適用於 OEM 的 Windows 10 S 安全性功能和需求
Windows 10 S 是 Windows 10 專業版 的特定設定,可提供簡化安全性和效能的熟悉 Windows 體驗。 Windows 10 S 提供雲端和完整功能應用程式的最佳功能,且專為新式裝置所設計。 Microsoft Defender 一律為開啟狀態,且一律為最新狀態。
Windows 10 S 只會從市集執行已驗證的應用程式,並從 Windows Update 驗證驅動程式。 Windows 10 S 提供支援 Azure Active Directory,並與 MSA 或 Intune 教育版配對時,Windows 10 S 預設會將檔案儲存至 OneDrive。
針對 Windows 10 S 啟用的功能
Windows 10 S 模式會使用應用程式的程式代碼完整性原則、硬體和認證組合來保護客戶。 Windows 10 S 只會從 Windows 硬體開發人員中心儀錶板執行以 Windows、WHQL、ELAM 或市集憑證簽署的可執行程式代碼。 這包括驅動程式的隨附應用程式。
| 功能 | Windows 10 S | Windows 10 Home | Windows 10 專業版 |
|---|---|---|---|
| 非市集應用程式 | Yes | Yes | |
| 內部部署網域加入 | Yes | ||
| Azure AD 網域加入 | Yes | Yes | |
| Windows 市集應用程式(包括 Win32 百年版應用程式) | Yes | .是 | Yes |
| OneDrive 自動設定和同步處理;需要 MSA | Yes | 可設定 | 可設定 |
| Microsoft 預設應用程式集 | Yes | 可設定 | 可設定 |
| 商務用 Windows Update | Yes | Yes | |
| 商務用 Windows 市集 | Yes | Yes | |
| 行動裝置管理 (MDM) | Yes | 有限 | Yes |
| BitLocker | Yes | Yes | |
| 使用 Azure AD 進行企業狀態漫遊 | Yes | Yes | |
| 共用電腦設定 | Yes | Yes |
Windows 10 S 預設新式應用程式設定
- 電子郵件:郵件
- 地圖: 地圖
- 相片查看器:相片
- 搜尋:Bing
- 視頻播放機:電影和電視
- 網頁瀏覽器:Edge
- OneDrive 會自動設定 MSA 帳戶,以便自動同步處理檔、相片和桌面,且使用者具有 5GB 的標準記憶體。
記憶體完整性保護
記憶體完整性 是 Windows 10、Windows 11 和 Windows Server 2016 或更高版本中可用的虛擬化式安全性 (VBS) 功能。 記憶體完整性和 VBS 可改善 Windows 的威脅模型,並針對嘗試惡意探索 Windows 核心的惡意代碼提供更強大的保護。 VBS 會使用 Windows Hypervisor 來建立隔離的虛擬環境,以成為操作系統的根信任,該操作系統假設核心可能會遭到入侵。 記憶體完整性是一個重要元件,可在 VBS的隔離虛擬環境中執行核心模式程序代碼完整性,以保護和強化 Windows。 記憶體完整性也會限制可用來危害系統的核心記憶體配置,確保核心記憶體頁面只有在安全運行時間環境內傳遞程式代碼完整性檢查之後才會成為可執行檔,而且可執行檔頁面本身絕不可寫入。
注意
記憶體完整性有時稱為受 Hypervisor 保護的程式代碼完整性(HVCI)或 Hypervisor 強制執行的程式代碼完整性,且最初是作為 Device Guard 的一部分發行。 除了在組策略或 Windows 登錄中尋找記憶體完整性和 VBS 設定之外,不再使用 Device Guard。
預設會在 S 模式中的 Windows 10 全新安裝時開啟記憶體完整性,並在相容的硬體上安裝 Windows 11,如記憶體完整性啟用中所述。 在其他不符合記憶體完整性自動啟用需求的系統上,客戶可以選擇使用如何啟用記憶體完整性中所述的任何方法。
受記憶體完整性保護的核心模式程式代碼完整性,可防止在核心中執行未簽署或未正確簽署的二進位檔。 只有在實驗室或處理站映射自定義期間,或在執行環境為 WinPE 或稽核模式的部署期間,才應該使用不支援的二進位檔。
如需詳細資訊,請參閱 記憶體完整性和虛擬化型安全性
使用者模式程式代碼完整性原則
S 模式中的 Windows 10 是使用強制執行使用者模式程式代碼完整性的原則來實作。 在系統上啟用 CI 原則之後,會在兩個位置啟用:
- Windows 10 S,在開機時強制執行
- UEFI 韌體原則,在韌體載入和OS開機期間強制執行
已簽署的驅動程式和 Windows 10 S
Windows 10 S 的驅動程序簽署不同。若要在 Windows 10 S 上安裝,驅動程式套件必須符合下列需求:
- 驅動程式套件必須使用 Windows、WHQL、ELAM 或 Windows 硬體開發人員中心儀錶板的市集憑證進行數字簽署。
- 隨附軟體必須使用 Microsoft Store 憑證簽署。
- 不包含擷取未簽署二進位檔的驅動程式套件中的 *.exe、*.zip、*.msi 或 *.cab。
- 驅動程式只會使用 INF 指示詞進行安裝。
- 驅動程式不會呼叫封鎖的收件匣元件。
- 驅動程式不包含任何使用者介面元件、應用程式或設定。 請改用來自 Microsoft Store 的通用應用程式,例如:
- 硬體支援應用程式
- UWP 裝置應用程式
- Centennial Apps
- 驅動程式和韌體服務使用 Windows Update,而不是更新程式應用程式。
如需詳細資訊,請參閱 Windows 10 S 驅動程式需求 和 將驅動程式發佈至 Windows Update。
不支持的內容
Windows 10 S 不允許任何不在市集中的應用程式。 第二個限制是 Windows 10 S 不允許內部部署網域加入。 此外,不支援某些 Windows 自定義和某些應用程式。 如需詳細資訊,請參閱 規劃 Windows 10 S 部署
下列元件會封鎖在 Windows 10 S 中執行。呼叫其中一個已封鎖元件的任何腳本或應用程式都會遭到封鎖。 如果您的製造程式使用依賴封鎖元件的腳本或應用程式,您可以暫時 啟用製造模式 以進行設定和測試,但無法提供已啟用製造模式的電腦。
- bash.exe
- cdb.exe
- cmd.exe
- cscript.exe
- csi.exe
- dnx.exe
- kd.exe
- lxsmanager.dll
- msbuild.exe
- ntsd.exe
- powershell.exe
- powershell_ise.exe
- rcsi.exe
- reg.exe
- regedt32.exe
- windgb.exe
- wmic.exe
- wscript.exe