Вопросы безопасности для изготовителей оборудования

Как изготовитель оборудования (OEM) вы имеете уникальную возможность повлиять на эффективность мер безопасности, доступных для ваших клиентов. Клиенты хотят и нуждаются в возможности защиты своих устройств. Windows 10 функции безопасности основаны на оборудовании и встроенном ПО с поддержкой безопасности. Вот где ты войдешь. Чтобы предоставить отличия для ваших устройств или продавать в корпоративном пространстве, необходимо предоставить последние усовершенствования оборудования, с помощью которых Windows 10 можно настроить для обеспечения безопасности.

ИТ-специалисты: Дополнительные сведения об этих функциях, включая их развертывание на предприятии, см. в статье Безопасность устройств и управление работоспособностью устройств на основе Windows 10.

Windows 10 S

Windows 10 S — это особая конфигурация Windows 10 Pro, которая предлагает знакомый интерфейс Windows, оптимизированный для обеспечения безопасности и производительности. Windows 10 S предоставляет лучшие облачные и полнофункционированные приложения и предназначен для современных устройств. Microsoft Defender всегда включена и всегда актуальна.

Windows 10 S будет запускать только проверенные приложения из Магазина и проверенные драйверы из клиентский компонент Центра обновления Windows. Windows 10 S поддерживает Azure Active Directory, а при связывании с MSA или Intune для образовательных учреждений Windows 10 S по умолчанию сохраняет файлы в OneDrive.

Изготовители оборудования: Дополнительные сведения о Windows 10 S см. в статье Функции безопасности и требования Windows 10 S для изготовителей оборудования.

Шифрование устройства с помощью BitLocker

Шифрование устройства BitLocker — это набор функций, включенных изготовителем оборудования путем предоставления правильного набора оборудования на продаваемых устройствах. Без надлежащей конфигурации оборудования шифрование устройства не включено. При правильной конфигурации оборудования Windows 10 автоматически шифрует устройство.

Изготовители оборудования: Дополнительные сведения о BitLocker см. в статье Шифрование диска BitLocker в Windows 10 для изготовителей оборудования.

Безопасная загрузка

Безопасная загрузка — это стандарт безопасности, разработанный представителями отрасли компьютеров, чтобы гарантировать, что компьютер загружается только с помощью программного обеспечения, которому доверяет изготовитель компьютера. При запуске компьютера встроенное ПО проверяет сигнатуру каждого компонента загрузочного программного обеспечения, включая драйверы встроенного ПО (дополнительные ПЗУ), приложения EFI и операционную систему. Если сигнатуры действительны, компьютер загружается, а встроенное ПО предоставляет управление операционной системе.

Изготовители оборудования: Дополнительные сведения о требованиях к безопасной загрузке для изготовителей оборудования см. в статье Безопасная загрузка.

доверенный платформенный модуль (TPM) 2.0;

Технология доверенных платформенных модулей (TPM) предназначена для предоставления аппаратных функций, связанных с безопасностью. Микросхема TPM — это надежный криптографический процессор, который позволяет создавать, хранить и ограничивать использование криптографических ключей. Микросхема содержит несколько механизмов физической защиты, чтобы предотвратить взлом, и вредоносные программы не могут обойти функции безопасности TPM.

Примечание

С 28 июля 2016 г. все новые модели устройств, линии или серии устройств (или если вы обновляете конфигурацию оборудования существующей модели, линии или серии с крупным обновлением, например ЦП, графические карты) должны реализовать и включить по умолчанию TPM 2.0 (сведения см. в разделе 3.7 страницы Минимальные требования к оборудованию). Требование в отношении включения TPM 2.0 распространяется только на новые устройства, которые производятся.

Изготовители оборудования: Дополнительные сведения см. в разделе Требования к оборудованию доверенного платформенного модуля (TPM) 2.0.

ИТ-специалисты: Сведения о работе доверенного платформенного модуля на предприятии см. в статье Доверенный платформенный модуль.

Требования к единому интерфейсу расширяемого встроенного ПО (UEFI)

UEFI — это замена старого интерфейса встроенного ПО BIOS. При запуске устройств интерфейс встроенного ПО управляет процессом загрузки компьютера, а затем передает управление Windows или другой операционной системе. UEFI включает такие функции безопасности, как безопасная загрузка и заводские зашифрованные диски, которые помогают предотвратить запуск ненадежного кода перед загрузкой операционной системы. Начиная с Windows 10 версии 1703, корпорации Майкрософт требуется спецификация UEFI версии 2.3.1c. Дополнительные сведения о требованиях oem для UEFI см. в статье Требования к встроенному ПО UEFI.

