Windows 11新功能助力提升安全性，应对日益严峻的网络威胁

在微软Build 2024大会召开前夕，我们发布了一个全新的Windows PC品类：Windows 11 AI PC。

作者：微软企业及操作系统安全副总裁，David Weston

在微软 Build 2024 大会召开前夕，我们发布了一个全新的 Windows PC 品类：Windows 11 AI PC¹。除了这一全新 PC 品类外，我们还引入了重要的安全功能和更新，使得 Windows 11 能够为用户和企业机构提供更高的安全性，并为开发人员提供一系列安全工具。

当今的网络威胁形势已经跟以前大不相同，无论是攻击速度、攻击规模还是复杂程度都在持续升级。2015 年，我们的身份验证系统每秒遭受大约 115 次密码攻击，然而不到十年的时间里，这个数字就飙升了 3378%，达到每秒 4000 多次²。面对如此严峻的网络安全威胁，无论是面向我们的家用 PC 还是办公 PC 所使用的所有设备和技术，我们都必须采取比以往更加强大和全面的防护措施。

网络安全是我们工作的重中之重

我们一直致力于提高 Windows 的安全性。几年前，我们注意到针对硬件的网络攻击日益增多，于是我们推出了安全核心 PC （Secured-core PC），以提供从芯片到云以及关键计算层的防护。

近年来，我们看到基于身份的网络攻击正在激增，因此我们迅速而广泛地扩展了我们的无密码身份验证解决方案。在 2023 年 9 月，我们宣布扩展了针对跨设备身份验证的通行密钥支持，并在此基础上不断突破。本月早些时候，我们宣布为微软消费者账户提供通行密钥支持，并在 iOS 和安卓用户的微软身份验证应用程序中支持设备绑定的通行密钥，加大了我们对这一由 FIDO 联盟提出的行业倡议的支持力度。Windows 系统的通行密钥受到 Windows Hello 多重身份验证技术的保护，包括 Windows Hello 普通版和 Windows Hello 企业版。这项最新举措是建立在近十年来我们不断增强 Windows Hello 功能的重要工作基础之上，目的是为给用户提供更便捷、更安全的登录选项，并消除漏洞。

本月早些时候，我们扩大了“安全未来计划”（SFI），明确表示我们将把安全放在首位。我们在 2023 年 11 月首次提出 SFI 计划，旨在优化设计、构建、测试和运行相关技术，以确保产品和服务的安全交付。考虑到这些承诺，我们不仅在 Windows 11 中构建了新的安全功能，还增加了默认开启的安全功能。我们的目标很简单：那就是要让 Windows 使用起来更方便、更安全。

今天，我们将与大家分享一些新的安全技术，无论是从设计上还是从默认设置上来说，它们都会让 Windows 从开箱的那一刻起就为用户提供更加安全的防护体验。

现代、安全的硬件

我们认为安全防护是一项需要团队协作的工作。我们正与 OEM 合作伙伴紧密合作，以补充 OEM 安全功能，并提供更安全的设备。

虽然安全核心 PC （Secured-core PC）曾被认为是专为处理敏感数据而设计的专用设备，但如今普通 Windows 用户也可以通过在 PC 设备上增强的安全性和引入 AI 技术而受益。我们宣布，所有 Windows 11 AI PC 都将是安全核心 PC （Secured-core PC），可为商用设备和消费品类设备带来高度的安全性。除了 Windows 11 的层层保护之外，安全核心 PC （Secured-core PC），还具备先进的固件保护功能和动态可信度量根（dynamic root-of-trust measurement），以提供从芯片到云的保护。

Microsoft Pluton 安全处理器将在所有 Windows 11 AI PC 上默认启用。Pluton 是一种芯片到云的安全技术，由微软设计，由芯片制造领域的合作伙伴构建，以零信任原则为核心。它有助于保护安全凭证、身份信息、个人数据和加密密钥，即使网络攻击者安装恶意软件或实际占有 PC，也很难将其删除。

所有的 Windows 11 AI PC 都将配备 Windows Hello 增强型登录安全性（ESS），这是一种更安全的生物识别登录技术，无需输入密码即可登录。ESS 采用专用的硬件和软件，如基于虚拟化安全性（VBS）和 TPM 2.0，可提高生物识别数据的安全性，因为它既能帮助隔离和保护身份验证数据，又能确保其通信通道的安全。ESS 也可以在与之兼容的搭载 Windows 11 的设备上使用。

借助 Windows，应对威胁先行一步

为了从根本上保障用户安全，我们不断更新安全措施，并在 Windows 中启用了新的默认设置。

Windows 11 在设计上默认启用安全层，让用户能够专注于工作，而不必过多考虑安全设置。据报道，安全凭证保护、恶意软件屏蔽和应用程序保护等开箱即用的防护功能使安全事件减少了 58%，其中固件攻击减少了 3.1 倍。在 Windows 11 中，硬件和软件协同工作，以帮助缩小攻击面，保护系统完整性，并保护重要数据。³

