Windows 10 Secured-Core-PCs

  • Artikel

Microsoft arbeitet eng mit OEM-Partnern zusammen, um sicherzustellen, dass alle zertifizierten Windows-Systeme eine sichere Betriebsumgebung bieten. Windows lässt sich eng in die Hardware integrieren, um Schutzmaßnahmen bereitzustellen, die die verfügbaren Hardwarefunktionen nutzen:

  • Baseline Windows-Sicherheit – empfohlene Baseline für alle individuellen Systeme, die grundlegenden Systemintegritätsschutz bietet. Leverages TPM 2.0 für einen Hardware-Vertrauensanker, sicheres Booten und BitLocker-Laufwerkverschlüsselung.
  • Virtualisierungsbasierte Sicherheit aktiviert – nutzt Virtualisierungsfunktionen von Hardware und Hypervisor, um zusätzlichen Schutz für kritische Subsysteme und Daten zu bieten.
  • Secured-Core – empfohlen für die sensibelsten Systeme und Branchen wie Finanzen, Gesundheitswesen und Regierungsbehörden. Baut auf den vorherigen Ebenen auf und nutzt erweiterte Prozessorfunktionen, um Schutz vor Firmwareangriffen bereitzustellen.

Secured-Core-PCs

Microsoft arbeitet eng mit OEM-Partnern und Siliconanbietern zusammen, um Secured-Core-PCs zu erstellen, die tief integrierte Hardware, Firmware und Software enthalten, um eine verbesserte Sicherheit für Geräte, Identitäten und Daten zu gewährleisten.

Secured-Core-PCs bieten Schutzfunktionen, die vor anspruchsvollen Angriffen nützlich sind und bei der Behandlung von missionskritischen Daten in einigen der vertraulichsten Branchen, wie z. B. Gesundheitsmitarbeiter, die medizinische Datensätze und andere persönliche identifizierbare Informationen (PII) behandeln, kommerzielle Rollen, die hohe geschäftliche Auswirkungen und hoch vertrauliche Daten behandeln, wie z. B. ein Finanzverantwortlicher mit Gewinndaten.

Für Allzweck-Laptops, Tablets, 2-in-1-Geräte, mobile Arbeitsstationen und Desktops empfiehlt Microsoft die Verwendung von Sicherheitsbaselines für eine optimale Konfiguration. Weitere Informationen finden Sie unter Windows-Sicherheitsbaselines.

Die Baseline Windows-Sicherheit wird durch Secure Boot, Bitlocker-Geräteverschlüsselung, Microsoft Defender, Windows Hello und einen TPM 2.0-Chip unterstützt, um einen Hardware-Vertrauensanker für die Betriebssystemplattform bereitzustellen. Diese Funktionen sind so konzipiert, dass moderne Geräte mit allgemeinem Zweck gesichert werden. Wenn Sie eine Entscheidungsträger sind, die neue Geräte kaufen, sollten Ihre Geräte die grundlegenden Windows-Sicherheitsanforderungen erfüllen.

Darüber hinaus bietet Windows 10 im S-Modus eine zusätzliche Sicherheitsebene mit Flexibilität. Der S-Modus ist eine Konfiguration, die in allen Windows-Editionen verfügbar ist. Indem sichergestellt wird, dass nur vertrauenswürdige Anwendungen auf dem System ausgeführt werden, sorgt der S-Modus für ein schnelles und sicheres Windows-Erlebnis. Dies ist mit einigen Kosten in Bezug auf die Kompatibilität verbunden, aber Intune ermöglicht es Kunden auch, Anwendungen auf einem S-Modus-System zu installieren, während der S-Modus-Schutz gegen die Ausführung nicht vertrauenswürdiger Anwendungen beibehalten wird.

Was macht einen Secured-Core-PC aus

Vorteil Funktion Hardware-/Firmwareanforderung Geplante Windows-Sicherheit Secured-Core-PCs
Erstellen eines hardwarebasierten Stamms der Vertrauensstellung Trusted Platform Module 2.0 (TPM) Erfüllen Sie die neuesten Microsoft-Anforderungen für die Spezifikation Trusted Computing Group (TCG) V V
Dynamic Root of Trust for Measurement (DRTM) Aktiviert auf dem Gerät (über sicheres Starten) V
Systemverwaltungsmodus (SMM) Aktiviert auf dem Gerät (über System Guard) V
Sicherer Start Der sichere Start ist standardmäßig im BIOS aktiviert. V V
Speicherzugriffsschutz Das Gerät unterstützt den Speicherzugriffsschutz (Kernel DMA Protection) V
Sicherstellen einer starken Codeintegrität Integrität des Hypervisor-Codes (HVCI) Aktiviert auf dem Gerät V
Bereitstellen einer erweiterten Identitätsüberprüfung und -schutz Windows Hello Wenn das Gerät Windows Hello unterstützt, müssen diese Implementierungen die erweiterte Anmeldung unterstützen. „Fähig“ bedeutet:
  • Entworfene SecureBIO-fähige Komponenten für die Windows Hello Modi werden auf dem Gerät unterstützt (Gesicht und/oder Fingerabdruck)
  • Das Gerät verfügt über die richtigen SecureBIO-Komponenten, um die SecureBIO-Funktionalität in einer zukünftigen Betriebssystemversion zu aktivieren; Das heißt, das Geräte-BIOS implementiert die erforderliche SecureBIO-SDEV-Tabelle, wird jedoch von DEFAULT deaktiviert, bis sie von einer zukünftigen Betriebssystemversion unterstützt wird.
 V* V
Schützen Sie kritische Daten, wenn ein Gerät verloren geht, gestohlen oder beschlagnahmt wird BitLocker-Verschlüsselung BitLocker kann das TPM2.0 nutzen, um Daten zu verschlüsseln und zu schützen V V

*Auf einigen Geräten möglich