Поделиться через


Функции и требования безопасности Windows 10 S для изготовителей оборудования

Windows 10 S — это конкретная конфигурация Windows 10 Pro, которая предлагает знакомый интерфейс Windows, оптимизированный для обеспечения безопасности и производительности. Windows 10 S предоставляет лучшие из облачных и полнофункционированных приложений и предназначен для современных устройств. Microsoft Defender всегда в актуальном состоянии.

Windows 10 S будет запускать только проверенные приложения из Магазина и проверенные драйверы из Обновл. Windows. Windows 10 S поддерживает Azure Active Directory, а при паре с MSA или Intune для образования Windows 10 S по умолчанию сохраняет файлы в OneDrive.

Функции, включенные для Windows 10 S

Режим S Windows 10 защищает клиентов с помощью сочетания политик целостности кода, оборудования и сертификации для приложений. Windows 10 S будет запускать только исполняемый код, подписанный с помощью сертификата Windows, WHQL, ELAM или Store на панели мониторинга Центра разработчиков оборудования Windows. К ним относятся приложения-компаньоны для драйверов.

Функции Windows 10 S Windows 10 Домашняя Windows 10 Профессиональная
Приложения, отличные от магазина Да Да
Присоединение к домену в локальной среде Да
Присоединение к домену Azure AD Да Да
Приложения Магазина Windows (включая приложения Win32 centennial) Да Да Да
Автоматическая настройка и синхронизация OneDrive; Требуется MSA Да Конфигурируемый Конфигурируемый
Набор приложений майкрософт по умолчанию Да Конфигурируемый Конфигурируемый
Центр обновления Windows для бизнеса Да Да
Магазин Windows для бизнеса Да Да
Управление мобильными устройствами (MDM) Да ограниченного Да
BitLocker Да Да
Перемещение состояния предприятия с помощью Azure AD Да Да
Конфигурация общего компьютера Да Да

Современная конфигурация приложений windows 10 S по умолчанию

  • Электронная почта: Почта
  • Карты : Карты
  • Средство просмотра фотографий : Фотографии
  • Поиск: Bing
  • Видеопроигрыватель: Фильмы и телевизор
  • Веб-браузер: Edge
  • OneDrive автоматически настраивается для учетных записей MSA, чтобы документы, фотографии и рабочий стол автоматически синхронизирулись, а пользователь имеет 5 ГБ стандартного хранилища.

Защита целостности памяти

Целостность памяти — это функция безопасности на основе виртуализации (VBS), доступная в Windows 10, Windows 11 и Windows Server 2016 или более поздней версии. Целостность памяти и VBS улучшают модель угроз Windows и обеспечивают более надежную защиту от вредоносных программ, пытающихся использовать ядро Windows. VBS использует гипервизор Windows для создания изолированной виртуальной среды, которая становится корнем доверия ОС, предполагающей, что ядро может быть скомпрометировано. Целостность памяти — это критически важный компонент, который защищает и защищает Windows путем выполнения целостности кода в режиме ядра в изолированной виртуальной среде VBS. Целостность памяти также ограничивает выделение памяти ядра, которое может использоваться для компрометации системы, гарантируя, что страницы памяти ядра выполняются только после передачи целостности кода проверка внутри безопасной среды выполнения, и исполняемые страницы сами никогда не записываются.

Примечание.

Целостность памяти иногда называется целостностью кода, защищенной гипервизором (HVCI) или гипервизором, принудительной целостностью кода и первоначально выпущена в составе Device Guard. Device Guard больше не используется, кроме того, чтобы найти параметры целостности памяти и VBS в групповой политике или реестре Windows.

Целостность памяти включена по умолчанию для чистых установок Windows 10 в режиме S и Windows 11 на совместимом оборудовании, как описано в включении целостности памяти. В других системах, которые не соответствуют требованиям автоматической включения целостности памяти, клиенты могут использовать любой из методов, описанных в том, как включить целостность памяти.

Целостность кода в режиме ядра, защищенная целостностью памяти, предотвращает выполнение неподписанных или неправильно подписанных двоичных файлов в ядре. Использование неподдерживаемых двоичных файлов должно выполняться только во время настройки образа лаборатории или фабрики или во время развертывания, где среда выполнения — WinPE или режим аудита.

Дополнительные сведения см. в разделе "Целостность памяти" и безопасность на основе виртуализации

Политика целостности кода в пользовательском режиме

Windows 10 в режиме S реализуется с помощью политики, которая обеспечивает целостность кода пользовательского режима (CI). После включения политики CI в системе она включена в двух местах:

  • Windows 10 S, примененный при загрузке
  • Политика встроенного ПО UEFI, примененная во время загрузки встроенного ПО и загрузки ОС

Подписанные драйверы и Windows 10 S

Подписывание драйверов отличается для Windows 10 S. Чтобы установить в Windows 10 S, пакеты драйверов должны соответствовать следующим требованиям:

  • Пакеты драйверов должны быть цифрово подписаны с помощью сертификата Windows, WHQL, ELAM или Store на панели мониторинга Центра разработчиков оборудования Windows.
  • Программное обеспечение-компаньон должно быть подписано с помощью сертификата Microsoft Store.
  • Не включает файл *.exe, *.zip, *.msi или *.cab в пакет драйвера, который извлекает неподписанные двоичные файлы.
  • Драйвер устанавливает только директивы INF.
  • Драйвер не вызывает заблокированные компоненты папки "Входящие".
  • Драйверы не включают какие-либо компоненты пользовательского интерфейса, приложения или параметры. Вместо этого используйте универсальные приложения из Microsoft Store, например:
    • Приложения поддержки оборудования
    • Приложения устройств UWP
    • Приложения centennial
    • Обслуживание драйверов и встроенного ПО использует Обновл. Windows, а не приложение для обновления.

Дополнительные сведения см. в статье "Требования к драйверу Windows 10 S" и публикация драйвера в Обновл. Windows.

Что не поддерживается

Windows 10 S не разрешает приложения, не имеющиеся в Магазине. Второе ограничение заключается в том, что Windows 10 S не разрешает присоединение к локальному домену. Кроме того, некоторые настройки Windows и некоторые приложения не поддерживаются. Дополнительные сведения см. в статье "Планирование развертывания Windows 10 S"

Следующие компоненты заблокированы для работы в Windows 10 S. Любой скрипт или приложение, вызывающее один из этих заблокированных компонентов, будет заблокирован. Если в производственном процессе используются скрипты или приложения, использующие заблокированные компоненты, можно временно включить производственный режим для настройки и тестирования, но вы не можете отправить компьютер с включенным производственным режимом.

  • bash.exe
  • cdb.exe
  • cmd.exe
  • Cscript.exe
  • csi.exe
  • dnx.exe
  • kd.exe
  • lxsmanager.dll
  • Msbuild.exe
  • ntsd.exe
  • powershell.exe
  • powershell_ise.exe
  • rcsi.exe
  • reg.exe
  • regedt32.exe
  • windgb.exe
  • wmic.exe
  • wscript.exe