快科技5月21日消息,Windows 11自發佈以來不斷更新,除顯而易見的界面、特性變化,更是持續引入大量的安全功能和更新,無論對個人用戶還是對企業機構都至關重要,但它們往往隱居在幕後,不為人所知。
現在,微軟特意撰文,詳細總結Windows 11近期在安全方面的新變化,涉及到20多個不同角度。
微軟首先給出一個驚人的數字:2015年,Windows系統的身份驗證系統每秒遭受大約115次密碼攻擊,而現在這個數字達到每秒4000多次,不到十年就飆升3378%!!
Windows 11的安全舉措可以分為硬件、軟件兩個層面,其中在硬件層面,所有的新型Windows 11 AI PC都會有以下三大特性:
第一全部都是安全核心PC(Secured-core PC),具備先進的固件保護功能和動態可信度量根,可以提供覆蓋芯片、雲、關鍵計算層的全面防護。
第二全部默認啟用Mcirosoft Pluton安全處理器,這是微軟設計的從芯片到雲的安全技術,以零信任原則為核心,PC被安裝惡意軟件甚至被實際占有之後,也很難盜取、刪除安全憑證、身份信息、個人數據、加密密鑰等敏感信息。
第三全部配備Windows Hello增強型登錄安全性(ESS),更安全的生物識別登錄技術,無需輸入密碼,因為它采用VBS(基於虛擬化的安全性)、TPM 2.0等專門的軟硬件,提高提高生物識別數據的安全性。
軟件方面,首先是系統層面啟用一系列新的默認設置:
-安全層
默認開啟,包括安全憑證保護、惡意軟件屏蔽、應用程序保護等,開箱即用,使得安全事件減少58%,其中固件攻擊減少3.1倍。
-本地安全認證保護
通過多個關鍵進程驗證用戶身份,尤其是本地安全認證(LSA),以前僅用於商用設備,如今在消費級PC上也默認開啟,可抵禦不可信代碼,避免不可信進程訪問LSA內存,避免安全憑證被盜。
-棄用NT LAN Manager(NTLM)
根據安全社區的強烈反饋,此功能從今年下半年開始棄用,以加強用戶身份驗證。
-VBS(基於虛擬化的安全性)
基於CPU處理器,防護能力優於軟件隔離,性能優於硬件方案。該功能正在預覽測試。
-Windows Hello加固
如果設備沒有生物識別功能,也可以使用密碼,默認通過VBS隔離身份驗證信息。
其次是應用程序與驅動程序防護方面,Windows 11現在默認啟用AI學習增強的智能應用控制,新加入Win32應用隔離(即將公測)、可信簽名(公測中),向第三方應用開放VBS enclaves,提高管理員用戶的安全性(內測中)。
針對不斷升級的黑客攻擊,Windows 11增加保護打印模式,重新設計工具提示,TLS服務器身份驗證不在信任RAS密鑰小於2048位並連接到信任根的TLS證書。
最後是針對商業用戶,Windows 11新增配置刷新(30-90分鐘一次)、個人數據加密PDE(必須使用Windows Hello商用版)、零信任DNS(隻允許通過域名連接網絡),升級防火墻,現在從每個原子區塊中強制執行全有或全無”規則。