安全性
深入瞭解 Windows 10 的安全性。
OS 安全性工作
若要建立安全的裝置,OEM 應該完成下列工作。
| Task | 描述 |
|---|---|
| 瞭解如何簽署不同類型的可執行程序代碼和其他程式碼資產 | 所有 Windows 10 行動裝置版 二進位檔都需要數字簽名,才能在零售手機上載入和執行。 如需詳細資訊,請參閱 取得程式代碼簽署憑證。 |
| 瞭解影像驗證和加密 | Windows 10 行動裝置版 包含安全開機,此程式會先驗證韌體映像,再允許它們執行。 Windows 10 行動裝置版 也提供裝置加密,此功能可加密儲存在內部數據分割上的所有用戶數據。 OEM 必須在製造期間執行一系列工作,才能啟用這些功能。 |
| 瞭解安全性開發生命週期 (SDL) | OEM 可以使用安全性開發生命週期 (SDL) 最佳做法和相關聯的工具來改善其產品的安全性。 |
OEM 的 SDL 建議
Microsoft安全性開發生命週期 (SDL) 是 OEM 可用來改善其產品安全性的一組最佳做法和相關工具。 SDL 做法會依傳統軟體開發生命週期的階段來組織,其效率最高。 例如,威脅模型化在軟體設計期間最為有效。
如果獨立實作,這些安全性活動中的許多都會提供某種程度的安全性權益。 不過,Microsoft的實際經驗表明,在軟體開發生命週期的正確階段,以時間順序執行的安全性活動,而且作為可重複程式的一部分,可能會導致比臨機操作實作所產生的安全性收益更大。 如需 SDL 的詳細資訊,請參閱 Microsoft安全性開發週期。
下表描述最適合 OEM 採用的 SDL 做法子集。 其中有些做法對驅動程式程式代碼更有説明,有些則對應用程式程式代碼更有説明。 有些 SDL 做法對兩者都很有用。 驅動程式通常會以較高的許可權執行,因此開發驅動程式程式代碼時,請務必考慮這些最佳做法。
| 工具 | 資訊 | 建議的區域 |
|---|---|---|
| Microsoft威脅模型化工具 | 威脅模型化工具是 Microsoft 安全性開發生命週期 (SDL) 的核心元素。 它可讓軟體架構設計人員及早識別和降低潛在安全性問題的風險,以在問題相對簡單且符合成本效益時加以解決。 | 驅動程式 |
| FxCop | FxCop 是靜態分析器。 它會分析 Managed 程式代碼元件,並報告元件的相關信息,例如可能的設計、當地語系化、效能和安全性改進。 | 合作夥伴應用程式 |
| 從 FxCop 程式代碼分析遷移至 .NET 編譯程式平臺分析器 | Visual Studio 2017 包含一組內建的 .NET Compiler Platform 分析器,會分析您鍵入的 C# 和 Visual Basic 程式碼。 您可以將其他分析器安裝為 Visual Studio 延伸模組,或根據每個專案安裝為 NuGet 套件。 分析器會查看程式碼樣式、程式碼品質和可維護性、程式碼設計,以及其他問題。 | 受控程式代碼中的合作夥伴應用程式 |
| BinSkim | BinSkim 是二進位靜態分析工具,可掃描 Windows 可攜式可執行檔 (PE) 檔案的安全性和正確性。 在 BinSkim 所執行的驗證中,有驗證 PE 檔案已加入加入 Windows 平臺所提供的所有二進位防護功能。 (使用者指南(DOCX 下載)) | 驅動程式和合作夥伴應用程式 |
| C/C++ 的程式碼分析 | C/C++的程式代碼分析是一種靜態分析器,提供Visual Studio Team System Development Edition 或 Visual Studio Team Suite 的安裝,並協助偵測及更正程式代碼缺失。 它會一次逐一查看原始程式碼,並尋找 C/C++程式代碼模式,以及可能表示程式設計錯誤的不正確程式碼使用方式。 | 驅動程式和合作夥伴應用程式 |