Fonctionnalités de sécurité Windows 10 S et conditions requises pour les OEM
Windows 10 S est une configuration spécifique de Windows 10 Professionnel qui offre une expérience Windows familière, rationalisée pour la sécurité et les performances. Windows 10 S offre le meilleur du cloud et des applications complètes, et est conçu pour les appareils modernes. Microsoft Defender est toujours activé et à jour.
Windows 10 S exécute uniquement les applications vérifiées à partir du Microsoft Store et les pilotes vérifiés à partir de Windows Update. Windows 10 S fournit prend en charge Azure Active Directory et, lorsqu’il est associé au compte Microsoft ou Intune pour l’Éducation, Windows 10 S stocke par défaut les fichiers dans OneDrive.
Fonctionnalités activées pour Windows 10 S
Windows 10 mode S protège les clients à l’aide d’une combinaison de stratégies d’intégrité du code, de matériel et de certification pour les applications. Windows 10 S exécute uniquement le code exécutable signé avec un certificat Windows, WHQL, ELAM ou Store à partir du tableau de bord du Centre de développement matériel Windows. Cela inclut les applications complémentaires pour les pilotes.
Fonctionnalités | Windows 10 S | Windows 10 Famille | Windows 10 Professionnel |
---|---|---|---|
Applications hors magasin | Oui | Oui | |
Jonction de domaine locale | Oui | ||
Jonction de domaine Azure AD | Oui | Oui | |
Applications du Windows Store (y compris les applications win32 centnial) | Oui | Oui | Oui |
Configuration et synchronisation automatiques de OneDrive ; Nécessite MSA | Oui | Configurable | Configurable |
Ensemble d’applications par défaut Microsoft | Oui | Configurable | Configurable |
Windows Update pour les entreprises | Oui | Oui | |
Windows Store pour entreprises | Oui | Oui | |
Gestion des appareils mobiles | Oui | Limitée | Oui |
BitLocker | Oui | Oui | |
Itinérance d’état d’entreprise avec Azure AD | Oui | Oui | |
Configuration du PC partagé | Oui | Oui |
Configuration de l’application moderne par défaut Windows 10 S
- Email : Courrier
- Cartes : Cartes
- Visionneuse de photos : Photos
- Recherche : Bing
- Lecteur vidéo : Films & TV
- Navigateur web : Edge
- OneDrive est automatiquement configuré pour les comptes MSA afin que les documents, Photos et Bureau soient automatiquement synchronisés et que l’utilisateur dispose de 5 Go de stockage standard.
Protection de l’intégrité de la mémoire
L’intégrité de la mémoire est une fonctionnalité de sécurité basée sur la virtualisation (VBS) disponible dans Windows 10, Windows 11 et Windows Server 2016 ou version ultérieure. L’intégrité de la mémoire et VBS améliorent le modèle de menace de Windows et fournissent des protections plus fortes contre les programmes malveillants qui tentent d’exploiter le noyau Windows. VBS utilise l’hyperviseur Windows pour créer un environnement virtuel isolé qui devient la racine de confiance du système d’exploitation qui suppose que le noyau peut être compromis. L’intégrité de la mémoire est un composant essentiel qui protège et renforce Windows en exécutant l’intégrité du code en mode noyau dans l’environnement virtuel isolé de VBS. L’intégrité de la mémoire limite également les allocations de mémoire du noyau qui peuvent être utilisées pour compromettre le système, en veillant à ce que les pages mémoire du noyau ne soient rendues exécutables qu’après avoir passé des vérifications d’intégrité du code dans l’environnement d’exécution sécurisé, et que les pages exécutables elles-mêmes ne sont jamais accessibles en écriture.
Notes
L’intégrité de la mémoire est parfois appelée intégrité du code protégée par l’hyperviseur (HVCI) ou intégrité du code appliquée à l’hyperviseur, et a été initialement publiée dans le cadre de Device Guard. Device Guard n’est plus utilisé, sauf pour localiser l’intégrité de la mémoire et les paramètres VBS dans stratégie de groupe ou le Registre Windows.
