Windows 10 PC core protetti
Microsoft collabora con i partner OEM per garantire che tutti i sistemi Windows certificati forniscano un ambiente operativo sicuro. Windows si integra strettamente con l'hardware per offrire protezioni che sfruttano le funzionalità hardware disponibili:
- Sicurezza di Base di Windows: baseline consigliata per tutti i singoli sistemi che fornisce protezioni di integrità del sistema di base. Sfrutta TPM 2.0 per una radice hardware attendibile, l'avvio sicuro e la crittografia delle unità BitLocker.
- Sicurezza basata su virtualizzazione abilitata: sfrutta le funzionalità di virtualizzazione dall'hardware e dall'hypervisor per fornire protezione aggiuntiva per sottosistemi e dati critici.
- Protetto-core: consigliato per i sistemi e i settori più sensibili, ad esempio le agenzie finanziarie, sanitarie e governative. Si basa sui livelli precedenti e sfrutta le funzionalità avanzate del processore per garantire la protezione dagli attacchi del firmware.
PC core protetti
Microsoft lavora a stretto contatto con i partner OEM e i fornitori di siliconi per creare PC core protetti che presentano hardware, firmware e software profondamente integrati per garantire una sicurezza avanzata per dispositivi, identità e dati.
I PC di base protetti offrono protezioni utili contro attacchi sofisticati e possono garantire una maggiore garanzia quando si gestiscono dati cruciali in alcuni dei settori più sensibili ai dati, ad esempio i lavoratori sanitari che gestiscono le cartelle cliniche e altre informazioni personali,i ruoli commerciali che gestiscono un impatto aziendale elevato e dati altamente sensibili, ad esempio un titolare del trattamento finanziario con dati sugli utili.
Per portatili, tablet, workstation mobili e desktop per utilizzo generico, tablet, 2 in 1, Microsoft consiglia di usare le baseline di sicurezza per una configurazione ottimale. Per altre info, vedi Baseline di sicurezza di Windows.
La sicurezza di Base di Windows è supportata dall'avvio protetto, dalla crittografia dei dispositivi Bitlocker, Microsoft Defender, Windows Hello e da un chip TPM 2.0 per fornire una radice di attendibilità hardware per la piattaforma del sistema operativo. Queste funzionalità sono progettate per proteggere i dispositivi moderni per utilizzo generico. Se si è un decision maker che acquista nuovi dispositivi, i dispositivi devono soddisfare i requisiti di sicurezza di Windows di base.
Inoltre, Windows 10 in modalità S offre un ulteriore livello di sicurezza con flessibilità. La modalità S è una configurazione disponibile in tutte le edizioni di Windows. Assicurandosi che nel sistema vengano eseguite solo applicazioni attendibili, la modalità S mantiene l'esperienza di Windows veloce e protetta. Questo comporta un costo in termini di compatibilità, ma Intune consente anche ai clienti di installare applicazioni in un sistema in modalità S, mantenendo al tempo stesso le protezioni in modalità S contro l'esecuzione di applicazioni non attendibili.
Che cosa rende un PC protetto-core
| Vantaggi | Funzionalità | Requisiti hardware/firmware | Sicurezza di Windows di base | PC core protetti |
|---|---|---|---|---|
| Creare una radice di attendibilità supportata dall'hardware | Trusted Platform Module 2.0 (TPM) | Soddisfare i requisiti Microsoft più recenti per la specifica TCG (Trusted Computing Group) | V | V |
| Radice dinamica di attendibilità per la misurazione (DRTM) | Abilitato nel dispositivo (tramite Avvio sicuro) | V | ||
| Modalità di gestione del sistema (SMM) | Abilitato nel dispositivo (tramite Protezione del sistema) | V | ||
| Avvio protetto | L'avvio protetto è abilitato nel BIOS per impostazione predefinita. | V | V | |
| Protezione dall'accesso alla memoria | Il dispositivo supporta la protezione dall'accesso alla memoria (protezione DMA del kernel) | V | ||
| Garantire un'integrità assoluta del codice | Integrità del codice dell'hypervisor (HVCI) | Abilitato nel dispositivo | V | |
| Fornire la verifica e la protezione avanzata delle identità | Windows Hello | Se il dispositivo supporta Windows Hello, tali implementazioni devono essere in grado di eseguire l'accesso avanzato. "Idoneo" significa:
|
Presso* | V |
| Proteggere i dati critici se un dispositivo viene smarrito, rubato o sequestrato | Crittografia BitLocker | BitLocker può sfruttare TPM2.0 per crittografare e proteggere i dati" | V | V |
*Possibile in alcuni dispositivi