Windows 操作系统安全性
安全和隐私取决于操作系统,该操作系统从启动的那一刻起就保护你的系统和信息,提供基本的芯片到云保护。 Windows 11 是最安全的 Windows,但具有广泛的安全措施,旨在帮助确保你的安全。 这些措施包括内置的高级加密和数据保护、可靠的网络和系统安全,以及针对不断演变的威胁的智能防护措施。
观看最新的 Microsoft 机械Windows 11 安全视频,视频展示了一些最新的Windows 11 安全技术。
使用以下部分的链接详细了解 Windows 中的操作系统安全特性和功能。
系统安全性
| 功能名称 | 描述 |
|---|---|
| 安全启动和受信任启动 | 安全启动和受信任的启动有助于防止在设备启动时加载恶意软件和损坏的组件。 安全启动从初始启动保护开始,然后受信任的启动将选取进程。 安全启动和受信任的启动共同有助于确保系统安全可靠地启动。 |
| 测量启动 | 测量启动在启动 Windows 期间测量所有重要的代码和配置设置。 这包括:固件、启动管理器、虚拟机监控程序、内核、安全内核和操作系统。 测量启动将测量值存储在计算机上的 TPM 中,并使其在日志中可用,该日志可以远程测试以验证客户端的启动状态。 测量启动功能为反恶意软件提供受信任的 (,防止欺骗和篡改) 之前启动的所有启动组件的日志。 反恶意软件可以使用日志来确定之前运行的组件是否可信,或者它们是否感染了恶意软件。 本地计算机上的反恶意软件可以将日志发送到远程服务器进行评估。 远程服务器可以根据需要通过与客户端上的软件交互或通过带外机制(视情况而定)来启动补救措施。 |
| 设备运行状况证明服务 | Windows 设备运行状况验证过程支持零信任模式,可将焦点从静态、基于网络的外围转移到用户、资产和资源。 证明过程确认设备、固件和启动进程处于良好状态,在它们可以访问公司资源之前未被篡改。 该决策根据存储在 TPM 中的数据作出,TPM 提供安全的信任根。 信息将发送到验证服务(如 Azure 验证)以验证设备是否处于受信任状态。 然后,Microsoft Intune等 MDM 工具会评审设备运行状况,并将此信息与Microsoft Entra ID进行条件访问。 |
| Windows 安全策略设置和审核 | Microsoft 提供了一组可靠的安全设置策略,IT 管理员可以使用这些策略来保护 Windows 设备及其组织中的其他资源。 |
| 分配的访问权限 | 企业中的某些桌面设备具有特殊用途。 例如,大厅中客户用来查看产品目录的电脑。 或者,将视觉内容显示为数字符号的电脑。 Windows 客户端提供两种不同的公共或专用锁定体验:单应用展台,它在锁屏界面上方全屏运行单个通用 Windows 平台 (UWP) 应用,或从桌面运行一个或多个应用的多应用展台。 展台配置基于分配的访问权限,这是 Windows 中的一项功能,允许管理员通过限制向用户公开的应用程序入口点来管理用户的体验。 |
病毒和威胁防护
| 功能名称 | 描述 |
|---|---|
| Microsoft Defender 防病毒 | Microsoft Defender 防病毒包含在所有 Windows 版本的保护解决方案中。 从启动 Windows 的那一刻起,Microsoft Defender 防病毒会持续监视恶意软件、病毒和安全威胁。 更新会自动下载,以帮助保护设备的安全并防止其受到威胁。 Microsoft Defender 防病毒包括实时保护、基于行为保护和启发式防病毒保护。 将始终内容扫描、文件和进程行为监控,以及其他启发式功能集合在一起,可有效防止安全威胁。 Microsoft Defender防病毒会持续扫描恶意软件和威胁,还会检测和阻止可能不需要的应用程序 (PUA) 这些应用程序被视为对设备产生负面影响,但不被视为恶意软件。 |
