Windows 11 新功能助力提升安全性，應對日益嚴峻的網(wǎng)絡威脅

Windows 11 新功能助力提升安全性，應對日益嚴峻的網(wǎng)絡威脅

供稿 / 2024-05-22 09:545195

作者：微軟企業(yè)及操作系統(tǒng)安全副總裁，David Weston

【微軟新聞】 Windows 11 新功能助力提升安全性，應對日益嚴峻的網(wǎng)絡威脅65.png

在微軟 Build 2024 大會召開前夕，我們發(fā)布了一個全新的 Windows PC 品類：Windows 11 AI PC1。除了這一全新 PC 品類外，我們還引入了重要的安全功能和更新，使得 Windows 11 能夠為用戶和企業(yè)機構提供更高的安全性，并為開發(fā)人員提供一系列安全工具。

當今的網(wǎng)絡威脅形勢已經(jīng)跟以前大不相同，無論是攻擊速度、攻擊規(guī)模還是復雜程度都在持續(xù)升級。2015 年，我們的身份驗證系統(tǒng)每秒遭受大約 115 次密碼攻擊，然而不到十年的時間里，這個數(shù)字就飆升了 3378%，達到每秒 4000 多次2。面對如此嚴峻的網(wǎng)絡安全威脅，無論是面向我們的家用 PC 還是辦公 PC 所使用的所有設備和技術，我們都必須采取比以往更加強大和全面的防護措施。

網(wǎng)絡安全是我們工作的重中之重

我們一直致力于提高 Windows 的安全性。幾年前，我們注意到針對硬件的網(wǎng)絡攻擊日益增多，于是我們推出了安全核心 PC （Secured-core PC），以提供從芯片到云以及關鍵計算層的防護。

近年來，我們看到基于身份的網(wǎng)絡攻擊正在激增，因此我們迅速而廣泛地擴展了我們的無密碼身份驗證解決方案。在 2023 年 9 月，我們宣布擴展了針對跨設備身份驗證的通行密鑰支持，并在此基礎上不斷突破。本月早些時候，我們宣布為微軟消費者賬戶提供通行密鑰支持，并在 iOS 和安卓用戶的微軟身份驗證應用程序中支持設備綁定的通行密鑰，加大了我們對這一由 FIDO 聯(lián)盟提出的行業(yè)倡議的支持力度。Windows 系統(tǒng)的通行密鑰受到 Windows Hello 多重身份驗證技術的保護，包括 Windows Hello 普通版和 Windows Hello 企業(yè)版。這項最新舉措是建立在近十年來我們不斷增強 Windows Hello 功能的重要工作基礎之上，目的是為給用戶提供更便捷、更安全的登錄選項，并消除漏洞。

本月早些時候，我們擴大了“安全未來計劃”（SFI），明確表示我們將把安全放在首位。我們在 2023 年 11 月首次提出 SFI 計劃，旨在優(yōu)化設計、構建、測試和運行相關技術，以確保產(chǎn)品和服務的安全交付?？紤]到這些承諾，我們不僅在 Windows 11 中構建了新的安全功能，還增加了默認開啟的安全功能。我們的目標很簡單：那就是要讓 Windows 使用起來更方便、更安全。

今天，我們將與大家分享一些新的安全技術，無論是從設計上還是從默認設置上來說，它們都會讓 Windows 從開箱的那一刻起就為用戶提供更加安全的防護體驗。

現(xiàn)代、安全的硬件

我們認為安全防護是一項需要團隊協(xié)作的工作。我們正與 OEM 合作伙伴緊密合作，以補充 OEM 安全功能，并提供更安全的設備。

雖然安全核心 PC （Secured-core PC）曾被認為是專為處理敏感數(shù)據(jù)而設計的專用設備，但如今普通 Windows 用戶也可以通過在 PC 設備上增強的安全性和引入 AI 技術而受益。我們宣布，所有 Windows 11 AI PC 都將是安全核心 PC （Secured-core PC），可為商用設備和消費品類設備帶來高度的安全性。除了 Windows 11 的層層保護之外，安全核心 PC （Secured-core PC），還具備先進的固件保護功能和動態(tài)可信度量根（dynamic root-of-trust measurement），以提供從芯片到云的保護。

