适用于 OEM 的 Windows 10 S 安全功能和要求
Windows 10 S 是 Windows 10 专业版的一种特定配置,它提供用户熟悉的 Windows 体验,并且在安全性和性能方面进行了改进。 Windows 10 S 提供最佳的云应用和功能齐全的应用,专为新式设备而设计。 Microsoft Defender 始终保持打开状态和最新状态。
Windows 10 S 只会运行 Store 中已经过验证的应用以及 Windows 更新中已经过验证的驱动程序。 Windows 10 S 提供对 Azure Active Directory 的支持。与 MSA 或 Intune for Education 搭配使用时,Windows 10 S 默认将文件存储到 OneDrive 中。
为 Windows 10 S 启用的功能
Windows 10 S 模式通过组合使用代码完整性策略、硬件和应用认证来保护客户。 Windows 10 S 将仅运行使用 Windows 硬件开发人员中心仪表板提供的 Windows、WHQL、ELAM 或 Store 证书签名的可执行代码。 这包括驱动程序的伴侣应用。
| 功能 | Windows 10 S | Windows 10 家庭版 | Windows 10 专业版 |
|---|---|---|---|
| 非 Store 应用 | 是 | 是 | |
| 本地域加入 | 是 | ||
| Azure AD 域加入 | 是 | 是 | |
| Windows应用商店应用(包括 Win32 Centennial 应用) | 是 | 是 | 是 |
| OneDrive自动设置和同步;需要 MSA | 是 | 可配置 | 可配置性 |
| Microsoft 默认应用集 | 是 | 可配置 | 可配置性 |
| 适用于企业的 Windows 更新 | 是 | 是 | |
| 适用于企业的 Windows 应用商店 | 是 | 是 | |
| 移动设备管理 (MDM) | 是 | 受限制 | 是 |
| BitLocker | 是 | 是 | |
| 与 Azure AD 配合使用的企业状态漫游 | 是 | 是 | |
| 共享电脑配置 | 是 | 是 |
Windows 10 S 默认新式应用配置
- 电子邮件:Mail
- 地图:地图
- 照片查看器:照片
- 搜索:必应
- 视频播放器:电影和电视
- Web 浏览器:Edge
- 为 MSA 帐户自动配置 OneDrive,这样文档、照片和桌面就能自动同步,并且用户能够拥有 5GB 的标准存储。
内存完整性保护
内存完整性是 Windows 10、Windows 11 和 Windows Server 2016 或更高版本中提供的启用基于虚拟化的安全性(VBS) 功能。 内存完整性和 VBS 改进了 Windows 的威胁模型,并针对试图利用 Windows 内核的恶意软件提供更强大的保护。 VBS 使用 Windows 虚拟机监控程序创建一个独立的虚拟环境,该环境成为假定内核遭到入侵的操作系统的信任根。 内存完整性是一个关键组件,它通过在 VBS 的独立虚拟环境中运行内核模式代码完整性来保护和强化 Windows。 内存完整性还限制可用于入侵系统的内核内存分配,确保在安全运行时环境中传递代码完整性检查后,内核内存页才会成为可执行文件,并且可执行文件页本身永远不会可写。
注意
内存完整性有时称为虚拟机监控程序保护的代码完整性(HVCI)或虚拟机监控程序强制代码完整性,最初作为 Device Guard 的一部分发布。 除了在组策略或 Windows 注册表中存在内存完整性和 VBS 设置外,不再使用 Device Guard。
默认情况下,在 S 模式下的 Windows 11 的全新安装中和在兼容的硬件上安装 Windows 11 中默认开启内存完整性,如内存完整性启用中所述。 在其他不符合内存完整性自动启用要求的系统上,客户可以选择使用有关如何启用内存完整性中所述的任何方法。
内核模式代码完整性受内存完整性保护,可防止在内核中执行未签名或未正确签名的二进制文件。 仅在执行实验室或工厂映像自定义期间,或在进行执行环境为 WinPE 或审核模式的部署时,才应使用不受支持的二进制文件。
有关详细信息,请参阅内存完整性和基于虚拟化的安全性
用户模式代码完整性策略
S 模式下的 Windows 10 使用强制实施用户模式代码完整性(CI)的策略来实现。 在系统上启用 CI 策略后,会在两个位置启用它:
- Windows 10 S,在启动时强制执行
- UEFI 固件策略,在固件加载和 OS 启动时强制启用
签名的驱动程序和 Windows 10 S
Windows 10 S 的驱动程序签名有所不同。若要在 Windows 10 S 上进行安装,驱动程序包必须满足以下要求:
- 驱动程序包必须使用 Windows 硬件开发人员中心仪表板提供的 Windows、WHQL、ELAM 或 Store 证书进行数字签名。
- 配套软件必须使用 Microsoft Store 证书进行签名。
- 不要在可提取未签名的二进制文件的驱动程序包中包含 *.exe、*.zip、*.msi 或 *.cab。
- 驱动程序仅使用 INF 指令进行安装。
- 驱动程序不调用被阻止的内置组件。
- 驱动程序不包括任何用户界面组件、应用或设置。 请改用 Microsoft Store 中的通用应用程序,例如:
- 硬件支持应用
- UWP 设备应用
- Centennial 应用
- 驱动程序和固件维护使用 Windows 更新而不是某个更新程序应用。
有关详细信息,请参阅 Windows 10 S 驱动程序要求和将驱动程序发布到 Windows 更新。
不支持的功能
Windows 10 S 不允许任何不在 Store 中的应用。 另一个限制是 Windows 10 S 不允许本地域加入。 此外,某些 Windows 自定义项和某些应用不受支持。 有关详细信息,请参阅规划 Windows 10 S 部署
已阻止以下组件在 Windows 10 S 中运行。将阻止会调用这些被阻止组件之一的任何脚本或应用程序。 如果制造过程使用依赖于被阻止组件的脚本或应用程序,你可以临时启用制造模式以进行配置和测试,但不能交付启用了制造模式的电脑。
- bash.exe
- cdb.exe
- cmd.exe
- cscript.exe
- csi.exe
- dnx.exe
- kd.exe
- lxsmanager.dll
- msbuild.exe
- ntsd.exe
- powershell.exe
- powershell_ise.exe
- rcsi.exe
- reg.exe
- regedt32.exe
- windgb.exe
- wmic.exe
- wscript.exe