Windows Hello は顔認証、指紋認証、セキュリティ キーでも対応できます。

アカウントの保護

Windows Hello

Windows Hello を使用すると高速で安全なサインインを行うことができます。

サインインオプションの管理

顔認証カメラ、虹彩センサー、指紋リーダーからのデータはデータ表現 (グラフ) が作成されて、デバイスに保存される前に暗号化されますので安心です。

Windows Hello を有効にするには
[スタート] ー [設定] - [アカウント] - [サインイン オプション] の順に移動し、セットアップする Windows Hello の方法を選択してから、[セットアップ] を選びます。[サインイン オプション] で [Windows Hello] が表示されない場合はデバイスに Windows Hello が使用できない可能性があります。

・Windows Hello 顔認証
デバイスに顔認証用のカメラがついていない場合は、mouse USB顔認証カメラ Windows Hello 機能対応 CM01 などを購入して利用することもできるようです。

・Windows Hello 指紋認証
USBタイプのものが販売されています。このようなものを利用するのも安全でいいと思います。

・Windows Hello 暗唱番号(PIN)
特別なデバイスは不要で、4 桁という少ない数字でサインインが出来ます。この数字を他人に見られるとなりすましでログインできてしまうので危険です。注意が必要です。

・セキュリティ キー
USBタイプで amazon で販売されていました。これはキーの中に ID とパスワードを保存しておいて、このキーをパソコンの USB に接続して使うようです。

・ピクチャ パスワード
指定した画像の上で、円、直線、タップを組み合わせたジェスチャー(動作)をパスワードに設定し、設定したジェスチャーでサインインする方法です。
設定方法については下記のリンク先に画像付きで詳しく説明してあります。参考にして下さい。
NEC LAVIE公式サイト > サービス&サポート > Q&A > Q&A番号 018113 (nec-lavie.jp)

動的ロック

「動的ロック」の画面は、「Windows Hello」の画面からも設定できます。同じ画面です。

動的ロックの設定

ここでは、KumaPhone が表示されています。
これは私がカフェで Surface Go 2 を使用中にトイレに行きたくなったとき、スマホ iPhone をもって行くと 1 秒後に Surface Go 2 の画面が真っ黒になりロックされるということです。

Buluetooth とその他のデバイス

下図の「ワイヤレスディスプレイまたはドック」を選択してスマホとペアリングを行って下さい。

アプリの再起動(Windows 10 May 2020 Update(バージョン2004)から対応)

再起動可能なアプリをサインアウト時に自動保存し、サインイン後に今まで開いて使っていたアプリを再起動することができます。
但し、通常のシャットダウンで終了し、電源を ON にした状態ではアプリは起動しません。
HPのデスクトップ、Surface Go 2 でテストしたらアプリは再起動しました。

プライバシー

電源を ON してサインイン画面が表示される時、画像、名前の下に小さく電子メールアドレスが表示されます。通常これは表示しない方がいいと思うので初期値のまま [ オフ ] にしておきます。

ファイアウォールとネットワークの保護

ドメインネットワーク、プライベートネットワーク、パブリックネットワークともに初期値は 有効 で安全に管理されています。

ドメイン ネットワーク

別のファイアウォールが ON になっていても不正アクセスの攻撃を受けないように Microsoft Defender ファイアウォールも ON にする。

アプリとブラウザーの制御

認識されないアプリ、ファイル、悪意のあるサイト、ダウンロード、および Web コンテンツをブロックしたり警告や OFF の設定を行います。

評価ベースの保護

分離されたブラウザ

マルウェアからデバイスとデータ保護するために分離されたブラウザ環境で Microsoft Edge
を開きます。

Microsoft Defender Application  Guard のインストール があります。

信頼できないサイトを開く時は仮想化されたコンテナーで開きデバイスとデータを保護します。

これらの設定をオンにすると、システムの安全が下がる可能性があります。 各データは、何らかの種類のデータをコンテナーに送信したり、コンテナーの外に送信したり (実質的に穴を突く)、リスクが高い可能性があります。 オンにする必要がない限り、オフのままにすることをお勧めします。

という事で下記よりアンインストールします。アンインストールはインストール時に画面が表示されるので逆の作業を行うと出来ます。

Exploit protection

エクスプロイト保護 は、悪用を使用してデバイスに感染し、拡散するマルウェアから保護するのに役立ちます。既に実行されデバイスは保護されていますが、プログラムの設定はいつでもカスタマイズできます。Windows イベント ログや、Microsoft セキュリティ センターで Exploit Protection がアプリをブロックまたは監査 する際に作成されるイベントを確認することができます。

Exploit Protection の設定
下記のような設定が行えます。

デバイス セキュリティ

コアの分離

コンピューター プロセスをオペレーティング システムとデバイスから分離することにより、マルウェアや他の攻撃からの保護を強化します。

メモリの整合性は、コア分離の 1 つの機能です。これは、攻撃による変更を防ぐために、これらのコア プロセスを実行しているコードの整合性を定期的に検証します。
システムでサポートされている場合は、この設定をオンのままにすることをお勧めします。

セキュリティ プロセッサ

トラステッド プラットフォーム モジュール (TPM)と呼ばれるセキュリティ プロセッサにより、お使いのデバイスに追加の暗号化が提供されます。
TPM は BitLocker で暗号化する時に必要なもので Windows11 では必需品になっています。

セキュア ブート

コンピュータの電源を ON した時、プロセッサ、メモリ、ハードウェア周辺機器などの安全性を確保するため、Secure Boot の署名データベースと一致した場合にモジュールが実行されコンピュータが起動します。