Изготовители оборудования: Дополнительные сведения о том, что необходимо сделать для поддержки драйверов UEFI, см. в статье UEFI в Windows.

Безопасность на основе виртуализации

Аппаратные функции безопасности, также называемые безопасностью на основе виртуализации или VBS, обеспечивают изоляцию защищенного ядра от обычной операционной системы. Уязвимости и Zero-Day атаки в операционной системе невозможно использовать из-за такой изоляции.

Изготовители оборудования: Дополнительные сведения о требованиях к оборудованию VBS см. в разделе Требования к оборудованию для обеспечения безопасности на основе виртуализации (VBS).

Application Guard в Microsoft Defender

Application Guard помогает изолировать ненадежные сайты, определяемые предприятием, защищая предприятие, пока его сотрудники просматривают Интернет.

Если вы продаете устройства корпоративным клиентам, необходимо предоставить оборудование, поддерживающее функции безопасности, необходимые предприятиям.

Изготовители оборудования: Дополнительные сведения о требованиях к оборудованию для Application Guard в Microsoft Defender см. в разделе требования к оборудованию Application Guard в Microsoft Defender.

Credential Guard в Microsoft Defender

Credential Guard использует безопасность на основе виртуализации для изоляции и защиты секретов (например, хэшей паролей NTLM и билетов на предоставление билетов Kerberos), чтобы блокировать атаки pass-the-hash или pass-the-ticket.

Изготовители оборудования: Дополнительные сведения о требованиях к оборудованию для Microsoft Defender Credential Guard см. в разделе требования к оборудованию Microsoft Defender Credential Guard.

ИТ-специалисты: Сведения о настройке и развертывании Microsoft Defender Credential Guard на предприятии см. в статье Защита учетных данных производного домена с помощью Microsoft Defender Credential Guard.

Hypervisor-Protected целостность кода — это сочетание связанных с предприятием аппаратных и программных функций безопасности, которые при их совместной настройке блокируют устройство, чтобы оно возможностями запускалось только доверенные приложения, определенные в политиках целостности кода.

Начиная с Windows 10, 1703, Device Guard в Microsoft Defender функции были сгруппированы в две новые функции: Microsoft Defender Exploit Guard и Microsoft Defender управление приложениями. Если они включены, Hypervisor-Protected целостность кода включена.

Изготовители оборудования: Дополнительные сведения о требованиях к оборудованию Hypervisor-Protected целостности кода см. в статье Безопасность на основе виртуализации (VBS).

ИТ-специалисты: Сведения о развертывании Hypervisor-Protected целостности кода на предприятии см. в статье Требования и рекомендации по планированию развертывания для обеспечения целостности кода Hypervisor-Protected.

Защита DMA ядра

Аппаратные функции безопасности, также называемые защитой доступа к памяти, обеспечивают изоляцию и защиту от вредоносных атак DMA во время процесса загрузки и во время выполнения ОС.

Изготовители оборудования: Дополнительные сведения о требованиях к платформе защиты DMA ядра см. в разделе Защита ядра DMA для oem-производителей.

Разработчики драйверов: Дополнительные сведения о защите DMA ядра и драйверах, совместимых с DMA remapping, см. в разделе Включение повторного сопоставления DMA для драйверов устройств.

ИТ-специалисты: Дополнительные сведения о политиках защиты DMA ядра и взаимодействии с пользователем см. в разделе Защита ядра DMA.

Windows Hello

Microsoft Windows Hello предоставляет пользователям личный защищенный интерфейс, при котором устройство проходит проверку подлинности на основе их присутствия. Пользователи могут осуществлять вход в систему с помощью взгляда или касания без необходимости в использовании пароля. В сочетании с Microsoft Passport биометрическая проверка подлинности использует отпечатки пальцев или распознавание лиц и является более безопасной, более личной и удобной.

Сведения о том, как Windows Hello работает с платформой сопутствующих устройств, см. в разделе Windows Hello и платформа сопутствующих устройств.

Сведения о биометрических требованиях для поддержки Windows Hello см. в разделе Windows Hello биометрических требований.

Сведения о том, как работает проверка подлинности лиц, см. в разделе Windows Hello проверки подлинности лиц.