Considerazioni sulla sicurezza per i produttori di attrezzature originali

Articolo
09/05/2023

Come produttore di attrezzature originali (OEM), si ha un'opportunità unica di influire sull'efficacia delle misure di sicurezza disponibili per i clienti. I clienti vogliono e hanno bisogno della possibilità di proteggere i propri dispositivi. Windows 10 funzionalità di sicurezza sono basate su hardware e firmware abilitati per la sicurezza. Questo è il luogo in cui vieni. Per fornire un differenziatore per i dispositivi o vendere nello spazio Enterprise, si vuole fornire i miglioramenti hardware più recenti, con cui è possibile configurare Windows 10 per la sicurezza.

Professionisti IT: Per altre informazioni su queste funzionalità, tra cui come distribuirle nell'organizzazione, vedere Sicurezza dei dispositivi e Controllare l'integrità dei dispositivi basati su Windows 10.

Windows 10 S

Windows 10 S è una configurazione specifica di Windows 10 Pro che offre un'esperienza di Windows familiare semplificata per la sicurezza e le prestazioni. Windows 10 S offre il meglio delle app cloud e complete e è progettato per i dispositivi moderni. Microsoft Defender è sempre aggiornato e sempre aggiornato.

Windows 10 S eseguirà solo app verificate dallo Store e dai driver verificati da Windows Update. Windows 10 S supporta Azure Active Directory e quando si associa a MSA o Intune for Education, Windows 10 S per impostazione predefinita l'archiviazione dei file in OneDrive.

Oem: Per altre informazioni su Windows 10 S, vedere Windows 10 funzionalità e requisiti di sicurezza S per le macchine virtuali.

Crittografia dei dispositivi BitLocker

La crittografia dei dispositivi BitLocker è un set di funzionalità abilitate da un OEM fornendo il set corretto di hardware nei dispositivi venduti. Senza la configurazione hardware appropriata, la crittografia del dispositivo non è abilitata. Con le configurazioni hardware corrette, Windows 10 crittografa automaticamente un dispositivo.

Oem: Per altre informazioni su BitLocker, vedere Crittografia unità BitLocker in Windows 10 per le macchine virtuali.

Avvio protetto

Secure Boot è uno standard di sicurezza sviluppato dai membri del settore PC per assicurarsi che un PC si avvia usando solo software attendibile dal produttore del PC. Al momento dell'avvio del PC, il firmware controlla la firma di ogni parte del software di avvio, inclusi i driver del firmware (MS opzione), le applicazioni EFI e il sistema operativo. Se le firme sono valide, l'avvio del PC e il firmware fornisce il controllo al sistema operativo.

Oem: Per altre informazioni sui requisiti di avvio sicuro per le macchine virtuali, vedere Avvio sicuro.

Trusted Platform Module (TPM) 2.0

La tecnologia Trusted Platform Module (TPM) è progettata per offrire funzioni correlate alla sicurezza basate su hardware. Un chip TPM è un cryptoprocessor sicuro che supporta l'esecuzione di azioni quali generazione, archiviazione e limitazione dell'uso di chiavi di crittografia. Il chip include diversi meccanismi di sicurezza fisica per renderlo di manomissione e di software dannoso è in grado di alterare le funzioni di protezione del TPM.

Nota

Dal 28 luglio 2016, tutti i nuovi modelli di dispositivo, linee o serie (o se si aggiorna la configurazione hardware di un modello, una linea o una serie esistenti con un aggiornamento principale, ad esempio CPU, schede grafiche) devono implementare e abilitare per impostazione predefinita TPM 2.0 (dettagli nella sezione 3.7 della pagina Requisiti hardware minimi). Il requisito di abilitare TPM 2.0 si applica solo alla produzione di nuovi dispositivi.

Oem: Per altre informazioni, vedere Requisiti hardware TPM (Trusted Platform Module) 2.0.

Professionisti IT: Per informazioni sul funzionamento di TPM nell'azienda, vedere Modulo piattaforma attendibile

Requisiti dell'interfaccia ueFI (Unified Extensible Firmware Interface)

UEFI è una sostituzione dell'interfaccia del firmware BIOS precedente. All'avvio dei dispositivi, l'interfaccia del firmware controlla il processo di avvio del PC e quindi passa il controllo a Windows o a un altro sistema operativo. UEFI abilita le funzionalità di sicurezza, ad esempio l'avvio sicuro e le unità crittografate di fabbrica, che consentono di impedire l'esecuzione del codice non attendibile prima del caricamento del sistema operativo. A partire da Windows 10 versione 1703, Microsoft richiede la specifica UEFI versione 2.3.1c. Per altre informazioni sui requisiti OEM per UEFI, vedere Requisiti del firmware UEFI.

Oem: Per altre informazioni su cosa è necessario eseguire per supportare i driver UEFI, vedere UEFI in Windows.

sicurezza basata sulla virtualizzazione (VBS)

Le funzionalità di sicurezza basate su hardware, denominate anche sicurezza basata su virtualizzazione o VBS, offrono l'isolamento del kernel sicuro dal normale sistema operativo. Le vulnerabilità e gli attacchi Zero-Day nel sistema operativo non possono essere sfruttati a causa di questo isolamento.

Oem: Per altre informazioni sui requisiti hardware VBS, vedere Requisiti hardware di Sicurezza basata su virtualizzazione.For more information about VBS hardware requirements, see Virtualization Based Security (VBS).