Microsoft Pluton 安全處理器將在所有 Windows 11 AI PC 上默認啟用。Pluton 是一種芯片到云的安全技術，由微軟設計，由芯片制造領域的合作伙伴構建，以零信任原則為核心。它有助于保護安全憑證、身份信息、個人數(shù)據(jù)和加密密鑰，即使網(wǎng)絡攻擊者安裝惡意軟件或?qū)嶋H占有 PC，也很難將其刪除。

所有的 Windows 11 AI PC 都將配備 Windows Hello 增強型登錄安全性（ESS），這是一種更安全的生物識別登錄技術，無需輸入密碼即可登錄。ESS 采用專用的硬件和軟件，如基于虛擬化安全性（VBS）和 TPM 2.0，可提高生物識別數(shù)據(jù)的安全性，因為它既能幫助隔離和保護身份驗證數(shù)據(jù)，又能確保其通信通道的安全。ESS 也可以在與之兼容的搭載 Windows 11 的設備上使用。

借助 Windows，應對威脅先行一步

為了從根本上保障用戶安全，我們不斷更新安全措施，并在 Windows 中啟用了新的默認設置。

Windows 11 在設計上默認啟用安全層，讓用戶能夠?qū)Ｗ⒂诠ぷ?，而不必過多考慮安全設置。據(jù)報道，安全憑證保護、惡意軟件屏蔽和應用程序保護等開箱即用的防護功能使安全事件減少了 58%，其中固件攻擊減少了 3.1 倍。在 Windows 11 中，硬件和軟件協(xié)同工作，以幫助縮小攻擊面，保護系統(tǒng)完整性，并保護重要數(shù)據(jù)。3

安全憑證和身份盜用是網(wǎng)絡攻擊的主要目標?；?nbsp;Windows Hello、Windows Hello 商用版和通行密鑰啟用的多重身份驗證，是行之有效的多重身份驗證解決方案。但隨著越來越多的人啟用多重身份驗證，網(wǎng)絡攻擊者正在從簡單的基于密碼的攻擊轉向其他類型的安全憑證盜用。為了防止這些網(wǎng)絡攻擊，我們正在不斷進行技術更新，包括：

· 本地安全認證保護：Windows 通過幾個關鍵進程來驗證用戶身份，包括本地安全認證（LSA）。LSA 對用戶進行身份驗證并驗證 Windows 登錄，處理符號和身份驗證信息（如密碼），用于 Microsoft 帳戶和 Microsoft Azure 服務的單點登錄。LSA 保護以前僅在所有新的商用設備上默認開啟，而現(xiàn)在面向新消品類設備也默認開啟。對于新的消費品類設備，以及未啟動 LSA 保護的用戶升級，LSA 保護將進入寬限期。LSA 保護可防止 LSA 加載不可信的代碼，防止不可信進程訪問 LSA 內(nèi)存，從而有效防止安全憑證被盜用。4

· 棄用 NT LAN Manager（NTLM）：應安全社區(qū)的強烈要求，我們將從 2024 年下半年開始棄用 NTLM，此舉將加強用戶身份驗證。

· 使用 VBS 增強 Windows 中的密鑰保護：現(xiàn)在 Windows 預覽體驗計劃成員可以公開預覽 VBS，此功能將提供比軟件隔離更高級的安全防護，而且其性能也甚至優(yōu)于硬件的解決方案，因為它是由設備的 CPU 驅(qū)動。硬件支持的密鑰提供了強大防護，同時 VBS 更適用于對安全性、可靠性和性能要求較高的業(yè)務。

· Windows Hello 的加固：Windows Hello 技術已被擴展到密碼保護，如果您使用的設備沒有內(nèi)置生物識別功能，那么 Windows Hello 將默認為使用 VBS 隔離身份驗證信息，保護系統(tǒng)免受管理員級別的攻擊。

