- ข้อความ
- ประวัติศาสตร์
Windows 10 has platform integrity a
Windows 10 has platform integrity and data protection features that rely on the underlying hardware to strengthen the system's security:
Secure boot
Helps ensure the user is running verified, authorized code to prevent malware infection or malicious modifications.
Measured boot
Securely measures all components that load during boot so the health of a system can be determined and attested to.
Data protection (BitLocker)
Encrypts the full volume to ensure that all user data is protected when a device is lost or stolen.
The underlying hardware and firmware must support a secure boot path, TPM capabilities, and cryptographic offload from the pre-operating system and run-time Windows components. To deliver a robust system performance, a set of defined cryptographic functions must be implemented. To do so, use an acceleration engine or dedicated security processor available within the SoC or core logic chipset or processor.
Secure boot
The firmware requirements for implementing secure boot are:
The platform exposes an interface that adheres to the profile of UEFI v2.3.1 Section 27.
The platform must come provisioned with the correct keys in the UEFI Signature database (db) to allow Windows to boot. It must also support secure authenticated updates to the db and dbx per the spec.
Storage of secure variables must be isolated from the running operating system such that they cannot be modified without detection.
All firmware components are signed using at least RSA-2048 with SHA-256.
When power is turned on, the system starts executing code in the firmware and uses public key cryptography as per algorithm policy to verify the signatures of all images in the boot sequence, up to and including the Windows Boot Manager.
The system must protect against rollback of firmware to older versions.
The platform provides the EFI_HASH_PROTOCOL (per UEFI v2.3.1) for offloading cryptographic hash operations and the EFI_RNG_PROTOCOL (Microsoft defined) for accessing platform entropy.
Measured boot
Measured boot requires the following firmware requirements:
The platform must provide a TCG-compliant TPM implementation available to the pre-operating system and runtime operating system.
During the boot sequence, the boot firmware and software measures all firmware and all software components being loaded into the TPM.
For platform attestation, the SoC vendor must provision an Endorsement Key certificate. The certificate profile is provided separately.
Support for platform attestation.
Ability to protect register values from within Windows, and sign the values with a platform key.
Support for isolated storage.
Access to isolated non-volatile, sealed storage for storing long term secrets.
Loading and storing key data within sealed storage.
For TPM requirements, see Minimum hardware requirements. For detailed TPM information, see Trusted Platform Module topic on TechNet.
Data protection (BitLocker)
To support full volume encryption of all data in a manner that does not consume excessive power yet performs well, Advanced Encryption Standard (AES) acceleration within the must be provided to Windows.
A BCrypt provider for the is required to access the platform's cryptographic acceleration capabilities. The BCrypt interface is documented on the MSDN website, and provides the base framework for cryptographic operations. A BCrypt provider is used in both user mode and kernel mode to provide the necessary cryptographic run-time services.
Encrypted drive
An encrypted drive is a hardware solution that protects the user's data with BitLocker. It uses the hardware-based encryption solution to provide the user with a seamless end-to-end data security solution.
With Encrypted Drive, you can deliver enhanced security protection out-of-the-box, with near zero-impact to the user. The combination of BitLocker and Encrypted Drive provides immediate encryption support with nonoticeable effect on the user experience. You can set up BitLocker so the user doesn’t have to do anything. Encrypted Drive offers a premium configuration.
To enable support for Encrypted Drive, the PC must meet the following requirements:
Self-encrypting drives that meet industry specifications of IEEE 1667, TCG OPAL (subset), and INCITS T13
UEFI 2.3.1 Class 2 implementation using GPT on the Encrypted Drive (to support boot)
Windows SKUs that support BitLocker
TPM
For additional recommendations, see Bitlocker topic on TechNet.
Preboot memory protection
Before Windows finishes booting and taking control of the system and its buses and ports, the firmware is the go-between for port and bridge controller availability on the platform. However, during the boot process for encrypted operating system volumes, BitLocker handles encryption keys in memory to decrypt the volume containing the Windows loader and the rest of the Windows operating system - these keys must be protected.
The boot firmware must protect physical memory from all DMA-capable
Secure boot
Helps ensure the user is running verified, authorized code to prevent malware infection or malicious modifications.
Measured boot
Securely measures all components that load during boot so the health of a system can be determined and attested to.
Data protection (BitLocker)
Encrypts the full volume to ensure that all user data is protected when a device is lost or stolen.
The underlying hardware and firmware must support a secure boot path, TPM capabilities, and cryptographic offload from the pre-operating system and run-time Windows components. To deliver a robust system performance, a set of defined cryptographic functions must be implemented. To do so, use an acceleration engine or dedicated security processor available within the SoC or core logic chipset or processor.
Secure boot
The firmware requirements for implementing secure boot are:
The platform exposes an interface that adheres to the profile of UEFI v2.3.1 Section 27.
The platform must come provisioned with the correct keys in the UEFI Signature database (db) to allow Windows to boot. It must also support secure authenticated updates to the db and dbx per the spec.
Storage of secure variables must be isolated from the running operating system such that they cannot be modified without detection.
All firmware components are signed using at least RSA-2048 with SHA-256.
When power is turned on, the system starts executing code in the firmware and uses public key cryptography as per algorithm policy to verify the signatures of all images in the boot sequence, up to and including the Windows Boot Manager.
The system must protect against rollback of firmware to older versions.
The platform provides the EFI_HASH_PROTOCOL (per UEFI v2.3.1) for offloading cryptographic hash operations and the EFI_RNG_PROTOCOL (Microsoft defined) for accessing platform entropy.
Measured boot
Measured boot requires the following firmware requirements:
The platform must provide a TCG-compliant TPM implementation available to the pre-operating system and runtime operating system.
