Considerações de segurança para fabricantes de equipamento original
Como OEM (fabricante de equipamento original), você tem uma oportunidade exclusiva de aumentar a eficácia das medidas de segurança disponíveis para os clientes. Os clientes desejam e precisam da capacidade de proteger dispositivos. Os recursos de segurança do Windows 10 são criados com base em hardware e firmware habilitados para segurança. É aí que você entra. Para oferecer um diferencial aos dispositivos ou vender no espaço Enterprise, você pode fornecer os aprimoramentos de hardware mais recentes, com os quais a segurança do Windows 10 pode ser configurada.
Profissionais de TI: para saber mais sobre esses recursos, incluindo como implantá-los na empresa, confira Segurança do dispositivo e Controlar a integridade de dispositivos baseados no Windows 10.
Windows 10 S
O Windows 10 S é uma configuração específica do Windows 10 Pro que oferece uma experiência familiar do Windows simplificada para segurança e desempenho. O Windows 10 S oferece o melhor da nuvem e aplicativos completos e foi projetado para dispositivos modernos. O Microsoft Defender está sempre ativo e atualizado.
O Windows 10 S só executará aplicativos verificados na Loja e drivers verificados do Windows Update. O Windows 10 S fornece suporte ao Azure Active Directory e, quando emparelhado com o MSA ou o Intune para Educação, o Windows 10 S armazena arquivos no OneDrive por padrão.
OEMs: para obter mais informações sobre o Windows 10 S, confira Recursos e requisitos de segurança do Windows 10 S para OEMs.
Criptografia do Dispositivo BitLocker
A criptografia de dispositivo BitLocker é um conjunto de recursos habilitado por um OEM fornecendo o conjunto certo de hardware nos dispositivos vendidos. Sem a configuração de hardware adequada, a criptografia do dispositivo não é habilitada. Com as configurações de hardware corretas, o Windows 10 criptografa um dispositivo automaticamente.
OEMs: para saber mais sobre o BitLocker, confira Criptografia de Unidade de Disco BitLocker no Windows 10 para OEMs.
Inicialização Segura
A Inicialização Segura é um padrão de segurança desenvolvido por membros do mercado de computadores para assegurar que o computador seja iniciado usando apenas o software de confiança do fabricante. Quando o computador é iniciado, o firmware verifica a assinatura de cada parte do software de inicialização, incluindo drivers de firmware (ROMs de opção), aplicativos EFI e o sistema operacional. Se as assinaturas forem válidas, o computador será inicializado e o firmware dará controle ao sistema operacional.
OEMs: para saber mais sobre os requisitos de Inicialização Segura para OEMs, confira Inicialização Segura.
Trusted Platform Module (TPM) 2.0
A tecnologia TPM foi desenvolvida para fornecer funções relacionadas à segurança com base em hardware. Chip TPM é um processador de criptografia segura que ajuda em ações como gerar, armazenar e limitar o uso de chaves de criptografia. O chip inclui vários mecanismos de segurança física para torná-lo resistente a adulterações nas funções de segurança do TPM por software mal-intencionado.
Observação
Desde 28 de julho de 2016, todos os novos modelos, linhas ou séries de dispositivos (ou as atualizações importantes de configuração de hardware de modelo, linha ou série existente, como CPU e placas gráficas) precisam implementar e habilitar por padrão o TPM 2.0 (detalhes na seção 3.7 da página Requisitos mínimos de hardware). O requisito para habilitar o TPM 2.0 aplica-se somente à fabricação de novos dispositivos.
OEMs: para obter mais informações, confira Requisitos de hardware do TPM (Trusted Platform Module) 2.0.
Profissionais de TI: para entender como o TPM funciona em sua empresa, confira Trusted Platform Module
Requisitos da UEFI (Unified Extensible Firmware Interface)
A UEFI é uma substituição da interface de firmware de BIOS mais antiga. Quando os dispositivos são iniciados, a interface de firmware controla o processo de inicialização do computador e depois passa o controle para o Windows ou outro sistema operacional. A UEFI habilita recursos de segurança, como Inicialização Segura e unidades criptografadas de fábrica que ajudam a impedir que um código não confiável seja executado antes que o sistema operacional seja carregado. Do Windows 10, versão 1703, em diante, a Microsoft requer a especificação UEFI versão 2.3.1c. Para saber mais sobre os requisitos de UEFI para OEM, confira Requisitos de firmware da UEFI.