Microsoft Defender Application Guard

Application Guard consente di isolare siti non attendibili definiti dall'organizzazione, proteggendo un'azienda mentre i dipendenti esplorano Internet.

Se si vendono dispositivi ai clienti aziendali, si vuole fornire hardware che supporta le funzionalità di sicurezza necessarie alle aziende.

Oem: Per altre informazioni sui requisiti hardware per Microsoft Defender Application Guard, vedere requisiti hardware Microsoft Defender Application Guard.

Microsoft Defender Credential Guard

Credential Guard usa la sicurezza basata sulla virtualizzazione per isolare e proteggere i segreti (ad esempio, hash delle password NTLM e ticket-granting Kerberos) per bloccare attacchi pass-the-hash o pass-the-ticket.

Oem: Per altre informazioni sui requisiti hardware per Microsoft Defender Credential Guard, vedere Microsoft Defender requisiti hardware di Credential Guard.

Professionisti IT: Per informazioni su come configurare e distribuire Microsoft Defender Credential Guard nell'organizzazione, vedere Proteggere le credenziali di dominio derivate con Microsoft Defender Credential Guard.

Hypervisor-Protected Integrità del codice è una combinazione di funzionalità di sicurezza hardware e software correlate all'organizzazione che, quando configurate insieme, blocca un dispositivo in modo che possa eseguire solo applicazioni attendibili definite nei criteri di integrità del codice.

A partire da Windows 10, 1703, le funzionalità di Microsoft Defender Device Guard sono state raggruppate in due nuove funzionalità: Microsoft Defender Exploit Guard e Microsoft Defender Controllo applicazione. Quando entrambe sono abilitate, Hypervisor-Protected Integrità del codice è abilitata.

Oem: Per altre informazioni sui requisiti hardware di integrità del codice Hypervisor-Protected, vedere Sicurezza basata su virtualizzazione (VBS).

Professionisti IT: Per informazioni su come distribuire Hypervisor-Protected Integrità del codice nell'azienda, vedere Linee guida per la pianificazione dei requisiti e della distribuzione per l'integrità del codice Hypervisor-Protected.

Protezione DMA del kernel

Le funzionalità di sicurezza basate su hardware, denominate anche Protezione accesso alla memoria, offrono isolamento e protezione da attacchi DMA dannosi durante il processo di avvio e durante il runtime del sistema operativo.

Oem: Per altre informazioni sui requisiti della piattaforma di protezione DMA del kernel, vedere Protezione DMA del kernel per le macchine virtuali.

Sviluppatori di driver: Per altre informazioni sui driver compatibili DMA Protection e DMA Remapping del kernel, vedere Abilitazione del remapping DMA per i driver di dispositivo.

Professionisti IT: Per altre informazioni sui criteri di protezione DMA del kernel e sull'esperienza utente, vedere Protezione DMA del kernel.

Windows Hello

Microsoft Windows Hello offre agli utenti un'esperienza personale e protetta in cui il dispositivo viene autenticato in base alla loro presenza. Gli utenti possono accedere con un aspetto o un tocco, senza bisogno di una password. Insieme a Microsoft Passport, l'autenticazione biometrica usa impronte digitali o riconoscimento facciale ed è più sicura, più personale e più conveniente.

Per informazioni sul funzionamento di Windows Hello con Il framework del dispositivo complementare, vedere Windows Hello e Il framework del dispositivo complementare.

Per informazioni sui requisiti biometrici per supportare Windows Hello, vedere Windows Hello requisiti biometrici.

Per informazioni sul funzionamento dell'autenticazione viso, vedere Windows Hello'autenticazione viso.

Risorse aggiuntive

Documentazione

Unità crittografate factory

Unità crittografate factory
Informazioni sulla tabella di mitigazione della sicurezza di Windows SMM (WSMT)

Fornisce informazioni dettagliate sulle modalità di interazione di WSMT con VBS
requisiti hardware Microsoft Defender Application Guard

Fornisce indicazioni su cosa deve fare un OEM per abilitare Application Guard
Windows 10 PC core protetti

Questo documento offre una panoramica delle Windows 10 PC core protetti e della sicurezza baseline di Windows per i decision maker degli acquisti di dispositivi.
PC windows 11 protetti

Questo documento offre una panoramica dei PC Windows 11 Protetti e della sicurezza di Base di Windows per i decision maker di acquisto di dispositivi.
Requisiti hardware di Microsoft Defender Credential Guard

Fornisce indicazioni sulle operazioni che un OEM deve eseguire per abilitare Microsoft Defender Credential Guard
Come ripristinare le configurazioni pc di base protette per gli amministratori aziendali

Panoramica per come gli amministratori possono configurare un pc core protetto dopo l'immagine
Come ripristinare Windows 11 configurazioni pc core protette per gli amministratori aziendali

Panoramica di come gli amministratori possono configurare un pc core protetto Windows 11 dopo la creazione dell'immagine

Formazione

Modulo

Examine and Configure Surface Security Options - Training

Learn about advanced firmware and security features of Microsoft Surface devices, Surface UEFI, Project Mu, configuring Virtualization-based Security and Memory Integrity in Windows, and Firmware Attack Surface Reduction.

Certificazione

Microsoft 365 Certified: Endpoint Administrator Associate - Certifications

Pianificare ed eseguire una strategia di distribuzione degli endpoint, usando elementi essenziali della gestione moderna, approcci di co-gestione e l’integrazione di Microsoft Intune.

Condividi tramite