Windows 10 компьютеров с защищенными ядрами

Корпорация Майкрософт тесно сотрудничает с oem-партнерами, чтобы гарантировать, что все сертифицированные системы Windows обеспечивают безопасную операционную среду. Windows тесно интегрируется с оборудованием для обеспечения защиты, которая использует доступные аппаратные возможности:

  • Базовые показатели безопасности Windows — рекомендуемые базовые показатели для всех отдельных систем, обеспечивающие базовую защиту целостности системы. Использует TPM 2.0 для аппаратного корня доверия, безопасной загрузки и шифрования диска BitLocker.
  • Включенная безопасность на основе виртуализации — использует возможности виртуализации из оборудования и гипервизора, чтобы обеспечить дополнительную защиту критически важных подсистем и данных.
  • Защищенное ядро — рекомендуется для наиболее чувствительных систем и отраслей, таких как финансовые, медицинские и правительственные учреждения. Основан на предыдущих уровнях и использует расширенные возможности процессора для обеспечения защиты от атак на встроенное ПО.

Компьютеры с защищенным ядром

Корпорация Майкрософт тесно сотрудничает с oem-партнерами и поставщиками кремния для создания компьютеров с защищенными ядрами, которые оснащены глубоко интегрированным оборудованием, встроенным ПО и программным обеспечением для обеспечения повышенной безопасности устройств, удостоверений и данных.

Защищенные компьютеры обеспечивают защиту от изощренных атак и могут обеспечить повышенную уверенность при обработке критически важных данных в некоторых наиболее чувствительных к данным отраслях, таких как медицинские работники, обрабатывающие медицинские записи и другую личную информацию (PII), коммерческие роли, которые обрабатывают большое влияние на бизнес и конфиденциальные данные, такие как финансовый управляющий с данными о доходах.

Для ноутбуков общего назначения, планшетов, 2-в-1, мобильных рабочих станций и настольных компьютеров корпорация Майкрософт рекомендует использовать базовые показатели безопасности для оптимальной конфигурации. Дополнительные сведения см. в статье Базовые показатели безопасности Windows.

Базовая безопасность Windows поддерживается безопасной загрузкой, шифрованием устройств Bitlocker, Microsoft Defender, Windows Hello и микросхемой TPM 2.0, чтобы обеспечить аппаратный корень доверия для платформы ОС. Эти функции предназначены для защиты современных устройств общего назначения. Если вы являетесь руководителем, принимающим решения, приобретая новые устройства, ваши устройства должны соответствовать базовым требованиям к безопасности Windows.

Кроме того, Windows 10 в S-режиме обеспечивает дополнительный уровень безопасности с гибкостью. S-режим — это конфигурация, доступная во всех выпусках Windows. Благодаря тому, что в системе выполняются только доверенные приложения, S-режим обеспечивает быструю и защищенную работу Windows. Это связано с некоторыми затратами с точки зрения совместимости, но Intune также позволяет клиентам устанавливать приложения в системе S-режима, сохраняя при этом защиту S-режима от запуска приложений, не являющихся доверенными.

Что делает компьютер с защищенным ядром

Преимущество Компонент Требования к оборудованию и встроенному ПО Базовые Безопасность Windows Компьютеры с защищенным ядром
Создание корня доверия с аппаратной поддержкой Доверенный платформенный модуль 2.0 (TPM) Соответствие последним требованиям Майкрософт для спецификации Trusted Computing Group (TCG) V V
Динамический корень доверия для измерения (DRTM) Включено на устройстве (с помощью безопасного запуска) V
Режим управления системой (МИССИЯ) Включено на устройстве (через System Guard) V
Безопасная загрузка Безопасная загрузка включена в BIOS по умолчанию. V V
Защита доступа к памяти Устройство поддерживает защиту доступа к памяти (защита DMA ядра) V
Обеспечение строгой целостности кода Целостность кода гипервизора (HVCI) Включено на устройстве V
Обеспечение расширенной проверки и защиты удостоверений Windows Hello Если устройство поддерживает Windows Hello, эти реализации должны поддерживать расширенный вход. "Capable" означает:
  • Компоненты с поддержкой SecureBIO для режимов Windows Hello поддерживаются на устройстве (распознавание лиц и (или) отпечаток пальца).
  • Устройство имеет правильные компоненты SecureBIO для включения функций SecureBIO в будущем выпуске ОС; Это означает, что BIOS устройства реализует необходимую таблицу SECUREBIO SDEV, но она отключена по умолчанию до тех пор, пока не будет поддерживаться будущей версией ОС.
V* V
Защита критически важных данных в случае утери, кражи или конфискации устройства шифрование BitLocker; BitLocker может использовать TPM2.0 для шифрования и защиты данных". V V

*Возможно на некоторых устройствах