OEM을 위한 Windows 10 S 보안 기능 및 요구 사항
Windows 10 S는 보안 및 성능을 위해 간소화된 친숙한 Windows 환경을 제공하는 Windows 10 Pro용 특정 구성입니다. Windows 10 S는 최고의 클라우드 및 모든 기능을 갖춘 앱을 제공하며 최신 디바이스용으로 설계되었습니다. Microsoft Defender가 항상 켜져 있고 항상 최신 상태입니다.
Windows 10 S는 스토어에서 확인된 앱 및 Windows 업데이트에서 확인된 드라이버만 실행합니다. Windows 10 S는 Azure Active Directory를 지원하며 MSA 또는 Intune for Education과 페어링된 경우 Windows 10 S는 기본적으로 파일을 OneDrive에 저장합니다.
Windows 10 S에 사용으로 설정된 기능
Windows 10 S 모드는 앱에 대한 코드 무결성 정책, 하드웨어 및 인증의 조합을 사용하여 고객을 보호합니다. Windows 10 S는 Windows 하드웨어 개발자 센터 대시보드에서 Windows, WHQL, ELAM 또는 Store 인증서로 서명된 실행 코드만 실행합니다. 여기에는 드라이버를 위한 도우미 앱이 포함됩니다.
| 기능 | Windows 10 S | Windows 10 Home | Windows 10 Pro |
|---|---|---|---|
| 스토어 외의 앱 | 예 | 예 | |
| 온-프레미스 도메인 가입 | 예 | ||
| Azure AD 도메인 가입 | 예 | 예 | |
| Windows 스토어 앱(Win32 Centennial 앱 포함) | 예 | 네 | 예 |
| OneDrive 자동 설정 및 동기화, MSA 필요 | 예 | 구성 가능 | 구성 가능 |
| Microsoft 기본 앱 집합 | 예 | 구성 가능 | 구성 가능 |
| 비즈니스용 Windows 업데이트 | 예 | 예 | |
| 비즈니스용 Windows 스토어 | 예 | 예 | |
| MDM(모바일 디바이스 관리) | 예 | 제한됨 | 예 |
| BitLocker | 예 | 예 | |
| Azure AD를 사용하여 엔터프라이즈 상태 로밍 | 예 | 예 | |
| 공유 PC 구성 | 예 | 예 |
Windows 10 S 기본 최신 앱 구성
- 이메일: 메일
- Maps : Maps
- 사진 뷰어: 사진
- 검색: Bing
- 비디오 플레이어: 영화 및 TV
- 웹 브라우저: Edge
- OneDrive 문서, 사진 및 데스크톱이 자동으로 동기화되고 사용자에게 5GB의 표준 스토리지가 있도록 MSA 계정에 대해 자동으로 구성됩니다.
메모리 무결성 보호
메모리 무결성 은 Windows 10, Windows 11 및 Windows Server 2016 이상에서 사용할 수 있는 VBS(가상화 기반 보안) 기능입니다. 메모리 무결성 및 VBS는 Windows의 위협 모델을 개선하고 Windows 커널을 악용하려는 맬웨어에 대해 더 강력한 보호를 제공합니다. VBS는 Windows 하이퍼바이저를 사용하여 커널이 손상될 수 있다고 가정하는 OS의 신뢰 루트가 되는 격리된 가상 환경을 만듭니다. 메모리 무결성은 VBS의 격리된 가상 환경 내에서 커널 모드 코드 무결성을 실행하여 Windows를 보호하고 강화하는 중요한 구성 요소입니다. 또한 메모리 무결성은 시스템을 손상시키는 데 사용할 수 있는 커널 메모리 할당을 제한하므로 보안 런타임 환경 내에서 코드 무결성 검사 전달한 후에만 커널 메모리 페이지가 실행 가능하도록 하고 실행 파일 페이지 자체는 쓰기가 불가능합니다.
참고 항목
메모리 무결성은 HVCI(하이퍼바이저로 보호된 코드 무결성) 또는 하이퍼바이저 적용 코드 무결성이라고도 하며 원래 Device Guard의 일부로 릴리스되었습니다. Device Guard는 그룹 정책 또는 Windows 레지스트리에서 메모리 무결성 및 VBS 설정을 찾는 것 외에는 더 이상 사용되지 않습니다.