During the boot sequence, the boot firmware and software measures all firmware and all software components being loaded into the TPM.
For platform attestation, the SoC vendor must provision an Endorsement Key certificate. The certificate profile is provided separately.
Support for platform attestation.
Ability to protect register values from within Windows, and sign the values with a platform key.
Support for isolated storage.
Access to isolated non-volatile, sealed storage for storing long term secrets.
Loading and storing key data within sealed storage.
For TPM requirements, see Minimum hardware requirements. For detailed TPM information, see Trusted Platform Module topic on TechNet.
Data protection (BitLocker)
To support full volume encryption of all data in a manner that does not consume excessive power yet performs well, Advanced Encryption Standard (AES) acceleration within the must be provided to Windows.
A BCrypt provider for the is required to access the platform's cryptographic acceleration capabilities. The BCrypt interface is documented on the MSDN website, and provides the base framework for cryptographic operations. A BCrypt provider is used in both user mode and kernel mode to provide the necessary cryptographic run-time services.
Encrypted drive
An encrypted drive is a hardware solution that protects the user's data with BitLocker. It uses the hardware-based encryption solution to provide the user with a seamless end-to-end data security solution.
With Encrypted Drive, you can deliver enhanced security protection out-of-the-box, with near zero-impact to the user. The combination of BitLocker and Encrypted Drive provides immediate encryption support with nonoticeable effect on the user experience. You can set up BitLocker so the user doesn’t have to do anything. Encrypted Drive offers a premium configuration.
To enable support for Encrypted Drive, the PC must meet the following requirements:
Self-encrypting drives that meet industry specifications of IEEE 1667, TCG OPAL (subset), and INCITS T13
UEFI 2.3.1 Class 2 implementation using GPT on the Encrypted Drive (to support boot)
Windows SKUs that support BitLocker
TPM
For additional recommendations, see Bitlocker topic on TechNet.
Preboot memory protection
Before Windows finishes booting and taking control of the system and its buses and ports, the firmware is the go-between for port and bridge controller availability on the platform. However, during the boot process for encrypted operating system volumes, BitLocker handles encryption keys in memory to decrypt the volume containing the Windows loader and the rest of the Windows operating system - these keys must be protected.
The boot firmware must protect physical memory from all DMA-capable
0/5000
Windows 10 มีแพลตฟอร์มที่สมบูรณ์และข้อมูลคุณลักษณะการป้องกันที่อาศัยฮาร์ดแวร์พื้นฐานเพื่อเสริมสร้างความปลอดภัยของระบบ:การบูตแบบปลอดภัยช่วยให้ผู้ใช้ที่กำลังเรียกใช้รหัสที่ได้รับอนุญาตเพื่อป้องกันการติดเชื้อมัลแวร์หรือการเปลี่ยนแปลงที่เป็นอันตราย การตรวจสอบวัดบูตแน่นวัดส่วนประกอบทั้งหมดที่โหลดระหว่างการเริ่มระบบเพื่อสุขภาพของระบบสามารถกำหนด และยึดไปการป้องกันข้อมูล (BitLocker)เข้ารหัสลับไดรฟ์ข้อมูลทั้งหมดเพื่อให้แน่ใจว่า มีป้องกันข้อมูลผู้ใช้ทั้งหมดเมื่อเครื่องหาย หรือถูกขโมยพื้นฐานฮาร์ดแวร์และเฟิร์มแวร์ต้องสนับสนุนเส้นทางปลอดภัย ความสามารถของ TPM และถ่ายข้อมูลที่เข้ารหัสลับจากคอมโพเนนต์ Windows ระบบและทำงานล่วงหน้า เพื่อประสิทธิภาพระบบที่แข็งแกร่ง ต้องใช้ชุดของฟังก์ชันเข้ารหัสลับที่กำหนด การทำงาน ใช้การเร่งเครื่องยนต์หรือตัวประมวลผลความปลอดภัยโดยเฉพาะใน