Sicherheitsüberlegungen für Erstausrüster

  • Artikel

Als Erstausrüster (OEM) haben Sie die einzigartige Möglichkeit, die Wirksamkeit der Sicherheitsmaßnahmen zu beeinflussen, die Ihren Kunden zur Verfügung stehen. Kunden wollen und brauchen die Möglichkeit, ihre Geräte zu sichern. Die Sicherheitsfunktionen von Windows 10 bauen auf sicherheitsaktivierter Hardware und Firmware auf. Da kommst du ins Spiel. Um Ihre Geräte von anderen abzuheben oder im Enterprise-Bereich zu verkaufen, möchten Sie die neuesten Hardwareverbesserungen bereitstellen, mit denen Windows 10 sicher konfiguriert werden kann.

IT-Experten: Weitere Informationen zu diesen Features, einschließlich der Bereitstellung in Ihrem Unternehmen, finden Sie unter Gerätesicherheit und Kontrolle des Zustands von Windows 10-basierten Geräten.

Windows 10 S

Windows 10 S ist eine spezifische Konfiguration von Windows 10 Pro, die ein vertrautes Windows-Erlebnis bietet, das auf Sicherheit und Leistung optimiert ist. Windows 10 S bietet das Beste aus der Cloud und Apps mit vollem Funktionsumfang und wurde für moderne Geräte entwickelt. Microsoft Defender ist immer aktiv und immer auf dem neuesten Stand.

Windows 10 S führt nur verifizierte Apps aus dem Store und verifizierte Treiber von Windows Update aus. Windows 10 S bietet Unterstützung für Azure Active Directory, und wenn es mit MSA oder Intune for Education gekoppelt ist, speichert Windows 10 S Dateien standardmäßig auf OneDrive.

OEMs: Weitere Informationen zu Windows 10 S finden Sie unter Sicherheitsfunktionen und Anforderungen von Windows 10 S für OEMs.

BitLocker-Geräteverschlüsselung

Die BitLocker-Geräteverschlüsselung ist eine Reihe von Funktionen, die von einem OEM aktiviert werden, indem er die richtige Hardware in den von Ihnen verkauften Geräten bereitstellt. Ohne die richtige Hardwarekonfiguration ist die Geräteverschlüsselung nicht aktiviert. Mit den richtigen Hardwarekonfigurationen verschlüsselt Windows 10 automatisch ein Gerät.

OEMs: Weitere Informationen zu BitLocker finden Sie unter BitLocker-Laufwerkverschlüsselung in Windows 10 für OEMs.

Sicherer Start

Secure Boot ist ein Sicherheitsstandard, der von Mitgliedern der PC-Branche entwickelt wurde, um sicherzustellen, dass ein PC nur mit Software startet, der der PC-Hersteller vertraut. Wenn der PC startet, prüft die Firmware die Signatur jeder Boot-Software, einschließlich Firmware-Treiber (Options-ROMs), EFI-Anwendungen und des Betriebssystems. Wenn die Signaturen gültig sind, wird der PC gestartet, und die Firmware übergibt die Kontrolle an das Betriebssystem.

OEMs: Weitere Informationen zu den Anforderungen für Secure Boot für OEMs finden Sie unter Secure Boot.

Trusted Platform Module (TPM) 2.0

Die TPM-Technologie stellt hardwarebasierte, sicherheitsbezogene Funktionen bereit. Ein TPM-Chip ist ein sicherer Krypto-Prozessor, der Sie u. a. beim Erstellen und Speichern kryptografischer Schlüssel sowie beim Beschränken der Nutzung kryptografischer Schlüssel unterstützt. Der Chip umfasst mehrere physische Sicherheitsmechanismen, die ihn manipulationssicher machen, und Schadsoftware ist nicht in der Lage, die TPM-Sicherheitsfunktionen zu manipulieren.

Hinweis

Seit dem 28. Juli 2016 müssen alle neuen Gerätemodelle, Linien oder Serien (oder wenn Sie die Hardwarekonfiguration eines vorhandenen Modells, einer Linie oder Serie mit einem größeren Update wie CPU, Grafikkarten aktualisieren) standardmäßig TPM implementieren und aktivieren 2.0 (Details in Abschnitt 3.7 der Seite Mindestanforderungen an die Hardware). Die Anforderung zur Aktivierung von TPM 2.0 gilt nur für die Herstellung neuer Geräte.

OEMs: Weitere Informationen finden Sie unter Hardwareanforderungen für Trusted Platform Module (TPM) 2.0.

IT-Experten: Um zu verstehen, wie TPM in Ihrem Unternehmen funktioniert, lesen Sie Trusted Platform Module

Unified Extensible Firmware Interface (UEFI)-Anforderungen

UEFI ist ein Ersatz für die ältere BIOS-Firmwareschnittstelle. Beim Start des Geräts steuert die Firmware-Schnittstelle den Bootvorgang des PCs und übergibt die Kontrolle dann an Windows oder ein anderes Betriebssystem. UEFI ermöglicht Sicherheitsfunktionen wie Secure Boot und werkseitig verschlüsselte Laufwerke, die verhindern, dass nicht vertrauenswürdiger Code ausgeführt wird, bevor das Betriebssystem geladen wird. Ab Windows 10, Version 1703, benötigt Microsoft die UEFI-Spezifikation Version 2.3.1c. Weitere Informationen zu den OEM-Anforderungen für UEFI finden Sie unter UEFI-Firmwareanforderungen.