| 本地安全机构 (LSA) 保护 | Windows 有几个关键过程来验证用户的身份。 验证过程包括本地安全机构 (LSA),负责对用户进行身份验证和验证 Windows 登录名。 LSA 处理用于单一登录到 Microsoft 帐户和 Azure 服务的令牌和凭据,例如密码。 为了帮助保护这些凭据,其他 LSA 保护仅允许加载受信任的已签名代码,并提供有效保护以防止凭据被盗。 默认情况下,在新加入的企业版 Windows 11 设备上启用 LSA 保护,并通过 MDM 和组策略增加了对非 UEFI 锁定和策略管理控制的支持。 |
| 攻击面减少 (ASR) | 攻击面减少 (ASR) 规则有助于防止经常被滥用以危害设备或网络的软件行为。 通过减少攻击面的数量,可以减少组织的整体漏洞。 管理员可以配置特定的 ASR 规则来帮助阻止某些行为,例如启动可执行文件和脚本,这些可执行文件和脚本尝试下载或运行文件、运行模糊或其他可疑脚本,或执行应用在正常工作期间通常不会启动的其他行为。 |
| MDE 的防篡改保护设置 | 防篡改防护是 Microsoft Defender for Endpoint 中的一项功能,可帮助保护某些安全设置(如病毒和威胁防护)不会被禁用或更改。 在某些的网络攻击期间,恶意参与者会尝试禁用设备上的安全功能。 禁用安全功能可让恶意参与者更轻松地访问数据、安装恶意软件以及利用数据、标识和设备。 防篡改防护有助于防止此类活动。 |
| 受控文件夹访问权限 | 可以通过管理对特定文件夹的应用访问来保护特定文件夹中价值信息。 只有受信任的应用可以访问受保护的文件夹,这些文件夹是在配置受控文件夹访问权限时指定。 常用文件夹(例如用于文档、图片、下载的文件夹)通常包含在受控文件夹列表中。 受控文件夹访问权限适用于受信任的应用列表。 包含在受信任软件列表中的应用按预期工作。 将阻止未包含在受信任列表中的应用对受保护文件夹内的文件进行任何更改。 受控文件夹访问权限帮助保护用户的重要数据免受恶意应用和威胁(如勒索软件)的损害。 |
| 攻击防护 | 攻击防护自动将一些攻击缓解技术应用于操作系统进程和应用。 攻击防护最适用于 Microsoft Defender for Endpoint,向你详细报告攻击防护事件和阻止,作为常见警报调查方案的一部分。 可以在单个设备上 启用攻击防护,然后使用 MDM 或组策略将配置文件分发到多个设备。 当设备上有缓解时,操作中心将显示一条通知。 你可以使用公司的详细信息和联系人信息自定义通知。 还可以单独启用规则以自定义功能所监视的技术。 |
| Microsoft Defender SmartScreen | Microsoft Defender SmartScreen 可防止网络钓鱼、恶意软件的网站和应用程序以及潜在恶意文件的下载。 为了增强网络钓鱼防护,SmartScreen 还会在用户将凭据输入到潜在风险位置时发出警报。 IT 可以自定义通过 MDM 或组策略显示的通知。 默认情况下,保护在审核模式下运行,使 IT 管理员能够完全控制策略创建和强制执行的决策。 |
| Microsoft Defender for Endpoint | Microsoft Defender for Endpoint 是一种企业终结点检测和响应解决方案,可帮助安全团队检测、调查和响应高级威胁。 组织可以使用 Defender for Endpoint 提供的丰富事件数据和攻击见解来调查事件。 Defender for Endpoint 汇集了以下元素,以更全面地了解安全事件:终结点行为传感器、云安全分析、威胁智能和丰富的响应功能。 |
网络安全
| 功能名称 | 描述 |
|---|---|
| 传输层安全性 (TLS) | 传输层安全性 (TLS) 是一种加密协议,旨在通过网络提供通信安全性。 TLS 1.3 是最新版本的协议,默认情况下在 Windows 11 中启用。 此版本消除了过时的加密算法,增强了较旧版本的安全性,并旨在对尽可能多的 TLS 握手进行加密。 握手的性能更高,每个连接的平均往返次数更少,并且仅支持五个强大的密码套件,这可提供完全向前保密和更少的操作风险。 |
