Windows 10 OEM 的安全性功能和需求
Windows 10 S 是Windows 10 專業版的特定組態,可提供簡化安全性與效能的熟悉 Windows 體驗。 Windows 10 S 提供雲端和功能完整的應用程式,並且專為新式裝置而設計。 Microsoft Defender一律為開啟狀態,且一律為最新狀態。
Windows 10 S 只會從市集執行已驗證的應用程式,以及來自 Windows Update的已驗證驅動程式。 Windows 10 S 提供支援 Azure Active Directory,且與 MSA 或教育用Intune配對時,Windows 10 S 預設會將檔案儲存至 OneDrive。
針對 Windows 10 S 啟用的功能
Windows 10 S 模式會使用應用程式的程式碼完整性原則、硬體和認證的組合來保護客戶。 Windows 10 S 只會從Windows 硬體開發人員中心儀表板執行使用 Windows、WHQL、ELAM 或市集憑證簽署的可執行程式碼。 這包括驅動程式的隨附應用程式。
| 功能 | Windows 10 S | Windows 10 Home | Windows 10 Pro |
|---|---|---|---|
| 非市集應用程式 | Yes | Yes | |
| 在內部部署加入網域 | Yes | ||
| Azure AD 網域加入 | Yes | Yes | |
| Windows 市集應用程式 (包括 Win32 centennial 應用程式) | Yes | Yes | Yes |
| OneDrive 自動設定和同步處理;需要 MSA | 是 | 可設定 | 可設定 |
| Microsoft 預設應用程式集 | 是 | 可設定 | 可設定 |
| 商務用 Windows Update | Yes | Yes | |
| 商務用 Windows 市集 | Yes | Yes | |
| 行動裝置管理 (MDM) | Yes | 有限 | Yes |
| BitLocker | Yes | Yes | |
| 使用 Azure AD 進行企業狀態漫遊 | Yes | Yes | |
| 共用電腦設定 | Yes | Yes |
Windows 10 S 預設新式應用程式組態
- Email:郵件
- 地圖:地圖
- 相片檢視器:相片
- 搜尋:Bing
- 視訊播放程式:電影 & 電視
- 網頁瀏覽器:Edge
- 針對 MSA 帳戶自動設定 OneDrive,以便自動同步處理檔、相片和桌面,且使用者具有 5GB 的標準儲存體。
記憶體完整性保護
記憶體完整性是以虛擬化為基礎的安全性 (VBS) 功能,可在Windows 10、Windows 11及Windows Server 2016或更高版本中使用。 記憶體完整性和 VBS 可改善 Windows 的威脅模型,並針對嘗試利用 Windows 核心的惡意程式碼提供更強大的保護。 VBS 會使用 Windows Hypervisor 來建立隔離的虛擬環境,成為假設核心可能會遭到入侵之作業系統的根信任。 記憶體完整性是一個重要元件,可在 VBS 的隔離虛擬環境中執行核心模式程式碼完整性,以保護和強化 Windows。 記憶體完整性也會限制可用來危害系統的核心記憶體配置,確保核心記憶體頁面只有在安全執行時間環境中傳遞程式碼完整性檢查之後才會成為可執行檔,而且可執行檔頁面本身永遠不會寫入。
注意
記憶體完整性有時稱為 受 Hypervisor 保護的程式碼完整性, (HVCI) 或 Hypervisor 強制執行的程式碼完整性,最初是發行為 Device Guard的一部分。 除了在 群組原則 或 Windows 登錄中尋找記憶體完整性和 VBS 設定,否則不再使用 Device Guard。
預設會開啟記憶體完整性,在 S 模式中清除安裝Windows 10,並在相容的硬體上Windows 11,如記憶體完整性啟用中所述。 在其他不符合記憶體完整性自動啟用需求的系統上,客戶可以選擇使用 如何啟用記憶體完整性中所述的任何方法。
核心模式程式碼完整性受到記憶體完整性保護,可防止在核心中執行未簽署或未正確簽署的二進位檔。 只有在實驗室或處理站映射自訂期間,或在執行環境為 WinPE 或稽核模式的部署期間,才應該使用不支援的二進位檔。
如需詳細資訊,請參閱 記憶體完整性和虛擬化型安全性
使用者模式程式碼完整性原則
S 模式中的Windows 10是使用強制執行使用者模式程式碼完整性的原則來實作, (CI) 。 在系統上啟用 CI 原則之後,會在兩個位置啟用:
- Windows 10 S,在開機時強制執行
- UEFI 韌體原則,在韌體載入和 OS 開機期間強制執行
帶正負號的驅動程式和Windows 10 S
Windows 10 S 的驅動程式簽署不同。若要在 Windows 10 S 上安裝,驅動程式套件必須符合下列需求:
- 驅動程式套件必須以 Windows、WHQL、ELAM 或市集憑證從 Windows 硬體開發人員中心儀表板進行數位簽署。
- 隨附軟體必須使用 Microsoft Store 憑證簽署。
- 不包含擷取未簽署二進位檔之驅動程式套件中的 *.exe、*.zip、*.msi或 *.cab。
- 驅動程式只會使用 INF 指示詞進行安裝。
- 驅動程式不會呼叫封鎖的收件匣元件。
- 驅動程式不包含任何使用者介面元件、應用程式或設定。 請改用來自 Microsoft Store 的通用應用程式,例如:
- 硬體支援應用程式
- UWP 裝置應用程式
- Centennial Apps
- 驅動程式和韌體服務會使用Windows Update,而不是更新程式應用程式。
如需詳細資訊,請參閱Windows 10 S 驅動程式需求和將驅動程式發佈至 Windows Update。
不支援的內容
Windows 10 S 不允許任何不在市集中的應用程式。 第二個限制是Windows 10 S 不允許內部部署網域加入。 此外,不支援某些 Windows 自訂和某些應用程式。 如需詳細資訊,請參閱規劃Windows 10 S 部署
下列元件會封鎖在 Windows 10 S 中執行。任何呼叫這些封鎖元件之一的腳本或應用程式都會遭到封鎖。 如果您的製造程式使用依賴封鎖元件的腳本或應用程式,您可以暫時 啟用製造模式 以進行設定和測試,但無法寄送已啟用製造模式的電腦。
- bash.exe
- cdb.exe
- cmd.exe
- cscript.exe
- csi.exe
- dnx.exe
- kd.exe
- lxsmanager.dll
- msbuild.exe
- ntsd.exe
- powershell.exe
- powershell_ise.exe
- rcsi.exe
- reg.exe
- regedt32.exe
- windgb.exe
- wmic.exe
- wscript.exe