SoC หรือชิปเซ็ตหลักตรรกะ หรือประมวลผลการบูตแบบปลอดภัยความต้องการเฟิร์มแวร์สำหรับการใช้งานปลอดภัยคือ:แพลตฟอร์ม exposes อินเทอร์เฟซที่สอดคล้องกับโพรไฟล์ของ UEFI v2.3.1 27 ส่วนแพลตฟอร์มต้องมาเตรียมใช้งานกับปุ่มที่ถูกต้องในฐานข้อมูลลายเซ็น UEFI (db) เพื่ออนุญาตให้ Windows เริ่มระบบ นอกจากนี้มันยังต้องสนับสนุนการปรับปรุงการรับรองความถูกต้องปลอดภัย db และ dbx ต่อข้อมูลจำเพาะเก็บข้อมูลของตัวแปรที่เชื่อถือได้ต้องแยกจากระบบปฏิบัติการทำเช่นที่พวกเขาไม่สามารถแก้ไข โดยการตรวจจับส่วนประกอบของเฟิร์มแวร์ทั้งหมดมีการลงชื่อใช้น้อย RSA 2048 กับ SHA 256เมื่อเปิด ระบบเริ่มต้นการใช้งานของรหัสในเฟิร์มแวร์ และใช้เข้ารหัสคีย์สาธารณะตามอัลกอริทึมนโยบายการตรวจสอบลายเซ็นของภาพทั้งหมดในลำดับการเริ่มระบบ สูงสุดและรวมถึง Windows Boot Managerระบบต้องป้องกันการย้อนกลับของเฟิร์มแวร์รุ่นเก่าแพลตฟอร์มให้ EFI_HASH_PROTOCOL (ต่อ UEFI v2.3.1) สำหรับถ่ายงานแฮที่เข้ารหัสลับและ EFI_RNG_PROTOCOL (Microsoft กำหนด) สำหรับการเข้าถึงแพลตฟอร์ม entropyวัดบูตวัดบูตต้องความต้องการเฟิร์มแวร์ต่อไปนี้:แพลตฟอร์มต้องจัดให้มีการดำเนินการ TPM ตามมาตรฐาน TCG ที่พร้อมใช้งานระบบปฏิบัติการก่อนการดำเนินงานระบบและรันไทม์ระหว่างลำดับการเริ่มระบบ ซอฟต์แวร์และเฟิร์มแวร์บูตวัดเฟิร์มแวร์ทั้งหมดและส่วนประกอบซอฟต์แวร์ทั้งหมดที่โหลดใน TPMแพลตฟอร์มหนังสือมอบอำนาจ ผู้ขาย SoC ต้องสำรองใบรับรองของคีย์การรับรอง โพรไฟล์ประกาศนียบัตรมีบริการแยกต่างหากการสนับสนุนแพลตฟอร์มหนังสือมอบอำนาจความสามารถในการปกป้องค่าลงทะเบียนจากภายใน Windows และลงค่ากับคีย์แพลตฟอร์มการสนับสนุนสำหรับเก็บ isolatedเข้าถึงไม่ลบ ปิดผนึกเก็บ isolated สำหรับการจัดเก็บระยะยาวความลับการโหลด และการจัดเก็บข้อมูลสำคัญภายในเก็บปิดผนึกสำหรับความต้องการของ TPM ดูฮาร์ดแวร์ขั้นต่ำ สำหรับข้อมูลรายละเอียดใน TPM ดูหัวข้อโมดูแพลตฟอร์มที่เชื่อถือได้บน TechNetการป้องกันข้อมูล (BitLocker)เพื่อสนับสนุนไดรฟ์ข้อมูลทั้งหมด การเข้ารหัสข้อมูลทั้งหมดในลักษณะที่ไม่ได้ใช้พลังงานมากเกินไปทำดี เร่งการเข้ารหัสลับมาตรฐาน (AES) ภายในจะต้องมีให้กับ Windowsผู้ให้บริการ BCrypt สำหรับจะต้องเข้าถึงความสามารถในการเข้ารหัสลับเร่งแพลตฟอร์ม อินเทอร์เฟซสำหรับ BCrypt มีการระบุไว้บนเว็บไซต์ MSDN อันกรอบฐานสำหรับการดำเนินการเข้ารหัสลับ ผู้ให้บริการ BCrypt ใช้ในโหมดผู้ใช้และโหมดเคอร์เนลเพื่อให้บริการขณะเรียกใช้เข้ารหัสลับจำเป็นไดรฟ์เข้ารหัสลับแก้ไขปัญหาฮาร์ดแวร์ที่ช่วยป้องกันข้อมูลของผู้ใช้ ด้วย BitLocker ไดรฟ์เข้ารหัสลับได้ มันใช้วิธีการแก้ไขปัญหาในการเข้ารหัสฮาร์ดแวร์เพื่อให้ มีระบบความปลอดภัยข้อมูลสิ้นสุดเพื่อสิ้นสุดราบรื่นไดรฟ์เข้ารหัสลับ คุณสามารถส่งความปลอดภัยป้องกันการออกของการ มีใกล้ศูนย์ผลกระทบต่อผู้ใช้ การรวมและการเข้ารหัสลับไดรฟ์ BitLocker ให้การสนับสนุนการเข้ารหัสลับทันทีกับ nonoticeable ผลต่อประสบการณ์ของผู้ใช้ คุณสามารถตั้งค่า BitLocker เพื่อให้ผู้ใช้ไม่ต้องทำอะไร ไดรฟ์เข้ารหัสลับให้บริการแบบพรีเมี่ยมการเปิดใช้งานการสนับสนุนสำหรับการเข้ารหัสลับไดรฟ์ เครื่องคอมพิวเตอร์จำเป็นต้องต่อไปนี้:การเข้ารหัสลับไดรฟ์ที่ตรงกับข้อมูลจำเพาะอุตสาหกรรม IEEE 1667, TCG OPAL (ย่อย), และ INCITS T13 ด้วยตนเองUEFI 2.3.1 การดำเนินการประเภทที่ 2 ใช้ GPT บนไดรฟ์เข้ารหัสลับ (การสนับสนุนสำหรับการเริ่มระบบ)Sku ของ Windows ที่สนับสนุน BitLockerTPMสำหรับคำแนะนำเพิ่มเติม ดูหัว Bitlocker บน TechNetการป้องกันหน่วยความจำกระบวนการ prebootก่อนที่ Windows เสร็จสิ้นการเริ่มระบบ และการควบคุมของระบบ และรถประจำทาง และพอร์ต เฟิร์มแวร์เป็นนวัยสำหรับพร้อมใช้งานตัวควบคุมพอร์ตและสะพานบนแพลตฟอร์ม อย่างไรก็ตาม ในระหว่างกระบวนการเริ่มระบบสำหรับระบบปฏิบัติการเข้ารหัสลับไดรฟ์ข้อมูล BitLocker จัดการคีย์การเข้ารหัสในหน่วยความจำถอดรหัสลับไดรฟ์ข้อมูลโหลด Windows และส่วนเหลือของระบบปฏิบัติการ Windows - คีย์เหล่านี้ต้องได้รับการป้องกันเฟิร์มแวร์บูตต้องป้องกันหน่วยความจำกายภาพทั้งหมด DMA สามารถ
การแปล กรุณารอสักครู่..