OEMs: Um mehr darüber zu erfahren, was Sie tun müssen, um UEFI-Treiber zu unterstützen, siehe UEFI in Windows.

Virtualisierungsbasierte Sicherheit (VBS)

Hardwarebasierte Sicherheitsfunktionen, auch virtualisierungsbasierte Sicherheit oder VBS genannt, bieten eine Isolierung des sicheren Kernels vom normalen Betriebssystem. Schwachstellen und Zero-Day-Angriffe im Betriebssystem können aufgrund dieser Isolation nicht ausgenutzt werden.

OEMs: Weitere Informationen zu VBS-Hardwareanforderungen finden Sie unter Virtualization Based Security (VBS)-Hardwareanforderungen.

Microsoft Defender Application Guard

Application Guard hilft dabei, unternehmensdefinierte nicht vertrauenswürdige Sites zu isolieren und ein Unternehmen zu schützen, während seine Mitarbeiter im Internet surfen.

Wenn Sie Geräte an Unternehmenskunden verkaufen, möchten Sie Hardware bereitstellen, die die Sicherheitsfunktionen unterstützt, die Unternehmen benötigen.

OEMs: Weitere Informationen zu den Hardwareanforderungen für Microsoft Defender Application Guard finden Sie unter Hardwareanforderungen für Microsoft Defender Application Guard.

Microsoft Defender Credential Guard

Credential Guard verwendet virtualisierungsbasierte Sicherheit zum Isolieren und Schützen von Geheimnissen (z. B. NTLM-Passwort-Hashes und Kerberos-Ticket-Granting-Tickets), um Pass-the-Hash- oder Pass-the-Ticket-Angriffe zu blockieren.

OEMs: Weitere Informationen zu den Hardwareanforderungen für Microsoft Defender Credential Guard finden Sie unter Hardwareanforderungen für Microsoft Defender Credential Guard.

IT-Experten: Informationen zum Konfigurieren und Bereitstellen von Microsoft Defender Credential Guard in Ihrem Unternehmen finden Sie unter Schützen abgeleiteter Domänenanmeldeinformationen mit Microsoft Defender Credential Guard.

Hypervisor-geschützte Codeintegrität ist eine Kombination aus unternehmensbezogenen Hardware- und Softwaresicherheitsfunktionen, die bei gemeinsamer Konfiguration ein Gerät sperren, sodass es nur vertrauenswürdige Anwendungen ausführen kann, die in Codeintegritätsrichtlinien definiert sind.

Ab Windows 10, 1703, wurden die Microsoft Defender Device Guard-Features in zwei neue Features gruppiert: Microsoft Defender Exploit Guard und Microsoft Defender Application Control. Wenn beide aktiviert sind, ist Hypervisor-Protected Code Integrity aktiviert.

OEMs: Weitere Informationen zu den Hardwareanforderungen für Hypervisor-Protected Code Integrity finden Sie unter Virtualization-based Security (VBS).

IT-Experten: Informationen zum Bereitstellen von durch Hypervisor geschützter Codeintegrität in Ihrem Unternehmen finden Sie unter Anforderungen und Richtlinien zur Bereitstellungsplanung für durch Hypervisor geschützte Codeintegrität.

Kernel-DMA-Schutz

Hardwarebasierte Sicherheitsfunktionen, auch Memory Access Protection genannt, bieten Isolation und Schutz vor böswilligen DMA-Angriffen während des Startvorgangs und während der Laufzeit des Betriebssystems.

OEMs: Weitere Informationen zu den Plattformanforderungen für den Kernel-DMA-Schutz finden Sie unter Kernel-DMA-Schutz für OEMs.

Treiberentwickler: Weitere Informationen zum Kernel-DMA-Schutz und zu DMA-Neuzuordnungs-kompatiblen Treibern finden Sie unter Aktivieren der DMA-Neuzuordnung für Gerätetreiber.

IT-Experten: Weitere Informationen zu Kernel-DMA-Schutzrichtlinien und Benutzererfahrung finden Sie unter Kernel-DMA-Schutz.

Windows Hello

Microsoft Windows Hello bietet Benutzern ein persönliches, sicheres Erlebnis, bei dem das Gerät basierend auf ihrer Anwesenheit authentifiziert wird. Benutzer können sich mit einem Blick oder einer Berührung anmelden, ohne dass ein Passwort erforderlich ist. In Verbindung mit Microsoft Passport nutzt die biometrische Authentifizierung Fingerabdrücke oder Gesichtserkennung und ist sicherer, persönlicher und bequemer.

Informationen darüber, wie Windows Hello mit dem Companion Device Framework funktioniert, finden Sie unter Windows Hello und das Companion Device Framework.

Informationen zu biometrischen Anforderungen für die Unterstützung von Windows Hello finden Sie unter Biometrische Anforderungen für Windows Hello.

Informationen zur Funktionsweise der Gesichtsauthentifizierung finden Sie unter Windows Hello Face Authentication.