已公开的Windows 10在安全方面有着三项有份量的技术，这就是不同于传统意义密码的 Microsoft Passport（MP），用于防御PtH（Pass-the-Hash）攻击的Virtual Secure Mode(VSM) 以及设备卫士Device Guard（DG）。

Microsoft Passport

迄今为止，我们常见的密码保护除了字符数字型password外，主要有智能卡和PIN，MP与它们不同，它采用了Windows 10系统生成的惟一型不对称key Pair，其存储在硬件TPM（Trusted Platform Module）内，安全性超过以往的PKI（Public Key Infrastructure）。

在AAD (Azure Active Directory)乃至Windows Server 2016 AD中当然可以存放常规密码的公用秘钥，但它们已经能够接受MP，当然，其条件是要具备TPM。不过，MP方式允许用户将其他设备作为智能卡使用，例如智能手机，这也正是Windows 8中已有的虚拟智能卡技术的延拓。MP设计采用了Alliance标准中的FIDO (Fast IDentity Online)技术，它支持用户在调用不同的系统服务时采用的是不同的密码。

Virtual Secure Mode

Windows 10中提供的VSM模式，为一些涉及安全的的进程提供了更加可靠的运行环境，例如代码集成服务和LSA(Local Security Authority)，都将被迁移到进程Trustlets，后者在OS内的运行是独立的基于硬件方式的Hyper-V 容器，该容器没有GUI，不能通过网络访问，甚至回避了Windows内核，从而让VSM容器内的进程和数据足够安全。另外，在登录环节采用了NTLM加密算法。

VSM本质上就是一个微型的操作系统，它只需要1GB内存就足以运行LSA服务来进行所有的认证工作。这个机制不会影响到用户的PC性能，但用户需要安装Windows 10，并且CPU支持虚拟化技术，这意味着即使受到Windows内核rootkit或者bootkit的威胁，你的令牌仍然是安全的。

Device Guard

为了有效控制应用程序的运行，在Windows 10之前Vista企业版之后的系统提供了策略型SRP (Software Restriction Policies)以 及AppLocker，藉此指定哪些应用可执行，相关策略存放在活动目录AD（Active Directory）内。然而，DG并非只是更加复杂的SRP，它携手MP对设备进行锁定，用于防范一直难以有效防御的APTs (Advanced Persistent Threats)威胁。

DG可以阻止那些有嫌疑的应用，只让可信任应用正常运行（如正版软件产品，企业业务应用系统）。尽管AppLocker也提供了类似功能，但DG与其有明显不同之处在于，它是通过隔离进程的方式判定相关应用是否可靠，甚至采用硬件虚拟化确保系统不会让问题程序混入。