另外，我們重視幫助用戶了解哪些應用程序和驅(qū)動程序可以信任，以更好地保護他們免受網(wǎng)絡釣魚攻擊和惡意軟件的攻擊。Windows 不僅提升了溝通的體驗，還為 Windows 應用程序開發(fā)者社區(qū)提供了更多功能，以幫助開發(fā)者加強應用程序的安全性。

· 智能應用控制：特定的新系統(tǒng)默認啟用智能應用控制功能，以提供更好的體驗。智能應用控制已通過 AI 學習得到了增強?；谖④浢刻焓占?78 萬億個安全信號建立的 AI 模型，該功能可以預測應用程序是否安全。該安全策略允許已知安全的常見應用程序正常運行，而嵌入惡意軟件的未知應用程序?qū)⒈蛔柚埂＿@是針對惡意軟件的一種非常有效的防護措施。

· 可信簽名：未簽名的應用程序可能帶來重大風險。事實上，微軟的研究表明，很多惡意軟件都是以未簽名應用程序的形式出現(xiàn)的。確保與智能應用控制無縫兼容的更好的方法就是對應用程序進行簽名。簽名有助于提高其可信度，確保現(xiàn)有的“良好聲譽”被將來的應用程序更新所繼承，從而降低被威脅檢測系統(tǒng)阻止的可能性?？尚藕灻罱堰M入公共預覽，通過對證書的全生命周期管理，簡化了信任檢測過程。它還集成了 Azure DevOps 和 GitHub 等大眾開發(fā)工具。

· Win32 應用隔離：這是一種全新的安全防護功能，目前處于測試階段。Win32 應用隔離功能可以讓 Windows 應用開發(fā)者在應用遭受攻擊時更輕松地降低損害并保護用戶的隱私選項。Win32 應用隔離基于 AppContainers 的基礎開發(fā)構建，提供安全邊界，并包含虛擬化資源和可協(xié)調(diào)訪問其他資源的組件（如打印機、注冊表和文件訪問）。得益于開發(fā)者社區(qū)的積極反饋，Win32 應用隔離功能即將面向大眾開放。應用開發(fā)者現(xiàn)可以使用 Win32 應用隔離與 Visual Studio 無縫集成。

· 提高管理員用戶的安全性：大多數(shù)人在使用他們的設備時都是以全權管理員的身份使用的，這意味著應用程序和服務與用戶一樣擁有對內(nèi)核和其他關鍵信息的訪問權限。問題在于這些應用程序和服務可能會在用戶不知情的情況下訪問關鍵信息。這就是為什么 Windows 鍥而不舍地更新，以便在需要時能夠?qū)?nèi)核和其他關鍵服務信息進行及時的管理訪問，而非一直默認此設置。這讓應用程序更加難以用不為人知的方式濫用管理員權限并私下在 Windows 上安裝惡意軟件或惡意代碼。當啟用此功能時，假如當某個應用程序要訪問特殊權限（如管理員權限）時，系統(tǒng)會詢問您是否批準該請求。當您需要批準時，Windows Hello 提供了一套安全且簡便的操作方式來批準或拒絕這些請求，從而讓您完全掌控自己的設備。目前該功能處于內(nèi)測階段，將于近期面向大眾開放。

· VBS enclaves：VBS enclaves 此前僅面向 Windows 安全功能提供，現(xiàn)在已向第三方應用開發(fā)者開放。這種位于主應用程序空間內(nèi)的軟件可信執(zhí)行環(huán)境為敏感工作負載（如數(shù)據(jù)解密）提供了深層操作系統(tǒng)保護。嘗試使用 VBS enclaves API 來體驗 enclaves 如何既能屏蔽其他系統(tǒng)進程又能屏蔽主應用程序本身，從而讓您帶有敏感性的工作具有更高的安全性。

隨著黑客不斷地升級攻擊策略及更新攻擊目標，我們將持續(xù)強化 Windows 代碼，以應對這些不速之客的侵害。

· Windows 保護打印模式：在 2023 年底，我們推出了 Windows 保護打印模式，以建立一套更加現(xiàn)代、更安全的打印系統(tǒng)，最大限度地提高兼容性并以用戶為中心。保護打印模式將成為未來默認的打印模式。

