Апаратна безпека
У цій версії Windows покращена нова функція — захист вбудованого ПЗ SMM. Ця функція заснована на параметрі політики Безпечний запуск System Guard і дозволяє скоротити поверхню атак на вбудоване програмне забезпечення, а також переконатися, що вбудоване програмне забезпечення SMM на пристрої працює в нормальному режимі (зокрема, SMM-код не може отримати доступ до пам’яті ОС і секретних даних ).
Завдяки цьому покращенню операційна система може визначити високий рівень відповідності SMM, що дозволяє ще більше захистити пристрої від експлойтів та уразливостей SMM. Залежно від платформи, базової версії обладнання та вбудованого ПЗ, є три версії захисту вбудованого ПЗ від SMM (перша, друга та третя), причому кожна з наступних версій пропонує більш надійний захист, ніж попередні.
Шифрування та захист даних
BitLocker та управління мобільними пристроями (MDM) з Azure Active Directory працюють спільно, щоб захистити пристрої від випадкового розкриття пароля. Тепер нова функція послідовної зміни ключів безпечно змінює паролі відновлення на пристроях, керованих MDM. Ця функція активується, коли Microsoft Intune/MDM або пароль відновлення використовується для розблокування диска, захищеного BitLocker. Внаслідок цього пароль відновлення буде краще захищений, коли користувачі вручну розблокують диск BitLocker.
Application Guard у Microsoft Defender
Автономні користувачі можуть інсталювати та настроювати параметри Application Guard у програмі Windows Defender без необхідності змінювати параметри розділу реєстру. Корпоративні користувачі можуть перевіряти свої параметри щодо того, що їх адміністратори налаштували для їх комп’ютерів, щоб краще зрозуміти поведінку Application Guard у Захиснику Windows.
Application Guard тепер є розширенням у Google Chrome та Mozilla Firefox. Багато користувачів працюють у гібридному браузерному середовищі і їм хотілося б використовувати технологію ізоляції браузера Application Guard у браузерах, відмінних від Microsoft Edge. В останньому випуску користувачі можуть встановити розширення Application Guard у браузері Chrome або Firefox. Це розширення перенаправляє підозрілі переходи у браузер Application Guard Edge. У Microsoft Store тепер є додаткова програма, яка дозволяє включити цю функцію. За допомогою цієї програми користувачі можуть швидко запускати Application Guard зі свого робочого столу.
Credential Guard у Захиснику Windows
Credential Guard у Захиснику Windows тепер доступний для пристроїв з архітектурою ARM64 для додаткового захисту від крадіжки облікових даних на підприємствах, що розгортають пристрої ARM64, такі як Surface Pro X.
Зміна та чергування ключів
У цьому випуску також представлено дві нові функції: зміна ключів та чергування ключів. Вони дозволяють безпечно змінювати паролі відновлення на пристроях Azure Active Directory, що знаходяться під керуванням MDM, на вимогу з Microsoft Intune/засобів MDM або за допомогою пароля відновлення для розблокування диска, захищеного за допомогою BitLocker. Ця функція допоможе запобігти випадковому розкриттю паролів відновлення при ручному розблокуванні диска BitLocker користувачами.