安全凭证和身份盗用是网络攻击的主要目标。基于 Windows Hello、Windows Hello 商用版和通行密钥启用的多重身份验证，是行之有效的多重身份验证解决方案。但随着越来越多的人启用多重身份验证，网络攻击者正在从简单的基于密码的攻击转向其他类型的安全凭证盗用。为了防止这些网络攻击，我们正在不断进行技术更新，包括：

本地安全认证保护：Windows 通过几个关键进程来验证用户身份，包括本地安全认证（LSA）。LSA 对用户进行身份验证并验证 Windows 登录，处理符号和身份验证信息（如密码），用于 Microsoft 帐户和 Microsoft Azure 服务的单点登录。LSA 保护以前仅在所有新的商用设备上默认开启，而现在面向新消品类设备也默认开启。对于新的消费品类设备，以及未启动 LSA 保护的用户升级，LSA 保护将进入宽限期。LSA 保护可防止 LSA 加载不可信的代码，防止不可信进程访问 LSA 内存，从而有效防止安全凭证被盗用。⁴
弃用 NT LAN Manager（NTLM）：应安全社区的强烈要求，我们将从 2024 年下半年开始弃用 NTLM，此举将加强用户身份验证。
使用 VBS 增强 Windows 中的密钥保护：现在 Windows 预览体验计划成员可以公开预览 VBS，此功能将提供比软件隔离更高级的安全防护，而且其性能也甚至优于硬件的解决方案，因为它是由设备的 CPU 驱动。硬件支持的密钥提供了强大防护，同时 VBS 更适用于对安全性、可靠性和性能要求较高的业务。
Windows Hello 的加固：Windows Hello 技术已被扩展到密码保护，如果您使用的设备没有内置生物识别功能，那么 Windows Hello 将默认为使用 VBS 隔离身份验证信息，保护系统免受管理员级别的攻击。

另外，我们重视帮助用户了解哪些应用程序和驱动程序可以信任，以更好地保护他们免受网络钓鱼攻击和恶意软件的攻击。Windows 不仅提升了沟通的体验，还为 Windows 应用程序开发者社区提供了更多功能，以帮助开发者加强应用程序的安全性。

智能应用控制：特定的新系统默认启用智能应用控制功能，以提供更好的体验。智能应用控制已通过 AI 学习得到了增强。基于微软每天收集的 78 万亿个安全信号建立的 AI 模型，该功能可以预测应用程序是否安全。该安全策略允许已知安全的常见应用程序正常运行，而嵌入恶意软件的未知应用程序将被阻止。这是针对恶意软件的一种非常有效的防护措施。
可信签名：未签名的应用程序可能带来重大风险。事实上，微软的研究表明，很多恶意软件都是以未签名应用程序的形式出现的。确保与智能应用控制无缝兼容的更好的方法就是对应用程序进行签名。签名有助于提高其可信度，确保现有的“良好声誉”被将来的应用程序更新所继承，从而降低被威胁检测系统阻止的可能性。可信签名最近已进入公共预览，通过对证书的全生命周期管理，简化了信任检测过程。它还集成了 Azure DevOps 和 GitHub 等大众开发工具。
Win32 应用隔离：这是一种全新的安全防护功能，目前处于测试阶段。Win32 应用隔离功能可以让 Windows 应用开发者在应用遭受攻击时更轻松地降低损害并保护用户的隐私选项。Win32 应用隔离基于 AppContainers 的基础开发构建，提供安全边界，并包含虚拟化资源和可协调访问其他资源的组件（如打印机、注册表和文件访问）。得益于开发者社区的积极反馈，Win32 应用隔离功能即将面向大众开放。应用开发者现可以使用 Win32 应用隔离与 Visual Studio 无缝集成。
提高管理员用户的安全性：大多数人在使用他们的设备时都是以全权管理员的身份使用的，这意味着应用程序和服务与用户一样拥有对内核和其他关键信息的访问权限。问题在于这些应用程序和服务可能会在用户不知情的情况下访问关键信息。这就是为什么 Windows 锲而不舍地更新，以便在需要时能够对内核和其他关键服务信息进行及时的管理访问，而非一直默认此设置。这让应用程序更加难以用不为人知的方式滥用管理员权限并私下在 Windows 上安装恶意软件或恶意代码。当启用此功能时，假如当某个应用程序要访问特殊权限（如管理员权限）时，系统会询问您是否批准该请求。当您需要批准时，Windows Hello 提供了一套安全且简便的操作方式来批准或拒绝这些请求，从而让您完全掌控自己的设备。目前该功能处于内测阶段，将于近期面向大众开放。
VBS enclaves：VBS enclaves 此前仅面向 Windows 安全功能提供，现在已向第三方应用开发者开放。这种位于主应用程序空间内的软件可信执行环境为敏感工作负载（如数据解密）提供了深层操作系统保护。尝试使用 VBS enclaves API 来体验 enclaves 如何既能屏蔽其他系统进程又能屏蔽主应用程序本身，从而让您带有敏感性的工作具有更高的安全性。

