Если ваша компания стремится воспользоваться преимуществами функций безопасности корпоративного уровня в Windows 10, то следует приобретать оборудование, соответствующее стандартам, указанным в списке производителя. В течение последних двух с половиной лет компания Microsoft непрерывно добавляла и совершенствовала функции безопасности Windows 10 при каждом обновлении компонентов.

Пользователи выиграли от перехода на операционную систему, менее уязвимую для таких атак, как WannaCry и Petya, но корпоративные клиенты получают еще более глубокие функции защиты операционной системы и данных, сохраненных на этих устройствах.

Однако для полноценного использования возможностей некоторых новых функций безопасности требуются аппаратные средства определенных типов.

В документе по адресу: https://docs.microsoft.com/en-us/windows-hardware/design/device-experiences/oem-highly-secure, опубликованном на сайте центра разработки оборудования Microsoft, приводится контрольный список основных аппаратных характеристик, необходимых для того, чтобы полностью задействовать меры безопасности, ставшие стандартной частью Windows 10.

Эти стандарты применяются к последнему обновлению компонентов для Windows 10, Fall Creators Update и к функциям безопасности, встроенным в эту версию.

Центральный процессор 

Intel (до процессоров 7-го поколения)

  • Intel i3/i5/i7/i9-7x;
  • Core M3-7xxx;
  • Xeon E3-xxxx;
  • Atom, Celeron, Pentium (текущий).

AMD (до процессоров 7-го поколения)

  • A Series Ax-9xxx;
  • E Series Ex-9xxx;
  • FX Series (FX-9xxx).

Архитектура процессора

Для безопасности на основе виртуализации требуется гипервизор Windows, который совместим лишь с 64-разрядными процессорами IA или ARM v8.2.

Виртуализация

  • Процессоры системы должны обеспечивать виртуализацию Input-Output Memory Management Unit (IOMMU) со всеми устройствами ввода-вывода, защищенного IOMMU/SMMU. Системы должны располагать технологией Intel VT-d, AMD-Vi или ARM64 SMMU.
  • Обязательно наличие расширений виртуальной машины с преобразованием адресов второго уровня Second Level Address Translation (SLAT). Системы должны располагать технологией Intel Vt-x с Extended Page Tables (EPT) для процессоров Intel или Rapid Virtualization Indexing (RVI) для процессоров AMD.
  • Возможности виртуализации оборудования должны быть доступны операционной системе и известны встроенному программному обеспечению системы.

Доверенный платформенный модуль Trusted Platform Module (TPM)

  • Системы должны располагать TPM версии 2.0 или более новой. К ним относятся Intel (PTT), AMD или отдельные TPM компаний Infineon, STMicroelectronics и Nuvoton.
  • Оборудование должно соответствовать спецификации Trust­worthy Computing Group (https://trustedcomputinggroup.org/trusted-computing/).

Верификация загрузки платформы

Необходимо использовать криптографически верифицируемую загрузку платформы. Это может быть Intel Boot Guard в режиме Verified Boot, AMD Hardware Verified Boot или любой равноценный режим стороннего поставщика с такой же функциональностью.

Оперативная память

Не менее 8 Гбайт оперативной памяти.

Встроенное программное обеспечение

Существует шесть требований, которым должно соответствовать встроенное программное обеспечение, чтобы удовлетворить спецификации безопасности и использовать расширенные функции защиты в осеннем обновлении Windows 10 для дизайнеров.

  • Стандарт: интерфейс Unified Extension Firmware Interface (UEFI) (https://docs.microsoft.com/en-us/windows-hardware/design/device-experiences/oem-uefi) версии 2.4 или более новой.
  • Класс: UEFI Class 2 или Class 3 (http://uefi.org/specifications).
  • Целостность кода: встроенные драйверы (https://blogs.msdn.microsoft.com/windows_hardware_certification/2015/05/22/driver-compatibility-with-device-guard-in-windows-10/) должны соответствовать Code Integrity (HVCI) на основе гипервизора.
  • Безопасная загрузка: обязательна поддержка UEFI Secure Boot (https://docs.microsoft.com/en-us/windows-hardware/design/device-experiences/oem-secure-boot), причем режим должен быть включен по умолчанию.
  • Secure MOR: обязательно использовать Secure MOR (https://docs.microsoft.com/en-us/windows-hardware/drivers/bringup/device-guard-requirements) (номер редакции 2).
  • Обновления: обязательна поддержка спецификации Windows UEFI Firmware Capsule Update (https://docs.microsoft.com/en-us/windows-hardware/drivers/bringup/windows-uefi-firmware-update-platform).

Поясню, что эти спецификации выходят за рамки минимальных требований к оборудованию (https://docs.microsoft.com/en-us/windows-hardware/design/minimum/minimum-hardware-requirements-overview), необходимому для запуска Windows 10 версии Fall Creators Update.

Если ваше новое оборудование соответствует перечисленным выше спецификациям безопасности, вы сможете применить следующие компоненты защиты версии Fall Creators Update:

  • проверка приложений Windows Defender Application Control;
  • антивирусная программа «Защит­ник Windows»;
  • Exploit Guard в «Защитнике Windows»;
  • Application Guard в «Защитнике Windows»;
  • System Guard в «Защитнике Windows»;
  • Advanced Threat Protection в «Защитнике Windows»;
  • Device Guard в «Защитнике Windows»;
  • Windows Information Protection;
  • Windows Hello;
  • BitLocker и BitLocker To Go.

Дополнительные сведения о корпоративных и ориентированных на сферу бизнеса функциях безопасности Windows 10 можно получить в центре обеспечения безопасности Windows (https://www.microsoft.com/en-us/WindowsForBusiness/Windows-security).