OEMs: para saber mais sobre o que você precisa fazer para dar suporte a drivers UEFI, confira UEFI no Windows.
Segurança com Base em virtualização (VBS)
Os recursos de segurança baseados em hardware, também chamados de segurança baseada em virtualização ou VBS, fornecem isolamento do kernel seguro em relação ao sistema operacional normal. Vulnerabilidades e dia zero no sistema operacional normal não podem ser explorados por causa desse isolamento.
OEMs: para obter mais informações sobre os requisitos de hardware de VBS, confira Requisitos de hardware de VBS (Segurança baseada em virtualização).
Microsoft Defender Application Guard
O Application Guard ajuda a isolar sites não confiáveis definidos pela empresa, protegendo-a enquanto os funcionários navegam na Internet.
Se você estiver vendendo dispositivos para clientes empresariais, é melhor fornecer um hardware com suporte aos recursos de segurança de que as empresas precisam.
OEMs: para saber mais sobre os requisitos de hardware do Microsoft Defender Application Guard, confira Requisitos de hardware do Microsoft Defender Application Guard.
Microsoft Defender Credential Guard
O Credential Guard usa a segurança baseada em virtualização para isolar e proteger segredos (por exemplo, hashes de senha NTLM e tíquetes de concessão de tíquetes Kerberos) para bloquear ataques pass-the-hash ou pass-the-ticket.
OEMs: para saber mais sobre os requisitos de hardware do Microsoft Defender Credential Guard, confira Requisitos de hardware do Microsoft Defender Credential Guard.
Profissionais de TI: para saber como configurar e implantar o Microsoft Defender Credential Guard na empresa, confira Proteger credenciais de domínio derivadas com o Microsoft Defender Credential Guard.
O Hypervisor-Protected Code Integrity é uma combinação de recursos de segurança de hardwares e softwares empresariais que, quando configurados juntos, bloquearão um dispositivo para que ele possa executar apenas os aplicativos confiáveis definidos nas políticas de integridade de código.
Do Windows 10, 1703, em diante os recursos do Microsoft Defender Device Guard foram agrupados em dois novos recursos: Microsoft Defender Exploit Guard e Microsoft Defender Application Control. Quando ambos forem habilitados, o Hypervisor-Protected Code Integrity será habilitado.
OEMs: para obter mais informações sobre os requisitos de hardware do Hypervisor-Protected Code Integrity, confira VBS (Segurança baseada em virtualização).
Profissionais de TI: para saber como implantar o Hypervisor-Protected Code Integrity na empresa, confira Requisitos e diretrizes de planejamento de implantação do Hypervisor-Protected Code Integrity.
Proteção contra DMA do kernel
Os recursos de segurança baseados em hardware, também chamados de Proteção de Acesso à Memória, fornecem isolamento e proteção contra ataques de DMA mal-intencionados durante o processo de inicialização e durante o tempo de execução do sistema operacional.
OEMs: para obter mais informações sobre os requisitos da plataforma de Proteção contra DMA do Kernel, confira Proteção contra DMA do kernel para OEMs.
Desenvolvedores de driver: para obter mais informações sobre a Proteção contra DMA do kernel e drivers compatíveis com remapeamento de DMA, confira Habilitar o remapeamento de DMA para drivers de dispositivo.
Profissionais de TI: para saber mais sobre as políticas e a experiência do usuário de Proteção contra DMA do kernel, confira Proteção contra DMA do kernel.
Windows Hello
O Microsoft Windows Hello oferece aos usuários uma experiência pessoal e segura em que o dispositivo é autenticado com base na presença do usuário. Os usuários podem fazer logon com um olhar ou toque, sem necessidade de uma senha. Em conjunto com o Microsoft Passport, a autenticação biométrica usa impressões digitais ou reconhecimento facial e é mais segura, mais pessoal e mais conveniente.
Para obter informações sobre como Windows Hello funciona com o Companion Device Framework, confira Windows Hello e o Companion Device Framework.
Para obter informações sobre requisitos de biometria para dar suporte ao Windows Hello, confira Requisitos de biometria do Windows Hello.
Para obter informações de como funciona a autenticação facial, confira Autenticação facial do Windows Hello.