PCs de núcleo seguro do Windows 11
A Microsoft trabalha em estreita colaboração com parceiros OEM para ajudar a garantir que todos os sistemas Windows certificados entreguem um ambiente operacional seguro. O Windows se integra estreitamente ao hardware para entregar proteções que aproveitam as funcionalidades disponíveis do hardware:
- Linha de base de segurança do Windows: linha de base recomendada para todos os sistemas individuais que fornecem proteções fundamentais para a integridade do sistema. Aproveita o TPM 2.0 para uma raiz de confiança de hardware, inicialização segura e criptografia de unidade do BitLocker.
- Segurança baseada em virtualização habilitada: aproveita as funcionalidades de virtualização do hardware e do hipervisor para fornecer proteção adicional aos subsistemas e dados críticos.
- Núcleo Seguro: recomendado para sistemas e setores mais sensíveis, como o financeiro, o de saúde e o de agências governamentais. Cria a partir das camadas anteriores e aproveita as funcionalidades avançadas do processador para fornecer proteção contra ataques de firmware.
PCs com núcleo seguro
A Microsoft está trabalhando em estreita colaboração com parceiros OEM e fornecedores de silício para a criação de PCs com núcleo Seguro, que apresentam hardware, firmware e software profundamente integrados para garantir uma segurança aprimorada para dispositivos, identidades e dados.
Os PCs com núcleo Seguro fornecem proteções úteis contra ataques sofisticados e podem fornecer maior garantia ao lidar com dados críticos em alguns dos setores mais sensíveis a dados, como profissionais da área de saúde que lidam com registros médicos e outras informações de identificação pessoal (PII), funções comerciais que lidam com dados altamente sensíveis e de alto impacto nos negócios, como um controlador financeiro com dados de ganhos.
Para laptops de uso geral, tablets, 2 em 1, estações de trabalho móveis e desktops, a Microsoft recomenda o uso de linhas de base de segurança para uma configuração ideal. Para obter mais informações, confira Linhas de base de segurança do Windows.
A linha de base de segurança do Windows tem suporte para Inicialização Segura, criptografia de dispositivo Bitlocker, Microsoft Defender, Windows Hello e um chip TPM 2.0 para fornecer uma raiz de confiança de hardware para a plataforma do SO. Esses recursos foram projetados para proteger os dispositivos modernos de uso geral. Se você for um tomador de decisões na compra de novos dispositivos, seus aparelhos deverão atender aos requisitos da linha de base de segurança do Windows.
O que torna um PC com núcleo Seguro
| Benefício | Recurso | Requisito de hardware/firmware | Linha de base de Segurança do Windows | PCs com núcleo seguro |
|---|---|---|---|---|
| Criar uma raiz de confiança com suporte de hardware | ||||
| Inicialização Segura | A inicialização segura está habilitada no BIOS por padrão. | ✅ | ✅ | |
| Inicialização Segura | Confiança padrão somente para carregadores de inicialização da Microsoft, com a opção BIOS para habilitar a confiança para carregadores de inicialização que não são da Microsoft | ✅ | ||
| Trusted Platform Module 2.0 (TPM) | Atende aos requisitos mais recentes da Microsoft para a especificação do Trusted Computing Group (TCG) | ✅ | ✅ | |
| Proteção de Acesso Direto à Memória (DMA) | O dispositivo dá suporte para a Proteção de Acesso Direto à Memória (proteção DMA do kernel) | ✅ | ✅ | |
| Defender contra ataques de nível de firmware (qualquer uma das 2 abordagens especificadas pode ser utilizada) | Inicialização Segura do Microsoft Defender System Guard (D-RTM) com isolamento do System Management Mode (SMM) | Habilitado no dispositivo (por meio da Inicialização Segura) | ✅ | ✅ |
| S-RTM e MM autônomo com o supervisor MM (a abordagem implementada em dispositivos FASR) | Com suporte para dispositivos que têm o firmware FASR | ✅ | ||
| Proteger o sistema operacional contra a execução de código não verificado | Integridade do Código do Hipervisor (HVCI) | Habilitado no dispositivo | ✅ | ✅ |
| Fornece proteção e verificação de identidade avançadas | Windows Hello com Segurança de Entrada Avançada (ESS) | Um dispositivo com Windows Hello com ESS estará habilitado se tiver os componentes internos de hardware do ESS para autenticação facial ou impressão digital e o suporte necessário no BIOS | ✅* | ✅ |
| Proteja dados críticos se um dispositivo for perdido, roubado ou confiscado | Criptografia de BitLocker | O BitLocker pode aproveitar o TPM 2.0 para criptografar e proteger dados | ✅ | ✅ |
*Só é possível em dispositivos que tenham sensores internos de detecção facial ou impressão digital para entrar com a biometria do Windows Hello.