Windows 11 安全核心电脑
Microsoft 与 OEM 合作伙伴密切合作,帮助确保所有经过认证的 Windows 系统可提供安全的操作环境。 Windows 与硬件紧密集成,以提供利用可用硬件功能的保护:
- 基线 Windows 安全 – 适用于所有各个系统的建议基线,可提供基础系统完整性保护。 利用 TPM 2.0 实现硬件信任根、安全启动和 BitLocker 驱动器加密。
- 启用了基于虚拟化的安全性 – 利用硬件和虚拟机监控程序提供的虚拟化功能,为关键子系统和数据提供额外保护。
- 安全核心 – 建议用于最敏感的系统和行业,例如金融、医疗保健和政府机构。 在上面各层的基础上构建,利用高级处理器功能提供保护,以防范固件攻击。
安全核心 PC
Microsoft 在与 OEM 合作伙伴和芯片供应商密切合作,以构建具有深度集成的硬件、固件和软件的安全核心 PC,以确保增强设备、标识和数据的安全性。
安全核心 PC 提供的保护可用于防范复杂的攻击,并且在某些数据敏感度最高的行业中处理任务关键型数据时可以提供更多保障,例如处理医疗记录和其他个人身份信息 (PII) 的医疗保健工作者、处理高业务影响和高度敏感数据的商业角色(如具有收益数据的财务总监)。
对于常规用途笔记本电脑、平板电脑、二合一计算机、移动工作站和台式机,Microsoft 建议使用安全基线来实现最佳配置。 有关详细信息,请参阅 Windows 安装基线。
安全启动、Bitlocker 设备加密、Microsoft Defender、Windows Hello 和 TPM 2.0 芯片支持基线 Windows 安全,以便为 OS 平台提供硬件信任根。 这些功能旨在保护常规用途新式设备。 如果你是购买新设备的决策者,则设备应符合基线 Windows 安全要求。
什么是安全核心 PC
| 优势 | 功能 | 硬件/固件要求 | 基线 Windows 安全 | 安全核心 PC |
|---|---|---|---|---|
| 创建硬件支持的信任根 | ||||
| 安全启动 | 默认情况下,安全启动在 BIOS 中已启用。 | ✅ | ✅ | ✅ |
| 安全启动 | 默认情况下,第三方 UEFI CA 不受信任,BIOS 选项用于启用信任 | ✅ | ||
| 受信任的平台模块 2.0 (TPM) | 满足针对受信任的计算组 (TCG) 规范的最新 Microsoft 要求 | ✅ | ✅ | ✅ |
| 直接内存访问 (DMA) 保护 | 设备支持内存访问保护(内核 DMA 保护) | ✅ | ✅ | ✅ |
| 防范固件级攻击(可以使用指定的 2 种方法之一) | 通过系统管理模式 (SMM) 隔离实现系统防护安全启动 (D-RTM) | 在设备上启用(通过安全启动) | ✅ | ✅ |
| 带有 MM 监控程序的 S-RTM 和独立 MM(在 FASR 设备上实现的方法) | 受具有 FASR 固件的设备支持 | ✅ | ||
| 防止 OS 执行未经验证的代码 | 虚拟机监控程序代码完整性 (HVCI) | 在设备上启用 | ✅ | ✅ |
| 提供高级身份验证和保护 | 具有增强登录安全性 (ESS) 的 Windows Hello | 如果具有用于人脸或指纹身份验证的 ESS 硬件内置组件,并且 BIOS 中提供了必要的支持,则启用带有 ESS 的 Windows Hello 设备 | ✅* | ✅ |
| 在设备丢失、被盗或被没收时保护关键数据 | BitLocker 加密 | BitLocker 可以利用 TPM2.0 对数据进行加密和保护 | ✅ |
*仅适用于具有内置 Windows Hello 生物识别登录人脸或指纹传感器的设备。