วินโดวส์ 10 มีความสมบูรณ์ของแพลตฟอร์มและการปกป้องข้อมูลคุณสมบัติที่ต้องพึ่งพาฮาร์ดแวร์พื้นฐานเพื่อเสริมสร้างการรักษาความปลอดภัยของระบบ:
บูตที่ปลอดภัย
ช่วยให้มั่นใจว่าผู้ใช้จะทำงานตรวจสอบรหัสที่ได้รับอนุญาตเพื่อป้องกันการติดเชื้อหรือเป็นอันตรายการปรับเปลี่ยนมัลแวร์
บูตวัด
อย่างปลอดภัยขนาดส่วนประกอบทั้งหมดที่โหลดในระหว่างการบูตเพื่อสุขภาพของระบบที่สามารถระบุได้และมีส่วนร่วมในการ
การป้องกันข้อมูล (BitLocker)
เข้ารหัสปริมาณเต็มรูปแบบเพื่อให้มั่นใจว่าข้อมูลของผู้ใช้ทุกคนได้รับการคุ้มครองเมื่ออุปกรณ์สูญหายหรือถูกขโมย
ฮาร์ดแวร์พื้นฐานและเฟิร์มต้องสนับสนุนแนวทางที่ปลอดภัยบูตความสามารถ TPM และ Offload การเข้ารหัสลับจากระบบก่อนการดำเนินงานและเวลาทำงานคอมโพเนนต์ของ Windows ในการส่งมอบประสิทธิภาพการทำงานของระบบที่แข็งแกร่ง, การตั้งค่าของฟังก์ชั่นการเข้ารหัสลับที่กำหนดไว้จะต้องดำเนินการ ที่จะทำเช่นนั้นใช้เครื่องยนต์อัตราเร่งหรือหน่วยประมวลผลการรักษาความปลอดภัยโดยเฉพาะใช้ได้ภายใน SoC หรือชิปเซ็ตหลักตรรกะหรือหน่วยประมวลผล
บูตที่เชื่อถือ
ข้อกำหนดเฟิร์มแวสำหรับการดำเนินการบูตที่ปลอดภัย:
แพลตฟอร์ม exposes อินเตอร์เฟซที่เป็นไปตามรายละเอียดของ UEFI v2.3.1 มาตรา 27 ด้วย
แพลตฟอร์มที่จะต้องมาจัดเตรียมด้วยปุ่มที่ถูกต้องในฐานข้อมูล UEFI ลายเซ็น (DB) เพื่อให้ Windows รองเท้า นอกจากนี้ยังต้องสนับสนุนการปรับปรุงการตรวจสอบสิทธิ์การรักษาความปลอดภัยให้กับฐานข้อมูลและ DBX ต่อข้อมูลจำเพาะ
การจัดเก็บข้อมูลของตัวแปรที่เชื่อถือได้ต้องแยกจากระบบปฏิบัติการที่ทำงานเช่นที่พวกเขาไม่สามารถแก้ไขได้โดยไม่ต้องมีการตรวจสอบ
เฟิร์มแวส่วนประกอบทั้งหมดจะถูกเซ็นชื่อด้วยอย่างน้อยอาร์เอส 2048 กับ SHA-256
เมื่อมีไฟเปิดอยู่ระบบจะเริ่มดำเนินการในเฟิร์มแวรหัสและใช้การเข้ารหัสคีย์สาธารณะตามนโยบายขั้นตอนวิธีการตรวจสอบลายเซ็นของภาพทั้งหมดในลำดับการบูตและรวมถึงการเริ่มต้นระบบ Windows ผู้จัดการ
ระบบจะต้องป้องกันการย้อนกลับของเฟิร์มกับรุ่นเก่า
แพลตฟอร์มให้ EFI_HASH_PROTOCOL (ต่อ UEFI v2.3.1) สำหรับการดำเนินงานระบายกัญชาเข้ารหัสลับและ EFI_RNG_PROTOCOL (ที่ไมโครซอฟท์กำหนด) สำหรับการเข้าถึงแพลตฟอร์มเอนโทรปี
วัดบูต
บูตวัดต้องใช้ความต้องการของเฟิร์มต่อไปนี้:
แพลตฟอร์มต้องจัดให้มีการดำเนินการ TPM TCG สอดคล้องสามารถใช้ได้กับระบบปฏิบัติการก่อนและระบบปฏิบัติการ Runtime
ระหว่างการบูต, บูตเฟิร์มแวร์และซอฟต์แวร์มาตรการเฟิร์มและทุกองค์ประกอบซอฟต์แวร์ที่ถูกโหลดลงของ TPM
สำหรับแพลตฟอร์มการรับรอง, การจัดหาผู้ให้บริการต้อง SoC การรับรองใบรับรองคีย์ รายละเอียดใบรับรองให้บริการแยกต่างหาก
การสนับสนุนสำหรับแพลตฟอร์มการรับรอง
ความสามารถในการปกป้องค่าลงทะเบียนจากภายใน Windows และลงชื่อค่าที่มีคีย์เวที
การสนับสนุนสำหรับการจัดเก็บแยก
การเข้าถึงไม่ระเหยที่เก็บปิดผนึกแยกสำหรับการจัดเก็บความลับในระยะยาว
รถขุดและการจัดเก็บข้อมูลที่สำคัญในการจัดเก็บที่ปิดสนิท
สำหรับความต้องการของ TPM ให้ดูที่ความต้องการของฮาร์ดแวร์ขั้นต่ำ สำหรับข้อมูล TPM รายละเอียดดูที่หัวข้อ Trusted Platform Module บน TechNet
การป้องกันข้อมูล (BitLocker)
