Compartilhar via


Requisitos e recursos de segurança do Windows 10 S para OEMs

O Windows 10 S é uma configuração específica do Windows 10 Pro que oferece uma experiência familiar do Windows simplificada para segurança e desempenho. O Windows 10 S oferece o melhor da nuvem e aplicativos completos e foi projetado para dispositivos modernos. O Microsoft Defender está sempre ativo e atualizado.

O Windows 10 S só executará aplicativos verificados na Loja e drivers verificados do Windows Update. O Windows 10 S fornece suporte ao Azure Active Directory e, quando emparelhado com o MSA ou o Intune para Educação, o Windows 10 S armazena arquivos no OneDrive por padrão.

Recursos habilitados para Windows 10 S

Windows 10 Modo S protege os clientes usando uma combinação de políticas de integridade de código, hardware e certificação para aplicativos. Windows 10 S executará apenas o código executável assinado com um certificado Windows, WHQL, ELAM ou Store do Painel do Windows Hardware Developer Center. Isso inclui aplicativos complementares para drivers.

Recursos Windows 10 S Windows 10 Home Windows 10 Pro
Aplicativos que não são da loja Sim Sim
Ingresso no domínio local Sim
Azure AD ingresso no domínio Sim Sim
Aplicativos da Windows Store (incluindo aplicativos centenários win32) Sim Sim Sim
Configuração e sincronização automáticas do OneDrive; Requer MSA Sim Configurável Configurável
Conjunto de aplicativos padrão da Microsoft Sim Configurável Configurável
Windows Update para empresas Sim Sim
Windows Store para empresas Sim Sim
Gerenciamento de Dispositivos Móveis (MDM) Sim Limitado Sim
BitLocker Sim Sim
Roaming de estado empresarial com Azure AD Sim Sim
Configuração do computador compartilhado Sim Sim

configuração de aplicativo moderna padrão do Windows 10 S

  • Email: Email
  • Mapas: mapas
  • Visualizador de fotos: Fotos
  • Pesquisa: Bing
  • Player de vídeo: Movies & TV
  • Navegador da Web: Edge
  • O OneDrive foi configurado automaticamente para contas MSA para que documentos, Fotos e Área de Trabalho sejam sincronizados automaticamente e o usuário tenha 5 GB de armazenamento padrão.

Proteção de integridade de memória

A integridade da memória é um recurso de VBS (segurança baseada em virtualização) disponível em Windows 10, Windows 11 e Windows Server 2016 ou superior. A integridade da memória e o VBS melhoram o modelo de ameaça do Windows e fornecem proteções mais fortes contra malware que tenta explorar o kernel do Windows. A VBS usa o hipervisor do Windows para criar um ambiente virtual isolado que se torna a raiz de confiança do sistema operacional que pressupõe que o kernel pode ser comprometido. A integridade da memória é um componente crítico que protege e protege o Windows executando a integridade do código do modo kernel no ambiente virtual isolado do VBS. A integridade da memória também restringe as alocações de memória do kernel que podem ser usadas para comprometer o sistema, garantindo que as páginas de memória do kernel só sejam executadas depois de passar em verificações de integridade de código dentro do ambiente de runtime seguro e as próprias páginas executáveis nunca sejam graváveis.

Observação

Às vezes, a integridade da memória é conhecida como HVCI (integridade de código protegida por hipervisor) ou integridade de código imposta pelo hipervisor e foi originalmente lançada como parte do Device Guard. O Device Guard não é mais usado, exceto para localizar a integridade da memória e as configurações de VBS no Política de Grupo ou no Registro do Windows.

A integridade da memória é ativada por padrão em limpo instalações de Windows 10 no modo S e Windows 11 em hardware compatível, conforme descrito na habilitação de integridade da memória. Em outros sistemas que não atendem aos requisitos de habilitação automática de integridade de memória, os clientes podem aceitar o uso de qualquer um dos métodos descritos em como habilitar a integridade da memória.

A integridade do código do modo kernel, protegida pela integridade da memória, impede a execução de binários sem sinal ou assinados incorretamente no kernel. O uso de binários sem suporte só deve ser feito durante a personalização de imagem de laboratório ou de fábrica ou durante a implantação em que o ambiente de execução é o WinPE ou o Modo de Auditoria.

Para obter mais informações, consulte Integridade da memória e segurança baseada em virtualização

Política de integridade de código do modo de usuário

Windows 10 no modo S é implementado usando uma política que impõe a CI (integridade de código) do modo de usuário. Depois que a política de CI estiver habilitada em um sistema, ela será habilitada em dois locais:

  • Windows 10 S, imposto na inicialização
  • Política de firmware uefi, imposta durante a carga de firmware e inicialização do sistema operacional

Drivers assinados e Windows 10 S

A assinatura do driver é diferente para Windows 10 S. Para instalar no Windows 10 S, os pacotes de driver devem atender aos seguintes requisitos:

  • Os pacotes de driver devem ser assinados digitalmente com um certificado Windows, WHQL, ELAM ou Store do Painel do Windows Hardware Developer Center.
  • O software complementar deve ser assinado com um Certificado da Microsoft Store.
  • Não inclui um *.exe, *.zip, *.msi ou *.cab no pacote de driver que extrai binários sem sinal.
  • O driver é instalado usando apenas diretivas INF.
  • O driver não chama componentes de caixa de entrada bloqueados.
  • Os drivers não incluem componentes, aplicativos ou configurações da interface do usuário. Em vez disso, use aplicativos Universais da Microsoft Store, por exemplo:
    • Aplicativos de suporte de hardware
    • Aplicativos de dispositivo UWP
    • Aplicativos Centenniais
    • A manutenção de driver e firmware usa Windows Update e não um aplicativo atualizador.

Para obter mais informações, consulte Windows 10 Requisitos de Driver S e Publicar um driver para Windows Update.

O que não tem suporte

Windows 10 S não permite nenhum aplicativo que não esteja na Loja. Uma segunda limitação é que Windows 10 S não permite junções de domínio local. Além disso, não há suporte para algumas personalizações do Windows e alguns aplicativos. Para obter mais informações, consulte Planejando uma implantação do Windows 10 S

Os componentes a seguir são impedidos de serem executados no Windows 10 S. Qualquer script ou aplicativo que chame um desses componentes bloqueados será bloqueado. Se o processo de fabricação usar scripts ou aplicativos que dependem de componentes bloqueados, você poderá habilitar temporariamente o modo de fabricação para configurar e testar, mas não poderá enviar um computador com o modo de fabricação habilitado.

  • bash.exe
  • cdb.exe
  • cmd.exe
  • cscript.exe
  • csi.exe
  • dnx.exe
  • kd.exe
  • lxsmanager.dll
  • msbuild.exe
  • ntsd.exe
  • powershell.exe
  • powershell_ise.exe
  • rcsi.exe
  • reg.exe
  • regedt32.exe
  • windgb.exe
  • wmic.exe
  • wscript.exe