· 工具提示：在過去，工具提示功能曾被惡意利用并導致未經(jīng)授權就訪問內(nèi)存的情況發(fā)生。在舊版本的 Windows 中，工具提示功能是由內(nèi)核核心為每個桌面創(chuàng)建的單一窗口，并循環(huán)展示工具提示。我們正在重新設計工具提示的工作方式，使其對用戶來說更加安全。通過升級的方式，工具提示的生命周期的管理責任已轉移到所使用的相應應用程序?，F(xiàn)在，核心可以監(jiān)控光標活動并啟動倒計時，來顯示和隱藏工具提示窗口。當這些倒計時結束時，核心將通知用戶級環(huán)境生成或刪除工具提示窗口。

· TLS 服務器身份驗證：TLS （傳輸層安全）服務器身份驗證證書將驗證服務器對客戶端的身份并確保安全連接。雖然以前支持 1024 位 RSA 加密密鑰，但由于計算能力和密碼分析的進步，Windows 默認情況下不再信任這些較弱的密鑰長度。因此，在微軟信任根計劃中小于 2048 位 RSA 密鑰并連接到信任根的 TLS 證書將不再被信任。

最后，在每個 Windows 版本中，我們都會為商業(yè)用戶提供更多的措施和方法，以便他們在自己的環(huán)境中鎖定 Windows。

· 配置刷新：配置刷新將允許管理員設置設備重新應用協(xié)議設置的時間表，而無需檢查 Microsoft Intune 或其他移動設備管理供應商的情況，以幫助確保這些設置保持 IT 管理員配置的狀態(tài)。默認情況下，它能以每 90 分鐘一次的節(jié)奏刷新，最頻繁則可設置為每 30 分鐘刷新一次。我們也提供了暫停配置刷新的選項，這在故障排除或維護時非常有用，在此之后它將自動恢復，或由管理員手動重新激活。

· 防火墻：Windows 中的防火墻配置服務提供程序（CSP）現(xiàn)在從每個原子區(qū)塊中強制執(zhí)行“全有或全無”的防火墻規(guī)則應用。在此之前，如果 CSP 在應用某個區(qū)塊中的防火墻規(guī)則時遇到問題，CSP 不僅會停止應用該規(guī)則，還會停止處理后續(xù)規(guī)則的應用，導致部分安全規(guī)則部署不完全，從而留下潛在的安全漏洞。現(xiàn)在，如果區(qū)塊中的規(guī)則無法成功應用于設備，CSP 將停止執(zhí)行后續(xù)規(guī)則，并回退同一原子區(qū)塊中的所有規(guī)則的應用，消除了僅部分區(qū)塊部署規(guī)則的模糊性。

· 個人數(shù)據(jù)加密（PDE）：PDE 通過加密數(shù)據(jù)來增強安全性，只有當用戶使用 Windows Hello 商用版解鎖 PC 時才會解密數(shù)據(jù)。PDE 支持兩個級別的數(shù)據(jù)保護。在 1 級保護下，數(shù)據(jù)一直保持加密，直到 PC 首次被解鎖；在 2 級保護下，當 PC 被鎖定時，文件即被加密。PDE 是對 BitLocker 卷級保護的補充，并在與 BitLocker 配對時為個人或應用程序數(shù)據(jù)提供雙重加密。PDE 目前仍處于預覽階段，開發(fā)者可以利用 PDE API 來保護他們的應用程序內(nèi)容，并讓 IT 管理員能夠利用自身的移動設備管理解決方案來對數(shù)據(jù)保護進行管理。

· 零信任 DNS：目前該功能正處在個人預覽階段，它將通過本地限制，僅允許 Windows 設備通過域名連接到經(jīng)許可的網(wǎng)絡目的地。除非通過受信且受保護的 DNS 服務器解析，或由 IT 管理員配置授權，否則外發(fā) IPv4 和 IPv6 流量會被阻止，無法到達預期的目的地。目前可通過配置應用程序和服務，使用系統(tǒng) DNS 解析器來避免阻塞問題。

點個贊795