เพื่อสนับสนุนการเข้ารหัสเต็มความจุของข้อมูลทั้งหมดในลักษณะที่ไม่ได้ใช้พลังงานมากเกินไปยังมีประสิทธิภาพดี Advanced Encryption Standard (AES) เร่งความเร็วภายในจะต้องให้กับ Windows
ผู้ให้บริการสำหรับ bcrypt จะต้องเข้าถึงแพลตฟอร์มของความสามารถในการเร่งการเข้ารหัสลับ อินเตอร์เฟซ bcrypt เป็นเอกสารบนเว็บไซต์ MSDN และให้กรอบฐานสำหรับการดำเนินการเข้ารหัสลับ ผู้ให้บริการ bcrypt ถูกนำมาใช้ทั้งในโหมดผู้ใช้และเคอร์เนลที่จำเป็นเพื่อให้บริการเวลาทำงานการเข้ารหัสลับ
การเข้ารหัสไดรฟ์
ไดรฟ์ที่เข้ารหัสเป็นโซลูชั่นฮาร์ดแวร์ที่ช่วยปกป้องข้อมูลของผู้ใช้ด้วย BitLocker โดยจะใช้วิธีการแก้ปัญหาการเข้ารหัสฮาร์ดแวร์ที่ใช้เพื่อให้ผู้ใช้ที่มีวิธีการแก้ปัญหาความปลอดภัยของข้อมูลที่ไร้รอยต่อแบบ end-to-end
ด้วยการเข้ารหัสไดรฟ์คุณสามารถส่งมอบการรักษาความปลอดภัยที่เพิ่มขึ้นออกจากกล่องที่มีอยู่ใกล้ศูนย์ส่งผลกระทบให้กับผู้ใช้ การรวมกันของ BitLocker และการเข้ารหัสไดรฟ์ให้การสนับสนุนการเข้ารหัสทันทีที่มีผล nonoticeable ในประสบการณ์ของผู้ใช้ คุณสามารถตั้งค่า BitLocker เพื่อให้ผู้ใช้ไม่ต้องทำอะไร การเข้ารหัสไดรฟ์มีการกำหนดค่าพรีเมี่ยม
ต้องการเปิดใช้งานการสนับสนุนสำหรับการเข้ารหัสไดรฟ์, คอมพิวเตอร์จะต้องตอบสนองความต้องการต่อไปนี้:
ไดรฟ์ที่เข้ารหัสด้วยตนเองที่ตรงตามข้อกำหนดของอุตสาหกรรม IEEE 1667, TCG OPAL (กลุ่มย่อย) และ INCITS T13
UEFI 2.3.1 ประเภทที่ 2 การดำเนินงานโดยใช้ GPT บนเข้ารหัสไดรฟ์ ( เพื่อสนับสนุนการบูต)
ของ Windows SKUs ที่สนับสนุน BitLocker
TPM
สำหรับคำแนะนำเพิ่มเติมโปรดดูที่หัวข้อ Bitlocker บน TechNet
ป้องกันหน่วยความจำ preboot
ก่อนที่จะใช้ Windows บูตเสร็จและการควบคุมของระบบขนส่งและพอร์ตของเฟิร์มเป็นไประหว่างสำหรับพอร์ตและสะพานความพร้อมควบคุมบนเวที อย่างไรก็ตามในระหว่างขั้นตอนการบู๊ตสำหรับไดรฟ์ระบบปฏิบัติการเข้ารหัส BitLocker จัดการคีย์การเข้ารหัสในหน่วยความจำในการถอดรหัสที่มีปริมาณการโหลด Windows และส่วนที่เหลือของระบบปฏิบัติการ Windows - ปุ่มเหล่านี้จะต้องได้รับการคุ้มครอง
เฟิร์มแวบูตต้องปกป้องหน่วยความจำกายภาพจากทั่วทุก DMA ที่มีความสามารถ
บูตที่ปลอดภัย
ช่วยให้มั่นใจว่าผู้ใช้จะทำงานตรวจสอบรหัสที่ได้รับอนุญาตเพื่อป้องกันการติดเชื้อหรือเป็นอันตรายการปรับเปลี่ยนมัลแวร์
บูตวัด
อย่างปลอดภัยขนาดส่วนประกอบทั้งหมดที่โหลดในระหว่างการบูตเพื่อสุขภาพของระบบที่สามารถระบุได้และมีส่วนร่วมในการ
การป้องกันข้อมูล (BitLocker)
เข้ารหัสปริมาณเต็มรูปแบบเพื่อให้มั่นใจว่าข้อมูลของผู้ใช้ทุกคนได้รับการคุ้มครองเมื่ออุปกรณ์สูญหายหรือถูกขโมย
ฮาร์ดแวร์พื้นฐานและเฟิร์มต้องสนับสนุนแนวทางที่ปลอดภัยบูตความสามารถ TPM และ Offload การเข้ารหัสลับจากระบบก่อนการดำเนินงานและเวลาทำงานคอมโพเนนต์ของ Windows ในการส่งมอบประสิทธิภาพการทำงานของระบบที่แข็งแกร่ง, การตั้งค่าของฟังก์ชั่นการเข้ารหัสลับที่กำหนดไว้จะต้องดำเนินการ ที่จะทำเช่นนั้นใช้เครื่องยนต์อัตราเร่งหรือหน่วยประมวลผลการรักษาความปลอดภัยโดยเฉพาะใช้ได้ภายใน SoC หรือชิปเซ็ตหลักตรรกะหรือหน่วยประมวลผล
บูตที่เชื่อถือ
ข้อกำหนดเฟิร์มแวสำหรับการดำเนินการบูตที่ปลอดภัย:
แพลตฟอร์ม exposes อินเตอร์เฟซที่เป็นไปตามรายละเอียดของ UEFI v2.3.1 มาตรา 27 ด้วย
