原始设备制造商的安全注意事项
作为原始设备制造商 (OEM),你有一个独特的机会可以影响提供给客户的安全措施的功效。 客户希望并且需要保护其设备。 Windows 10 安全功能建立在启用了安全性的硬件和固件基础之上。 这些硬件和固件就是你的入口位置。 若要为设备提供独特的优势或者要在企业领域销售你的设备,需要提供最新的硬件增强功能,通过这些功能可以配置 Windows 10 以确保安全。
IT 专业人员:若要详细了解这些功能(包括如何在企业中部署这些功能),请参阅设备安全性和控制基于 Windows 10 的设备的运行状况。
Windows 10 S
Windows 10 S 是 Windows 10 Pro 的一种特定配置,它提供用户熟悉的 Windows 体验,并且在安全性和性能方面进行了改进。 Windows 10 S 提供最佳的云应用和功能齐全的应用,专为新式设备而设计。 Microsoft Defender 始终保持打开状态和最新状态。
Windows 10 S 只会运行 Store 中已经过验证的应用以及 Windows 更新中已经过验证的驱动程序。 Windows 10 S 提供对 Azure Active Directory 的支持,与 MSA 或 Intune for Education 搭配使用时,Windows 10 S 默认将文件存储到 OneDrive 中。
OEM:有关 Windows 10 S 的详细信息,请参阅 Windows 10 S 安全功能和 OEM 要求。
BitLocker 设备加密
BitLocker 设备加密是 OEM 通过在销售的设备中提供正确硬件集而实现的一组功能。 如果没有适当的硬件配置,则不会启用设备加密。 如果有适当的硬件配置,Windows 10 会自动加密设备。
OEM:若要详细了解 BitLocker,请参阅 Windows 10 中面向 OEM 的 BitLocker 驱动器加密。
安全启动
安全启动是电脑行业成员开发的一种安全标准,用于帮助确保电脑仅使用受电脑制造商信任的软件进行启动。 当电脑启动时,固件会检查每个启动软件片段的签名,包括固件驱动程序(选项 ROM)、EFI 应用程序和操作系统。 如果签名有效,则电脑将会启动,而固件会将控制权转递给操作系统。
OEM:若要详细了解 OEM 的安全启动要求,请参阅安全启动。
可信平台模块 (TPM) 2.0
受信任的平台模块 (TPM) 技术设计用于提供基于硬件的安全性相关的功能。 TPM 芯片是一个安全的加密处理器,有助于执行生成、存储和限制加密密钥的使用等操作。 该芯片包含多个物理安全机制以使其防篡改,并且恶意软件无法篡改 TPM 的安全功能。
注意
从 2016 年 7 月 28 日开始,所有新设备型号或系列(或者如果你要对 CPU、显卡等现有型号、产品线或系列的硬件配置进行重大更新),都必须实现并默认启用 TPM 2.0(“最低硬件要求”页第 3.7 部分中提供了详细介绍)。 需要启用 TPM 2.0 的要求仅适用于制造新设备。
OEM:有关详细信息,请参阅受信任的平台模块 (TPM) 2.0 硬件要求。
IT 专业人员:若要了解 TPM 在企业中的工作原理,请参阅受信任的平台模块
统一可扩展固件接口 (UEFI) 要求
UEFI 取代了旧式 BIOS 固件接口。 在设备启动时,该固件接口控制电脑的启动过程,然后将控制传递到 Windows 或其他操作系统。 UEFI 启用安全启动和工厂加密的驱动器等安全功能,有助于防止不受信任的代码在加载操作系统之前运行。 从 Windows 10 版本 1703 开始,Microsoft 要求遵守 UEFI 规范版本 2.3.1c。 若要详细了解 UEFI 的 OEM 要求,请参阅 UEFI 固件要求。
OEM:若要详细了解需要符合哪些条件才能支持 UEFI 驱动程序,请参阅 Windows 中的 UEFI。
基于虚拟化的安全 (VBS)
基于硬件的安全功能也称为基于虚拟化的安全性 (VBS),提供安全内核与正常操作系统的隔离。 由于这种隔离,攻击者无法利用操作系统中的漏洞和发起“零日”攻击。
OEM:有关 VBS 硬件要求的详细信息,请参阅基于虚拟化的安全性 (VBS) 硬件要求。
Microsoft Defender 应用程序防护
应用程序防护有助于隔离企业定义的不受信任站点,在员工浏览 Internet 时保护企业。
如果你要向企业客户销售设备,需要提供支持企业所需安全功能的硬件。
OEM:若要详细了解 Microsoft Defender 应用程序防护的硬件要求,请参阅 Microsoft Defender 应用程序防护硬件要求。
Microsoft Defender Credential Guard
Credential Guard 使用基于虚拟化的安全性来隔离和保护机密(例如,NTLM 密码哈希和 Kerberos 票证授予票证),以阻止传递哈希或传递票证攻击。
OEM:若要详细了解 Microsoft Defender Credential Guard 的硬件要求,请参阅 Microsoft Defender Credential Guard 硬件要求。
IT 专业人员:若要了解如何在企业中配置和部署 Microsoft Defender Credential Guard,请参阅使用 Microsoft Defender Credential Guard 保护派生的域凭据。
虚拟机监控程序保护的代码完整性是企业相关的硬件和软件安全功能的组合,当一起配置时,将锁定设备,以便它仅可以运行代码完整性策略中定义的受信任应用程序。
从 Windows 10 版本 1703 开始,Microsoft Defender Device Guard 功能已分组为两项新功能:Microsoft Defender 攻击防护和 Microsoft Defender 应用程序控制。 启用这两项功能时,将启用虚拟机监控程序保护的代码完整性。
OEM:有关虚拟机监控程序保护的代码完整性硬件要求的详细信息,请参阅基于虚拟化的安全性 (VBS)。
IT 专业人员:若要了解如何在企业中部署虚拟机监控程序保护的代码完整性,请参阅虚拟机监控程序保护的代码完整性的要求和部署规划指南。
内核 DMA 保护
基于硬件的安全功能,也称为内存访问保护,它可以在启动过程中和操作系统运行时期间提供隔离并防范恶意 DMA 攻击。
OEM:有关内核 DMA 保护平台要求的详细信息,请参阅面向 OEM 的内核 DMA 保护。
驱动程序开发人员:有关内核 DMA 保护和 DMA 重映射兼容驱动程序的详细信息,请参阅为设备驱动程序启用 DMA 重映射。
IT 专业人员:若要详细了解内核 DMA 保护策略和用户体验,请参阅内核 DMA 保护。
Windows Hello
Microsoft Windows Hello 为用户提供更具个性化的安全体验,它将根据用户的存在性对设备进行身份验证。 用户看一眼或触摸一下即可登录,而无需输入密码。 与 Microsoft Passport 结合使用,生物识别身份验证使用指纹或面部识别,这是一种更安全、更加个人化、更方便的方法。
有关 Windows Hello 如何与配套设备框架配合工作的信息,请参阅 Windows Hello 和配套设备框架。
有关支持 Windows Hello 的生物识别要求的信息,请参阅 Windows Hello 生物识别要求。
有关面部身份验证工作原理的信息,请参阅 Windows Hello 面部身份验证。