows 10 S. Per eseguire l'installazione in Windows 10 S, i pacchetti driver devono soddisfare i requisiti seguenti:
- I pacchetti driver devono essere firmati digitalmente con un certificato Windows, WHQL, ELAM o Store dal dashboard di Windows Hardware Developer Center.
- Il software complementare deve essere firmato con un certificato di Microsoft Store.
- Non include un file binario *.exe, *.zip, *.msi o *.cab nel pacchetto driver che estrae file binari non firmati.
- Il driver viene installato usando solo le direttive INF.
- Il driver non chiama i componenti della posta in arrivo bloccati.
- I driver non includono componenti, app o impostazioni dell'interfaccia utente. Usare invece applicazioni universali da Microsoft Store, ad esempio:
- App di supporto hardware
- App per dispositivi UWP
- App centenniali
- La manutenzione del driver e del firmware usa Windows Update e non un'app di aggiornamento.
Per altre informazioni, vedere Requisiti dei driver di Windows 10 S e Pubblicare un driver in Windows Update.
Attività non supportate
Windows 10 S non consente app che non si trovano nello Store. Una seconda limitazione è che Windows 10 S non consente l'aggiunta a un dominio locale. Inoltre, alcune personalizzazioni di Windows e alcune app non sono supportate. Per altre informazioni, vedere Pianificazione di una distribuzione di Windows 10 S
I componenti seguenti sono bloccati per l'esecuzione in Windows 10 S. Qualsiasi script o applicazione che chiama uno di questi componenti bloccati verrà bloccato. Se il processo di produzione usa script o applicazioni che si basano su componenti bloccati, è possibile abilitare temporaneamente la modalità di produzione per la configurazione e il test, ma non è possibile spedire un PC con la modalità di produzione abilitata.
- bash.exe
- cdb.exe
- cmd.exe
- cscript.exe
- csi.exe
- dnx.exe
- kd.exe
- lxsmanager.dll
- msbuild.exe
- ntsd.exe
- powershell.exe
- powershell_ise.exe
- rcsi.exe
- reg.exe
- regedt32.exe
- windgb.exe
- wmic.exe
- wscript.exe