แพลตฟอร์มที่จะต้องมาจัดเตรียมด้วยปุ่มที่ถูกต้องในฐานข้อมูล UEFI ลายเซ็น (DB) เพื่อให้ Windows รองเท้า นอกจากนี้ยังต้องสนับสนุนการปรับปรุงการตรวจสอบสิทธิ์การรักษาความปลอดภัยให้กับฐานข้อมูลและ DBX ต่อข้อมูลจำเพาะ
การจัดเก็บข้อมูลของตัวแปรที่เชื่อถือได้ต้องแยกจากระบบปฏิบัติการที่ทำงานเช่นที่พวกเขาไม่สามารถแก้ไขได้โดยไม่ต้องมีการตรวจสอบ
เฟิร์มแวส่วนประกอบทั้งหมดจะถูกเซ็นชื่อด้วยอย่างน้อยอาร์เอส 2048 กับ SHA-256
เมื่อมีไฟเปิดอยู่ระบบจะเริ่มดำเนินการในเฟิร์มแวรหัสและใช้การเข้ารหัสคีย์สาธารณะตามนโยบายขั้นตอนวิธีการตรวจสอบลายเซ็นของภาพทั้งหมดในลำดับการบูตและรวมถึงการเริ่มต้นระบบ Windows ผู้จัดการ
ระบบจะต้องป้องกันการย้อนกลับของเฟิร์มกับรุ่นเก่า
แพลตฟอร์มให้ EFI_HASH_PROTOCOL (ต่อ UEFI v2.3.1) สำหรับการดำเนินงานระบายกัญชาเข้ารหัสลับและ EFI_RNG_PROTOCOL (ที่ไมโครซอฟท์กำหนด) สำหรับการเข้าถึงแพลตฟอร์มเอนโทรปี
วัดบูต
บูตวัดต้องใช้ความต้องการของเฟิร์มต่อไปนี้:
แพลตฟอร์มต้องจัดให้มีการดำเนินการ TPM TCG สอดคล้องสามารถใช้ได้กับระบบปฏิบัติการก่อนและระบบปฏิบัติการ Runtime
ระหว่างการบูต, บูตเฟิร์มแวร์และซอฟต์แวร์มาตรการเฟิร์มและทุกองค์ประกอบซอฟต์แวร์ที่ถูกโหลดลงของ TPM
สำหรับแพลตฟอร์มการรับรอง, การจัดหาผู้ให้บริการต้อง SoC การรับรองใบรับรองคีย์ รายละเอียดใบรับรองให้บริการแยกต่างหาก
การสนับสนุนสำหรับแพลตฟอร์มการรับรอง
ความสามารถในการปกป้องค่าลงทะเบียนจากภายใน Windows และลงชื่อค่าที่มีคีย์เวที
การสนับสนุนสำหรับการจัดเก็บแยก
การเข้าถึงไม่ระเหยที่เก็บปิดผนึกแยกสำหรับการจัดเก็บความลับในระยะยาว
รถขุดและการจัดเก็บข้อมูลที่สำคัญในการจัดเก็บที่ปิดสนิท
สำหรับความต้องการของ TPM ให้ดูที่ความต้องการของฮาร์ดแวร์ขั้นต่ำ สำหรับข้อมูล TPM รายละเอียดดูที่หัวข้อ Trusted Platform Module บน TechNet
การป้องกันข้อมูล (BitLocker)
เพื่อสนับสนุนการเข้ารหัสเต็มความจุของข้อมูลทั้งหมดในลักษณะที่ไม่ได้ใช้พลังงานมากเกินไปยังมีประสิทธิภาพดี Advanced Encryption Standard (AES) เร่งความเร็วภายในจะต้องให้กับ Windows
ผู้ให้บริการสำหรับ bcrypt จะต้องเข้าถึงแพลตฟอร์มของความสามารถในการเร่งการเข้ารหัสลับ อินเตอร์เฟซ bcrypt เป็นเอกสารบนเว็บไซต์ MSDN และให้กรอบฐานสำหรับการดำเนินการเข้ารหัสลับ ผู้ให้บริการ bcrypt ถูกนำมาใช้ทั้งในโหมดผู้ใช้และเคอร์เนลที่จำเป็นเพื่อให้บริการเวลาทำงานการเข้ารหัสลับ
การเข้ารหัสไดรฟ์
ไดรฟ์ที่เข้ารหัสเป็นโซลูชั่นฮาร์ดแวร์ที่ช่วยปกป้องข้อมูลของผู้ใช้ด้วย BitLocker โดยจะใช้วิธีการแก้ปัญหาการเข้ารหัสฮาร์ดแวร์ที่ใช้เพื่อให้ผู้ใช้ที่มีวิธีการแก้ปัญหาความปลอดภัยของข้อมูลที่ไร้รอยต่อแบบ end-to-end
ด้วยการเข้ารหัสไดรฟ์คุณสามารถส่งมอบการรักษาความปลอดภัยที่เพิ่มขึ้นออกจากกล่องที่มีอยู่ใกล้ศูนย์ส่งผลกระทบให้กับผู้ใช้ การรวมกันของ BitLocker และการเข้ารหัสไดรฟ์ให้การสนับสนุนการเข้ารหัสทันทีที่มีผล nonoticeable ในประสบการณ์ของผู้ใช้ คุณสามารถตั้งค่า BitLocker เพื่อให้ผู้ใช้ไม่ต้องทำอะไร การเข้ารหัสไดรฟ์มีการกำหนดค่าพรีเมี่ยม
ต้องการเปิดใช้งานการสนับสนุนสำหรับการเข้ารหัสไดรฟ์, คอมพิวเตอร์จะต้องตอบสนองความต้องการต่อไปนี้:
ไดรฟ์ที่เข้ารหัสด้วยตนเองที่ตรงตามข้อกำหนดของอุตสาหกรรม IEEE 1667, TCG OPAL (กลุ่มย่อย) และ INCITS T13
