PC windows 11 protetti
Microsoft collabora con i partner OEM per garantire che tutti i sistemi Windows certificati forniscano un ambiente operativo sicuro. Windows si integra strettamente con l'hardware per offrire protezioni che sfruttano le funzionalità hardware disponibili:
- Sicurezza di Base di Windows: baseline consigliata per tutti i singoli sistemi che fornisce protezioni di integrità del sistema di base. Sfrutta TPM 2.0 per una radice hardware attendibile, l'avvio sicuro e la crittografia dell'unità BitLocker.
- Sicurezza basata su virtualizzazione abilitata: sfrutta le funzionalità di virtualizzazione dell'hardware e dell'hypervisor per fornire una protezione aggiuntiva per sottosistemi e dati critici.
- Core protetto: consigliato per i sistemi e i settori più sensibili, ad esempio le agenzie finanziarie, sanitarie e governative. Si basa sui livelli precedenti e sfrutta le funzionalità avanzate del processore per fornire protezione dagli attacchi firmware.
PC core protetti
Microsoft collabora strettamente con i partner OEM e i fornitori di processori per creare PC di base protetti che includono hardware, firmware e software completamente integrati per garantire una maggiore sicurezza per dispositivi, identità e dati.
I PC di base protetti forniscono protezioni utili da attacchi sofisticati e possono garantire una maggiore garanzia quando si gestiscono dati cruciali in alcuni dei settori più sensibili ai dati, ad esempio i lavoratori sanitari che gestiscono le cartelle cliniche e altre informazioni personali (PII), ruoli commerciali che gestiscono un impatto aziendale elevato e dati altamente sensibili, ad esempio un titolare del trattamento degli utili.
Per portatili, tablet, workstation mobili e desktop di 2-in-1 per utilizzo generico, Microsoft consiglia di usare le baseline di sicurezza per una configurazione ottimale. Per altre info, vedi Baseline di sicurezza di Windows.
La sicurezza di base di Windows è supportata dall'avvio protetto, dalla crittografia dei dispositivi Bitlocker, Da Microsoft Defender, Windows Hello e da un chip TPM 2.0 per fornire una radice hardware di attendibilità per la piattaforma del sistema operativo. Queste funzionalità sono progettate per proteggere i dispositivi moderni per utilizzo generico. Se si è un decision maker che acquista nuovi dispositivi, i dispositivi devono soddisfare i requisiti di sicurezza di Base di Windows.
Che cosa rende un PC protetto-core
| Vantaggio | Funzionalità | Requisito hardware/firmware | Sicurezza di Windows di base | PC core protetti |
|---|---|---|---|---|
| Creare una radice di attendibilità supportata dall'hardware | ||||
| Avvio protetto | L'avvio protetto è abilitato nel BIOS per impostazione predefinita. | ✅ | ✅ | ✅ |
| Avvio protetto | CA UEFI di terze parti non considerata attendibile per impostazione predefinita, con l'opzione BIOS per abilitare l'attendibilità | ✅ | ||
| Trusted Platform Module 2.0 (TPM) | Soddisfare i requisiti Microsoft più recenti per la specifica TCG (Trusted Computing Group) | ✅ | ✅ | ✅ |
| Protezione DMA (Direct Memory Access) | Il dispositivo supporta la protezione dall'accesso alla memoria (protezione DMA del kernel) | ✅ | ✅ | ✅ |
| Difendersi dagli attacchi a livello di firmware (è possibile usare uno dei 2 approcci specificati) | Protezione del sistema l'avvio protetto (D-RTM) con isolamento SMM (System Management Mode) | Abilitato nel dispositivo (tramite avvio protetto) | ✅ | ✅ |
| S-RTM e MM autonomo con supervisore MM (l'approccio implementato nei dispositivi FASR) | Supportato nei dispositivi con firmware FASR | ✅ | ||
| Proteggere il sistema operativo dall'esecuzione di codice non verificato | Integrità del codice hypervisor (HVCI) | Abilitato nel dispositivo | ✅ | ✅ |
| Fornire la verifica e la protezione avanzata delle identità | Windows Hello con sicurezza avanzata per l'accesso (ESS) | Un dispositivo con Windows Hello con ESS è abilitato se dispone dei componenti hardware ESS predefiniti per l'autenticazione con viso o impronta digitale e il supporto necessario nel BIOS | ✅* | ✅ |
| Proteggere i dati critici se un dispositivo viene smarrito, rubato o sequestrato | Crittografia BitLocker | BitLocker può sfruttare il TPM 2.0 per crittografare e proteggere i dati | ✅ |
*Solo nei dispositivi che dispongono di sensori di accesso biometrico o di riconoscimento biometrico di Windows Hello predefiniti.