| 域名系统 (DNS) 安全性 | 从 Windows 11 开始,Windows DNS 客户端支持通过 HTTPS (DoH) (加密的 DNS 协议)进行 DNS。 这允许管理员确保其设备保护 DNS 查询免受路径上攻击者的侵害,无论他们是记录浏览行为的被动观察者还是尝试将客户端重定向到恶意站点的活动攻击者。 在网络边界中没有放置信任的零信任模型中,需要与受信任的名称解析程序建立安全连接。 |
| 蓝牙配对和连接保护 | 连接到 Windows 的蓝牙设备数量持续增加。 Windows 支持所有标准蓝牙配对协议,包括经典和 LE 安全连接、安全的简单配对以及经典和 LE 旧版配对。 Windows 还实现基于主机的 LE 隐私。 Windows 更新可帮助用户根据蓝牙特殊兴趣组 (SIG) 、标准漏洞报告以及蓝牙核心行业标准要求之外的问题,随时了解操作系统和驱动程序安全功能。 Microsoft 强烈建议用户确保其蓝牙配件的固件和/或软件保持最新。 |
| WiFi 安全性 | Wi-Fi 受保护的访问 (WPA) 是一个安全认证计划,旨在保护无线网络。 WPA3 是最新版本的认证,与 WPA2 和较旧的安全协议相比,提供更安全可靠的连接方法。 Windows 支持三种 WPA3 模式:具有哈希到元素 (H2E) 协议的 WPA3 个人版、WPA3 企业版和 WPA3 企业版 192 位 套件 B。 Windows 11 还支持 WFA 定义的 WPA3 企业版,其中包括增强的服务器证书验证和使用 EAP-TLS 身份验证进行身份验证的 TLS 1.3。 |
| 机会性无线加密 (OWE) | 机会性无线加密 (OWE) 是一种技术,允许无线设备与公共 Wi-Fi 热点建立加密连接。 |
| Windows 防火墙 | Windows 防火墙提供基于主机的双向网络流量筛选,根据设备所连接到的网络类型阻止流入或流出本地设备的未经授权的流量。 Windows 防火墙利用规则来限制或允许许多属性(如 IP 地址、端口或程序路径)流量,从而减少设备攻击面。 减少设备的攻击面可提高可管理性,并降低成功攻击的可能性。 借助集成的 Internet 协议安全性 (IPsec),Windows 防火墙提供了一种实施经过身份验证的端到端网络通信的简单方法。 它提供对受信任网络资源的可缩放分层访问,有助于强制实施数据的完整性,并可以选择性地帮助保护数据的机密性。 Windows 防火墙是操作系统随附的基于主机的防火墙,不需要额外的硬件或软件。 Windows 防火墙还旨在通过记录的应用程序编程接口 (API) 来补充现有的非 Microsoft 网络安全解决方案。 |
| 虚拟专用网络 (VPN) | Windows VPN 客户端平台包括内置的 VPN 协议、配置支持、通用 VPN 用户界面和对自定义 VPN 协议的编程支持。 VPN 应用在 Microsoft Store 中可用于企业和个人用户 VPN,包括最常用企业 VPN 网关的应用。 在 Windows 11 中,最常用的 VPN 控件直接集成到“快速操作”窗格中。 在“快速操作”窗格中,用户可以查看其 VPN 的状态、启动和停止 VPN 隧道,以及访问“设置”应用以获取更多控件。 |
| 始终打开 VPN(设备隧道) | 使用 Always On VPN,可以为设备创建专用 VPN 配置文件。 与用户隧道(仅在用户登录到设备后进行连接)不同,设备隧道允许 VPN 在用户登录之前建立连接。 设备隧道和用户隧道都使用其 VPN 配置文件独立运行,可以同时连接,并且可以根据需要使用不同的身份验证方法和其他 VPN 配置设置。 |
| 直接访问 | DirectAccess 允许远程用户连接到组织网络资源,而无需传统的虚拟专用网络 (VPN) 连接。 使用 DirectAccess 连接时,远程设备始终连接到组织,远程用户无需启动和停止连接。 |