UEFI 2.3.1 ประเภทที่ 2 การดำเนินงานโดยใช้ GPT บนเข้ารหัสไดรฟ์ ( เพื่อสนับสนุนการบูต)
ของ Windows SKUs ที่สนับสนุน BitLocker
TPM
สำหรับคำแนะนำเพิ่มเติมโปรดดูที่หัวข้อ Bitlocker บน TechNet
ป้องกันหน่วยความจำ preboot
ก่อนที่จะใช้ Windows บูตเสร็จและการควบคุมของระบบขนส่งและพอร์ตของเฟิร์มเป็นไประหว่างสำหรับพอร์ตและสะพานความพร้อมควบคุมบนเวที อย่างไรก็ตามในระหว่างขั้นตอนการบู๊ตสำหรับไดรฟ์ระบบปฏิบัติการเข้ารหัส BitLocker จัดการคีย์การเข้ารหัสในหน่วยความจำในการถอดรหัสที่มีปริมาณการโหลด Windows และส่วนที่เหลือของระบบปฏิบัติการ Windows - ปุ่มเหล่านี้จะต้องได้รับการคุ้มครอง
เฟิร์มแวบูตต้องปกป้องหน่วยความจำกายภาพจากทั่วทุก DMA ที่มีความสามารถ
การแปล กรุณารอสักครู่..
แพลตฟอร์ม Windows 10 มีความสมบูรณ์และการป้องกันข้อมูลที่มีคุณลักษณะที่ต้องพึ่งพาฮาร์ดแวร์พื้นฐานเพื่อเสริมสร้างความมั่นคงของระบบการบูตช่วยให้มั่นใจว่าผู้ใช้จะใช้ยืนยันได้รับอนุญาตรหัสเพื่อป้องกันไม่ให้ติดมัลแวร์ หรือการเปลี่ยนแปลงที่เป็นอันตรายวัดบูตปลอดภัยทุกมาตรการที่โหลดในช่วงบูตดังนั้นองค์ประกอบสุขภาพของระบบสามารถกำหนด และมีส่วนร่วมกับการป้องกันข้อมูล ( BitLocker )การเข้ารหัสเสียงแบบเต็มเพื่อให้แน่ใจว่า ข้อมูลทั้งหมดได้รับการคุ้มครองเมื่ออุปกรณ์สูญหายหรือถูกขโมยต้นแบบฮาร์ดแวร์และเฟิร์มแวต้องสนับสนุนการรักษาความปลอดภัยเส้นทางบูต TPM และระบบความสามารถในการเข้ารหัสลับจาก pre ระบบปฏิบัติการและส่วนประกอบเรียกใช้ Windows เพื่อให้ประสิทธิภาพของระบบที่แข็งแกร่ง , ชุดกำหนดรหัสลับหน้าที่ต้องปฏิบัติ ให้ใช้อัตราเร่งเครื่องยนต์ หรือเฉพาะการรักษาความปลอดภัยหน่วยประมวลผลที่มีอยู่ภายในส หรือหลักตรรกะ ชิปเซ็ต หรือประมวลผลการบูตเฟิร์มแวความต้องการสำหรับการดำเนินงานการบูต :แพลตฟอร์มเปิดอินเตอร์เฟซที่ยึดกับโปรไฟล์ของฟไอ v2.3.1 มาตรา 27แพลตฟอร์มต้อง Retail Banking กับปุ่มที่ถูกต้องในฟไอลายเซ็นฐานข้อมูล ( DB ) เพื่อให้ Windows บูต มันยังสนับสนุนการตรวจสอบและปรับปรุงฐานข้อมูล DBX ตาม specกระเป๋าของตัวแปรการต้องแยกจากรันระบบปฏิบัติการเช่นที่พวกเขาไม่สามารถแก้ไขได้โดยไม่ต้องตรวจสอบทั้งหมดส่วนประกอบของเฟิร์มแวลงนามใช้อย่างน้อย rsa-2048 กับ sha-256 .เมื่อไฟเปิดขึ้น ระบบจะรันโค้ดในเฟิร์มและใช้เทคโนโลยีกุญแจสาธารณะตามนโยบายขั้นตอนวิธีการตรวจสอบลายเซ็นของภาพทั้งหมดในลำดับการบูต รวมทั้ง Windows บูตผู้จัดการระบบต้องป้องกันการย้อนกลับของเฟิร์มกับรุ่นที่เก่ากว่าแพลตฟอร์มแสดง efi_hash_protocol ( ต่อฟไอ v2.3.1 ) สำหรับการถ่ายงานการเข้ารหัสลับกัญชาและ efi_rng_protocol ( Microsoft นิยามเอนโทรปี ) สำหรับการเข้าถึงแพลตฟอร์มวัดบูตวัดบูตต้องใช้เฟิร์มแวความต้องการต่อไปนี้ :แพลตฟอร์มจะต้องให้สอดคล้องกับการดำเนินงานของ TCG TPM ก่อนระบบปฏิบัติการและ Runtime ระบบปฏิบัติการในระหว่างลำดับการบูต , บูตเฟิร์มแวร์และซอฟต์แวร์มาตรการเฟิร์มและทั้งหมดส่วนประกอบซอฟต์แวร์ที่ถูกโหลดลงใน TPM .สำหรับการรับรองแพลตฟอร์ม , SOC ผู้ขายต้องการให้การรับรองคีย์ใบรับรอง ใบรับรองประวัติไว้ต่างหากสนับสนุนการรับรองแพลตฟอร์มความสามารถในการปกป้องลงทะเบียนค่าจากภายใน Windows , และเข้าสู่ระบบคุณค่ากับแพลตฟอร์มหลักการสนับสนุนสำหรับแยกเก็บการเข้าถึงแยกไม่ระเหย , ที่เก็บไว้เพื่อการจัดเก็บความลับในระยะยาวโหลดและจัดเก็บคีย์ข้อมูลภายในที่ปิดผนึกกระเป๋า .