Компьютеры с защищенными ядрами Windows 11
Корпорация Майкрософт тесно сотрудничает с партнерами OEM, чтобы гарантировать, что все сертифицированные системы Windows обеспечивают безопасную операционную среду. Windows тесно интегрируется с оборудованием для обеспечения защиты, которые используют доступные аппаратные возможности:
- Базовая безопасность Windows — рекомендуемый базовый план для всех отдельных систем, которые обеспечивают базовую защиту целостности системы. Использует TPM 2.0 для аппаратного корня доверия, безопасной загрузки и шифрования диска BitLocker.
- Включена безопасность на основе виртуализации. Использует возможности виртуализации из оборудования и гипервизора, чтобы обеспечить дополнительную защиту критически важных подсистем и данных.
- Secured-core — рекомендуется для наиболее чувствительных систем и отраслей, таких как финансовые, медицинские и государственные учреждения. Строится на предыдущих уровнях и использует расширенные возможности процессора для защиты от атак встроенного ПО.
Компьютеры с защищенными ядрами
Корпорация Майкрософт тесно сотрудничает с партнерами OEM и поставщиками силиконов для создания компьютеров Secured-core, которые предоставляют глубоко интегрированные оборудование, встроенное ПО и программное обеспечение, чтобы обеспечить повышенную безопасность устройств, удостоверений и данных.
Защищенные компьютеры обеспечивают защиту, которая полезна для сложных атак и может обеспечить повышенную уверенность при обработке критически важных данных в некоторых из наиболее конфиденциальных данных, таких как медицинские работники, которые обрабатывают медицинские записи и другие личные данные (PII), коммерческие роли, которые обрабатывают высокие бизнес-последствия и высокочувствительные данные, такие как финансовый контроллер с данными о доходах.
Для ноутбуков общего назначения, планшетов, 2-in-1, мобильных рабочих станций и настольных компьютеров корпорация Майкрософт рекомендует использовать базовые показатели безопасности для оптимальной настройки. Дополнительные сведения см. в разделе "Базовые показатели безопасности Windows".
Базовая безопасность Windows поддерживается безопасной загрузкой, шифрованием устройств Bitlocker, Microsoft Defender, Windows Hello и микросхемой TPM 2.0 для обеспечения доверия аппаратного корня для платформы ОС. Эти функции предназначены для защиты современных устройств общего назначения. Если вы являетесь разработчиком решений, приобретая новые устройства, устройства должны соответствовать базовым требованиям безопасности Windows.
Что делает компьютер с защищенным ядром
| Преимущества | Компонент | Требование к оборудованию и встроенному ПО | Базовые Безопасность Windows | Компьютеры с защищенными ядрами |
|---|---|---|---|---|
| Создание аппаратного корневого каталога доверия | ||||
| Безопасная загрузка | Безопасная загрузка включена в BIOS по умолчанию. | ✅ | ✅ | |
| Безопасная загрузка | Доверие по умолчанию только для загрузчиков Майкрософт с параметром BIOS для включения доверия для загрузчиков, отличных от Майкрософт | ✅ | ||
| Доверенный платформенный модуль 2.0 (TPM) | Соответствие последним требованиям Майкрософт для спецификации доверенной вычислительной группы (TCG) | ✅ | ✅ | |
| Защита прямого доступа к памяти (DMA) | Устройство поддерживает защиту доступа к памяти (защита от ядра DMA) | ✅ | ✅ | |
| Защита от атак на уровне встроенного ПО (можно использовать любой из указанных 2 подходов) | Безопасный запуск System Guard (D-RTM) с изоляцией режима управления системой (SMM) | Включена на устройстве (с помощью безопасного запуска) | ✅ | ✅ |
| S-RTM и автономный ММ с руководителем MM (подход, реализованный на устройствах FASR) | Поддерживается на устройствах с встроенного ПО FASR | ✅ | ||
| Защита ОС от выполнения непроверенного кода | Целостность кода гипервизора (HVCI) | Включено на устройстве | ✅ | ✅ |
| Обеспечение расширенной проверки подлинности и защиты | Windows Hello с расширенной безопасностью входа (ESS) | Устройство с Windows Hello с ESS включено, если у него есть встроенные компоненты ESS для проверки подлинности лиц или отпечатков пальцев, а также необходимая поддержка в BIOS | ✅* | ✅ |
| Защита критически важных данных, если устройство потеряно, украдено или конфисковано | шифрование BitLocker; | BitLocker может использовать TPM 2.0 для шифрования и защиты данных | ✅ | ✅ |
*Возможно только на устройствах с встроенными датчиками распознавания лиц или отпечатков пальцев Windows Hello биография метрических метрик.