| 服务器消息块 (SMB) 文件服务 | SMB 加密提供 SMB 数据的端到端加密,并防止数据在内部网络上受到窃听。 在 Windows 11 中,SMB 协议具有重要的安全更新,包括 AES-256 位加密、加速 SMB 签名、远程目录内存访问 (RDMA) 网络加密以及基于 QUIC 的 SMB(用于不受信任的网络)。 Windows 11 引入了用于 SMB 3.1.1 加密的 AES-256-GCM 和 AES-256-CCM 加密套件。 Windows 管理员可以强制使用更高级的安全性,或者继续使用更兼容且仍然安全的 AES-128 加密。 |
| 服务器消息直通(SMB Direct) | SMB Direct(通过远程直接内存访问的 SMB)是一种存储协议,可在使用支持 RDMA 的标准网络适配器的同时,在设备和存储之间实现直接内存到内存数据传输,且 CPU 使用率最低。 SMB Direct 支持加密,现在可以使用与传统 TCP 和 RDMA 性能相同的安全运行。 以前,启用 SMB 加密会禁用直接数据放置,从而使 RDMA 性能与 TCP 一样慢。 现在,数据在放置之前进行加密,使性能下降相对较小,同时增加了 AES-128 和 AES-256 保护的数据包的隐私。 |
加密和数据保护
| 功能名称 | 描述 |
|---|---|
| BitLocker 管理 | BitLocker CSP 允许 MDM 解决方案(如 Microsoft Intune)管理 Windows 设备上的 BitLocker 加密功能。 这包括 OS 卷、固定驱动器和可移除存储,以及Microsoft Entra ID的恢复密钥管理。 |
| BitLocker 启用 | BitLocker 驱动器加密是一项数据保护功能,它与操作系统集成,用于解决来自丢失、被盗或销毁不当的计算机的数据被盗或泄露的威胁。 BitLocker 在 XTS 或 CBC 操作模式下使用具有 128 位或 256 位密钥长度的 AES 算法来加密卷上的数据。 Microsoft OneDrive 或 Azure 上的云存储可用于保存恢复密钥内容。 BitLocker 可以使用配置服务提供程序 (CSP) 由任何 MDM 解决方案(如 Microsoft Intune)管理。 BitLocker 使用硬件安全测试接口 (HSTI)、新式待机、UEFI 安全启动和 TPM 等技术,为操作系统、固定数据和可移动数据驱动器提供加密。 |
| 加密硬盘驱动器 | 加密硬盘驱动器是在硬件级别进行自我加密的一类硬盘驱动器,允许对设备用户进行完全磁盘硬件加密,同时对设备用户透明。 这些驱动器结合了 BitLocker 驱动器加密提供的安全性和管理优势,以及自加密驱动器的功能。 通过将加密操作卸载到硬件上,加密的硬盘驱动器将会增加 BitLocker 性能,并减少 CPU 使用率和电源消耗。 由于加密的硬盘驱动器能迅速地加密数据,企业设备可以在最小化生产效率影响的同时扩展 BitLocker 部署。 |
| 个人数据加密 (PDE) | 个人数据加密 (PDE) 适用于 BitLocker 和 Windows Hello 企业版,以进一步保护用户文档和其他文件,包括设备打开和锁定期间。 文件会自动衔接加密,以在不中断其工作流的情况下为用户提供更多安全性。 Windows Hello 企业版用于保护容器,该容器包含 PDE 使用的加密密钥。 当用户登录时,容器将经过身份验证,以释放容器中的密钥以解密用户内容。 |
| 电子邮件加密 (S/MIME) | 通过电子邮件加密,用户可以加密传出电子邮件和附件,因此只有具有数字 ID(证书)的预订收件人才能读取它们。 用户可以对邮件进行数字签名,这将验证发件人的身份并确认邮件未被篡改。 如果用户具有正确的加密证书,则可以将加密邮件发送给其组织内的其他用户或外部联系人。 |
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