메모리 무결성 사용 설정에 설명 된 대로 호환 되는 하드웨어에 S 모드에서 Windows 10 및 Windows 11의 클린 설치에 기본적으로 메모리 무결성이 설정 됩니다. 메모리 무결성 자동 사용 요구 사항을 충족하지 않는 다른 시스템에서 고객은 메모리 무결성을 사용하도록 설정하는 방법에 설명된 방법을 사용하여 옵트인할 수 있습니다.
메모리 무결성으로 보호되는 커널 모드 코드 무결성은 커널에서 서명되지 않거나 잘못 서명된 이진 파일의 실행을 방지합니다. 지원되지 않는 이진 파일 사용은 랩 또는 팩터리 이미지 사용자 지정 중 또는 실행 환경이 WinPE 또는 감사 모드인 배포 중에만 수행해야 합니다.
자세한 내용은 메모리 무결성 및 가상화 기반 보안을 참조 하세요.
사용자 모드 코드 무결성 정책
S 모드의 Windows 10은 CI(사용자 모드 코드 무결성)를 적용하는 정책을 사용하여 구현됩니다. 시스템에서 CI 정책을 사용하도록 설정하면 다음 두 위치에서 사용하도록 설정됩니다.
- Windows 10 S, 부팅 시 적용
- UEFI 펌웨어 정책, 펌웨어 로드 및 OS 부팅 중 적용
서명된 드라이버 및 Windows 10 S
Windows 10 S에 대해서는 드라이버 서명이 다릅니다. Windows 10 S에 설치하려면 드라이버 패키지가 다음 요구 사항을 충족해야 합니다.
- 드라이버 패키지는 Windows 하드웨어 개발자 센터 대시보드의 Windows, WHQL, ELAM 또는 스토어 인증서로 디지털 서명되어야 합니다.
- 컴패니언 소프트웨어는 Microsoft Store 인증서로 서명해야 합니다.
- 서명되지 않은 이진 파일을 추출하는 드라이버 패키지에 *.exe, *.zip, *.msi 또는 *.cab을 포함하지 않습니다.
- 드라이버는 INF 지시문을 사용하여 설치합니다.
- 드라이버는 차단된 받은 편지함 구성 요소를 호출하지 않습니다.
- 드라이버에는 사용자 인터페이스 구성 요소, 앱 또는 설정이 포함되지 않습니다. 대신 Microsoft Store의 유니버설 애플리케이션을 사용합니다. 예를 들면 다음과 같습니다.
- 하드웨어 지원 앱
- UWP 장치 앱
- Centennial 앱
- 드라이버 및 펌웨어 서비스에는 업데이트 앱이 아닌 Windows 업데이트가 사용됩니다.
자세한 내용은 Windows 10 S 드라이버 요구 사항 및 Windows 업데이트에 드라이버 게시를 참조하세요.
지원되지 않는 기능
Windows 10 S는 스토어에 없는 앱을 허용하지 않습니다. 두 번째 제한 사항은 Windows 10 S가 온-프레미스 도메인 가입을 허용하지 않는다는 것입니다. 또한 일부 Windows 사용자 지정 및 일부 앱은 지원되지 않습니다. 자세한 내용은 Windows 10 S 배포 계획을 참조하십시오.
다음 구성 요소는 Windows 10 S에서 실행되지 않도록 차단됩니다. 이러한 차단된 구성 요소 중 하나를 호출하는 모든 스크립트 또는 애플리케이션이 차단됩니다. 제조 프로세스에서 차단된 구성 요소에 의존하는 스크립트 또는 애플리케이션을 사용하는 경우 구성 및 테스트를 위해 일시적으로 제조 모드를 사용하도록 설정할 수 있지만 제조 모드가 사용하도록 설정된 PC는 배송할 수 없습니다.
- bash.exe
- cdb.exe
- cmd.exe
- cscript.exe
- csi.exe
- dnx.exe
- kd.exe
- lxsmanager.dll
- Msbuild.exe
- ntsd.exe
- powershell.exe
- powershell_ise.exe
- rcsi.exe
- reg.exe
- regedt32.exe
- windgb.exe
- wmic.exe
- wscript.exe