原始設備製造商的安全性考慮
身為原始設備製造商 (OEM) ,您有獨特的機會影響客戶可用之安全性措施的效力。 客戶想要且需要保護其裝置的能力。 Windows 10安全性功能建置在啟用安全性的硬體和韌體之上。 這就是您的所在位置。 若要為裝置提供區分器,或在企業空間中銷售,您想要提供最新的硬體增強功能,Windows 10設定安全性。
IT 專業人員:若要深入瞭解這些功能,包括如何在企業中部署這些功能,請參閱裝置安全性和控制Windows 10型裝置的健康情況。
Windows 10 S
Windows 10 S 是Windows 10 專業版的特定組態,可提供針對安全性和效能簡化的熟悉 Windows 體驗。 Windows 10 S 提供最佳的雲端和完整功能應用程式,並專為新式裝置所設計。 Microsoft Defender一律為開啟狀態,且一律為最新狀態。
Windows 10 S 只會從市集執行已驗證的應用程式,以及來自Windows Update的已驗證驅動程式。 Windows 10 S 提供支援 Azure Active Directory,且與 MSA 或教育版Intune配對時,Windows 10 S 預設會將檔案儲存至 OneDrive。
Oem:如需 Windows 10 S 的詳細資訊,請參閱OEM Windows 10 S 安全性功能和需求。
BitLocker 裝置加密
BitLocker 裝置加密是 OEM 啟用的一組功能,方法是在您銷售的裝置中提供一組正確的硬體。 如果沒有適當的硬體設定,則不會啟用裝置加密。 使用正確的硬體設定,Windows 10會自動加密裝置。
Oem:若要深入瞭解 BitLocker,請參閱OEM Windows 10 中的 BitLocker 磁片磁碟機加密。
安全開機
安全開機是由電腦產業的成員所開發的安全性標準,可協助確保電腦只使用電腦製造商信任的軟體開機。 當電腦啟動時,韌體會檢查每個開機軟體的簽章,包括韌體驅動程式 (選項 ROM) 、EFI 應用程式和作業系統。 如果簽章有效,電腦會開機,而韌體會提供作業系統的控制權。
Oem: 若要深入瞭解 OEM 的安全開機需求,請參閱 安全開機。
信賴平台模組 (TPM) 2.0
信賴平台模組 (TPM) 技術是設計來提供硬體式的安全性相關功能。 TPM 晶片是安全的加密處理器,可協助您執行產生、儲存等動作,以及限制加密金鑰的使用。 此晶片包含多個實體安全性機制,使它具備防竄改功能,在 TPM 安全性功能的加持下,惡意程式碼軟體便無法進行竄改。
注意
自 2016 年 7 月 28 日起,所有新的裝置型號、線路或系列 (,或如果您要更新現有型號的硬體設定、具有主要更新的線路或系列,例如 CPU、圖形卡) 必須實作並啟用預設 TPM 2.0 (最低硬體需求頁面第 3.7 節的詳細資料) 。 啟用 TPM 2.0 的需求僅適用於製造新裝置。
Oem: 如需詳細資訊,請參閱 信賴平臺模組 (TPM) 2.0 硬體需求。
IT 專業人員: 若要瞭解 TPM 在企業中的運作方式,請參閱 信賴平臺模組
整合可擴展韌體介面 (UEFI) 需求
UEFI 是舊版 BIOS 韌體介面的取代專案。 當裝置啟動時,韌體介面會控制電腦的開機程式,然後將控制權傳遞給 Windows 或其他作業系統。 UEFI 可啟用安全開機和原廠加密磁片磁碟機等安全性功能,以協助防止在載入作業系統之前執行不受信任的程式碼。 自 Windows 10 1703 版起,Microsoft 需要 UEFI 規格 2.3.1c 版。 若要深入瞭解 UEFI 的 OEM 需求,請參閱 UEFI 韌體需求。
Oem: 若要深入瞭解您需要執行哪些動作以支援 UEFI 驅動程式,請參閱 Windows 中的 UEFI。
虛擬化安全性 (VBS)
硬體型安全性功能也稱為虛擬化式安全性或 VBS,可提供與一般作業系統的安全核心隔離。 由於此隔離,因此無法利用作業系統中的弱點和Zero-Day攻擊。
Oem: 如需 VBS 硬體需求的詳細資訊,請參閱 虛擬式安全性 (VBS) 硬體需求。
Microsoft Defender 應用程式防護
應用程式防護有助於隔離企業定義的不受信任網站,保護企業,同時其員工流覽網際網路。
如果您要向企業客戶銷售裝置,您想要提供支援企業所需安全性功能的硬體。
Oem:若要深入瞭解Microsoft Defender 應用程式防護的硬體需求,請參閱Microsoft Defender 應用程式防護硬體需求。
Microsoft Defender Credential Guard
Credential Guard 使用虛擬化型安全性來隔離和保護秘密 (,例如 NTLM 密碼雜湊和 Kerberos 票證授與票證) 封鎖傳遞雜湊或票證傳遞攻擊。
Oem:若要深入瞭解 Microsoft Defender Credential Guard 的硬體需求,請參閱Microsoft Defender Credential Guard 硬體需求。
IT 專業人員:若要瞭解如何在企業中設定及部署 Microsoft Defender Credential Guard,請參閱使用 Microsoft Defender Credential Guard 保護衍生網域認證。
Hypervisor-Protected程式碼完整性是企業相關硬體和軟體安全性功能的組合,一起設定時,會鎖定裝置,使其只能執行程式碼完整性原則中定義的受信任應用程式。
從 Windows 10 1703 開始,Microsoft Defender Device Guard功能已分組為兩項新功能:Microsoft Defender惡意探索防護和Microsoft Defender應用程式控制。 當兩者都啟用時,Hypervisor-Protected程式碼完整性已啟用。
Oem: 如需Hypervisor-Protected程式碼完整性硬體需求的詳細資訊,請參閱 虛擬式安全性 (VBS) 。
IT 專業人員: 若要瞭解如何在企業中部署Hypervisor-Protected程式碼完整性,請參閱 Hypervisor-Protected程式碼完整性的需求和部署規劃指導方針。
核心 DMA 保護
硬體式安全性功能也稱為「記憶體存取保護」,可在開機程式期間和作業系統執行時間期間,針對惡意的 DMA 攻擊提供隔離和保護。
Oem: 如需核心 DMA 保護平臺需求的詳細資訊,請參閱 OEM 的核心 DMA 保護。
驅動程式開發人員: 如需核心 DMA 保護和 DMA 重新對應相容驅動程式的詳細資訊,請參閱 啟用設備磁碟機的 DMA 重新對應。
IT 專業人員: 若要深入瞭解核心 DMA 保護原則和使用者體驗,請參閱 核心 DMA 保護。
Windows Hello
Microsoft Windows Hello可為使用者提供個人、安全的體驗,其中裝置會根據其存在狀態進行驗證。 使用者看一眼或碰一下就能登入,不再需要輸入密碼。 與 Microsoft Passport 搭配使用生物特徵辨識,生物特徵辨識會使用指紋或臉部辨識,且更安全、更個人且更方便。
如需Windows Hello如何與隨附裝置架構搭配運作的詳細資訊,請參閱Windows Hello和隨附裝置架構。
如需支援Windows Hello生物特徵辨識需求的相關資訊,請參閱Windows Hello生物特徵辨識需求。
如需臉部驗證運作方式的相關資訊,請參閱Windows Hello臉部驗證。