L’intégrité de la mémoire est activée par défaut sur propre installations de Windows 10 en mode S et Windows 11 sur le matériel compatible, comme décrit dans Activation de l’intégrité de la mémoire. Sur d’autres systèmes qui ne répondent pas aux exigences d’activation automatique de l’intégrité de la mémoire, les clients peuvent choisir d’utiliser l’une des méthodes décrites dans Comment activer l’intégrité de la mémoire.
L’intégrité du code en mode noyau, protégée par l’intégrité de la mémoire, empêche l’exécution de fichiers binaires non signés ou incorrectement signés dans le noyau. L’utilisation de fichiers binaires non pris en charge doit être effectuée uniquement pendant la personnalisation de l’image de laboratoire ou d’usine, ou pendant le déploiement où l’environnement d’exécution est en mode WinPE ou Audit.
Pour plus d’informations, consultez Intégrité de la mémoire et sécurité basée sur la virtualisation
Stratégie d’intégrité du code en mode utilisateur
Windows 10 en mode S est implémenté à l’aide d’une stratégie qui applique l’intégrité du code en mode utilisateur (CI). Une fois la stratégie CI activée sur un système, elle est activée à deux endroits :
- Windows 10 S, appliquée au démarrage
- Stratégie de microprogramme UEFI, appliquée pendant le chargement du microprogramme et le démarrage du système d’exploitation
Pilotes signés et Windows 10 S
La signature du pilote est différente pour Windows 10 S. Pour être installés sur Windows 10 S, les packages de pilotes doivent répondre aux exigences suivantes :
- Les packages de pilotes doivent être signés numériquement avec un certificat Windows, WHQL, ELAM ou Store à partir du tableau de bord du Centre de développement matériel Windows.
- Les logiciels complémentaires doivent être signés avec un certificat Microsoft Store.
- N’inclut pas de *.exe, *.zip, *.msi ou *.cab dans le package de pilotes qui extrait des fichiers binaires non signés.
- Le pilote s’installe à l’aide de directives INF uniquement.
- Le pilote n’appelle pas les composants de boîte de réception bloqués.
- Les pilotes n’incluent aucun composant d’interface utilisateur, aucune application ou aucun paramètre. Utilisez plutôt des applications universelles à partir du Microsoft Store, par exemple :
- Applications de support matériel
- Applications d’appareil UWP
- Centennial Apps
- La maintenance des pilotes et des microprogrammes utilise Windows Update et non une application de mise à jour.
Pour plus d’informations, consultez Configuration requise du pilote Windows 10 S et Publier un pilote sur Windows Update.
Ce qui n'est pas pris en charge
Windows 10 S n’autorise pas les applications qui ne figurent pas dans le Windows Store. Une deuxième limitation est que Windows 10 S n’autorise pas les jointures de domaine locales. En outre, certaines personnalisations Windows et certaines applications ne sont pas prises en charge. Pour plus d’informations, consultez Planification d’un déploiement Windows 10 S
L’exécution des composants suivants est bloquée dans Windows 10 S. Tout script ou application qui appelle l’un de ces composants bloqués est bloqué. Si votre processus de fabrication utilise des scripts ou des applications qui s’appuient sur des composants bloqués, vous pouvez activer temporairement le mode de fabrication pour la configuration et le test, mais vous ne pouvez pas livrer un PC avec le mode de fabrication activé.
- bash.exe
- cdb.exe
- cmd.exe
- cscript.exe
- csi.exe
- dnx.exe
- kd.exe
- lxsmanager.dll
- msbuild.exe
- ntsd.exe
- powershell.exe
- powershell_ise.exe
- rcsi.exe
- reg.exe
- regedt32.exe
- windgb.exe
- wmic.exe
- wscript.exe