สำหรับความต้องการของ TPM , เห็นข้อกำหนดฮาร์ดแวร์ขั้นต่ำ สำหรับข้อมูลรายละเอียด TPM , เห็นโมดูลแพลทฟอร์มที่เชื่อถือได้ในเรื่อง Technet .การป้องกันข้อมูล ( BitLocker )สนับสนุนการเข้ารหัสเสียงเต็มรูปแบบของข้อมูลทั้งหมดในลักษณะที่ไม่กินไฟมากเกินไป ยังแสดงได้ดี มาตรฐานการเข้ารหัสขั้นสูง ( AES ) เร่งภายในจะต้องให้กับ Windowsเป็นผู้ให้บริการที่ให้จะต้องเข้าถึงแพลตฟอร์มการเข้ารหัสเร่งความสามารถในการ มีอินเตอร์เฟซที่เป็นเอกสารบนเว็บไซต์ MSDN และมีฐานกรอบการดำเนินการเข้ารหัส . ผู้ให้บริการที่ใช้ทั้งในโหมดผู้ใช้และโหมดเคอร์เนลเพื่อให้ความปลอดภัยเรียกใช้บริการไดรฟ์ที่เข้ารหัสการเข้ารหัสไดรฟ์ที่เป็นฮาร์ดแวร์โซลูชันที่ช่วยปกป้องข้อมูลของผู้ใช้ด้วย BitLocker . มันใช้วิธีการเข้ารหัสลับที่ใช้ฮาร์ดแวร์เพื่อให้ผู้ใช้กับข้อมูลโซลูชั่นรักษาความปลอดภัยแบบไร้รอยต่อ .กับไดรฟ์ที่เข้ารหัสลับ , คุณสามารถส่งเสริมการรักษาความปลอดภัยออกจากกล่องด้วยใกล้ศูนย์ผลกระทบต่อผู้ใช้ การรวมกันของ BitLocker และการเข้ารหัสไดรฟ์ให้การสนับสนุนการเข้ารหัสได้ทันที ด้วยผล nonoticeable ประสบการณ์ผู้ใช้ คุณสามารถตั้งค่า BitLocker โดยผู้ใช้ไม่ต้องทำอะไรเลย การเข้ารหัสไดรฟ์มีการตั้งค่าพรีเมี่ยมเพื่อเปิดใช้งานการสนับสนุนสำหรับไดรฟ์ที่เข้ารหัส , PC จะต้องตอบสนองความต้องการดังต่อไปนี้การเข้ารหัสลับไดรฟ์ด้วยตนเองที่ตรงกับข้อกำหนดของ IEEE 1667 TCG อุตสาหกรรม , โอปอล ( บางส่วน ) และ incits t132.3.1 การชั้น 2 ฟไอใช้ GPT ในการเข้ารหัสไดรฟ์ ( เพื่อสนับสนุนการบูต )หน้าต่าง BitLocker SKUs ที่สนับสนุนTPMสำหรับข้อเสนอแนะเพิ่มเติมดูหัวข้อ BitLocker ใน Technet .preboot ความจำ ป้องกันก่อน Windows เสร็จสิ้นการบูตและควบคุมระบบและรถโดยสารและพอร์ตเฟิร์มมีไประหว่างท่าเรือและสะพานควบคุมห้องพักบนแพลตฟอร์ม อย่างไรก็ตาม ในระหว่างกระบวนการบูตสำหรับไดรฟ์ระบบเข้ารหัส BitLocker จับคีย์การเข้ารหัสในหน่วยความจำเพื่อถอดรหัสเสียงที่มี Windows Loader และส่วนที่เหลือของระบบปฏิบัติการวินโดวส์ - คีย์เหล่านี้จะต้องได้รับการคุ้มครองเฟิร์มแวบูตต้องป้องกันหน่วยความจำจาก DMA สามารถ
การแปล กรุณารอสักครู่..
ภาษาอื่น ๆ
การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.
- 4 ครั้ง
- Is there a visual check of load residues
- We cannot find such shipment for West Ru
- currenly
- Yes business we both can explore because
- ตั้งใจทำงาน
- They look like they would just eat the c
- ตอนนั้นฉันร้องไห้หนักมาก
- ไม่ควรแต่งหน้าจัดจนเกินไปฉันคิดว่าเครื่อ
- Contractor
- agicuitural
- เด็กคนเมื่อกี้น่ารักMueaki cute children
- validity days
- Other benefits: Orlistat has been shown
- อาคารเรียนตึกที่1ของโรงเรียน.
- Il fait moins
- 하늘바라기
- - finishing the whole piece. - control w
- 4. Results
- ตกลงฉันจะเพิ่มคุณตอนนี้
- ยังติดต่อไม่ได้
- Oxide of nitrogen as air pollutants are
- acts inside message
- between forces ofdifferent nature