随着黑客不断地升级攻击策略及更新攻击目标，我们将持续强化 Windows 代码，以应对这些不速之客的侵害。

Windows 保护打印模式：在 2023 年底，我们推出了 Windows 保护打印模式，以建立一套更加现代、更安全的打印系统，最大限度地提高兼容性并以用户为中心。保护打印模式将成为未来默认的打印模式。
工具提示：在过去，工具提示功能曾被恶意利用并导致未经授权就访问内存的情况发生。在旧版本的 Windows 中，工具提示功能是由内核核心为每个桌面创建的单一窗口，并循环展示工具提示。我们正在重新设计工具提示的工作方式，使其对用户来说更加安全。通过升级的方式，工具提示的生命周期的管理责任已转移到所使用的相应应用程序。现在，核心可以监控光标活动并启动倒计时，来显示和隐藏工具提示窗口。当这些倒计时结束时，核心将通知用户级环境生成或删除工具提示窗口。
TLS 服务器身份验证：TLS （传输层安全）服务器身份验证证书将验证服务器对客户端的身份并确保安全连接。虽然以前支持 1024 位 RSA 加密密钥，但由于计算能力和密码分析的进步，Windows 默认情况下不再信任这些较弱的密钥长度。因此，在微软信任根计划中小于 2048 位 RSA 密钥并连接到信任根的 TLS 证书将不再被信任。

最后，在每个 Windows 版本中，我们都会为商业用户提供更多的措施和方法，以便他们在自己的环境中锁定 Windows。

配置刷新：配置刷新将允许管理员设置设备重新应用协议设置的时间表，而无需检查 Microsoft Intune 或其他移动设备管理供应商的情况，以帮助确保这些设置保持 IT 管理员配置的状态。默认情况下，它能以每 90 分钟一次的节奏刷新，最频繁则可设置为每 30 分钟刷新一次。我们也提供了暂停配置刷新的选项，这在故障排除或维护时非常有用，在此之后它将自动恢复，或由管理员手动重新激活。
防火墙：Windows 中的防火墙配置服务提供程序（CSP）现在从每个原子区块中强制执行“全有或全无”的防火墙规则应用。在此之前，如果 CSP 在应用某个区块中的防火墙规则时遇到问题，CSP 不仅会停止应用该规则，还会停止处理后续规则的应用，导致部分安全规则部署不完全，从而留下潜在的安全漏洞。现在，如果区块中的规则无法成功应用于设备，CSP 将停止执行后续规则，并回退同一原子区块中的所有规则的应用，消除了仅部分区块部署规则的模糊性。
个人数据加密（PDE）：PDE 通过加密数据来增强安全性，只有当用户使用 Windows Hello 商用版解锁 PC 时才会解密数据。PDE 支持两个级别的数据保护。在 1 级保护下，数据一直保持加密，直到 PC 首次被解锁；在 2 级保护下，当 PC 被锁定时，文件即被加密。PDE 是对 BitLocker 卷级保护的补充，并在与 BitLocker 配对时为个人或应用程序数据提供双重加密。PDE 目前仍处于预览阶段，开发者可以利用 PDE API 来保护他们的应用程序内容，并让 IT 管理员能够利用自身的移动设备管理解决方案来对数据保护进行管理。
零信任 DNS：目前该功能正处在个人预览阶段，它将通过本地限制，仅允许 Windows 设备通过域名连接到经许可的网络目的地。除非通过受信且受保护的 DNS 服务器解析，或由 IT 管理员配置授权，否则外发 IPv4 和 IPv6 流量会被阻止，无法到达预期的目的地。目前可通过配置应用程序和服务，使用系统 DNS 解析器来避免阻塞问题。

了解更多 Windows 11 的全新安全功能

我们坚信安全防护是一项需要团队协作的工作。我们正在加强与 OEM 合作伙伴、应用程序开发者和生态系统内的其他相关方的合作，帮助人们更好地保护自己，并交付一个在设计和默认设置上都更安全的 Windows 系统。欢迎阅读 Windows 安全手册，了解更多关于如何安全使用 Windows 系统的信息。

了解更多关于 Windows 11 的信息。

Windows 11 AI PC 功能的可用性因设备和市场而异。在中国大陆地区，对于Windows 11电脑，按键将开启Windows 搜索功能。更多细节请参阅aka.ms/KeySupport。
Microsoft Password Guidance，微软身份信息保护团队，2016 年。
Windows 11 调查报告，Techaisle，2022 年 2 月。
用户可在“设备安全->核心隔离->本地安全认证”下的“Windows 安全应用程序”中管理自己的 LSA 保护状态。