Windows 应用程序安全性
网络罪犯可以利用安全欠佳的应用程序来访问宝贵的资源。 借助 Windows,IT 管理员可以从预配设备的那一刻起就应对常见的应用程序攻击。 例如,IT 部门可以从用户帐户中删除本地管理员权限,以便电脑以最低特权运行,以防止恶意应用程序访问敏感资源。
详细了解 Windows 中的应用程序安全功能。
应用程序和驱动程序控制
| 功能名称 | 描述 |
|---|---|
| 智能应用控件 | 智能应用控制通过阻止不受信任或未签名的应用程序来阻止用户在 Windows 设备上运行恶意应用程序。 智能应用控制超越了以前的内置浏览器保护,在进程级别添加了另一层直接编织到操作系统核心的安全层。 使用 AI,我们新的智能应用控制仅允许运行根据每天处理的现有和新智能预测为安全的流程。 智能应用控制基于适用于企业的 App Control 中使用的同一基于云的 AI 来预测应用程序的安全性,因此用户可以确信自己在新Windows 11设备上或Windows 11已重置的设备上使用安全可靠的应用程序。 |
| 适用于企业的应用控制 | 你的组织仅与在设备上运行的应用程序一样安全。 使用应用程序控制时,应用必须赢得信任才能运行,而应用程序信任模型认为所有代码都是可信的。 通过帮助防止不需要或恶意代码运行,应用程序控制是有效安全策略的重要组成部分。 许多组织将应用程序控制作为解决基于可执行文件的恶意软件威胁的最有效方法之一。 Windows 10及更高版本包括适用于企业的 App Control 和 AppLocker。 应用控制是适用于 Windows 的下一代应用控制解决方案,提供对环境中运行的内容的强大控制。 在以前版本的 Windows 上使用 AppLocker 的客户在考虑是否切换到应用控制以获取更强大的保护时,可以继续使用此功能。 |
| AppLocker | |
| 用户帐户控制 (UAC) | 用户帐户控制 (UAC) 有助于防止恶意软件损坏设备。 使用 UAC 时,应用和任务始终在非管理员帐户的安全上下文中运行,除非管理员授权管理员级别访问系统。 UAC 可以阻止自动安装未经授权的应用,并防止意外更改系统设置。 启用 UAC 有助于防止恶意软件更改设备设置,并可能获取对网络和敏感数据的访问权限。 UAC 还可以阻止自动安装未经授权的应用,并防止意外更改系统设置。 |
| Microsoft易受攻击的驱动程序阻止列表 | Windows 内核是最特殊的软件,因此是恶意软件设计者重点关注的目标。 由于 Windows 对在内核中运行的代码有严格要求,因此网络犯罪通常利用内核驱动程序中的漏洞来获取访问权限。 Microsoft 与生态系统合作伙伴合作,不断识别和响应潜在易受攻击的内核驱动程序。 在 Windows 11 版本 22H2 之前,当启用 HVCI 以防止易受攻击版本的驱动程序运行时,操作系统强制实施阻止策略。 从 Windows 11 版本 22H2 开始,默认情况下为所有新的 Windows 设备启用阻止策略,用户可以选择从 Windows 安全应用强制实施该策略。 |
应用程序隔离
| 功能名称 | 描述 |
|---|---|
| 适用于 Edge 独立模式的 Microsoft Defender 应用程序防护 (MDAG) | 独立模式允许 Windows 用户使用硬件隔离浏览会话,而无需任何管理员或管理策略配置。 在此模式下,用户必须在 应用程序防护 中手动启动 Microsoft Edge,以便浏览不受信任的站点。 |
| 用于 Edge 企业模式和企业管理的 Microsoft Defender 应用程序防护 (MDAG) | Microsoft Defender 应用程序防护使用 Microsoft Edge 浏览器浏览 Internet 时保护用户的桌面。 企业模式下的应用程序防护会自动重定向基于匿名且隔离的基于 Hyper-V 的容器中的不受信任的网站导航,该容器独立于主机操作系统。 使用企业模式,可以通过显式添加受信任的域来定义公司边界,并且可以自定义应用程序防护体验,以满足和强制实施组织在 Windows 设备上的需求。 |
| Microsoft Defender 应用程序防护 (MDAG) 公共 API | 允许使用它们的应用程序成为基于 Hyper-V 的隔离容器,该容器独立于主机操作系统。 |
| 适用于 Microsoft Office 的 Microsoft Defender 应用程序防护 (MDAG) | 应用程序防护保护 Office 文件,包括 Word、PowerPoint 和 Excel。 如果已启用应用程序防护并且它们受到保护,则应用程序图标具有小防护板。 |
| Microsoft Defender 应用程序防护 (MDAG) 通过 MDM 进行配置 | 企业使用 WindowsDefenderApplicationGuard 配置服务提供程序 (CSP) 来配置 Microsoft Defender 应用程序防护 中的设置。 |
| 应用容器 | 通用 Windows 平台 (UWP) 应用程序在称为应用容器的 Windows 容器中运行。 在应用容器中运行的进程以低完整性级别运行,这意味着它们对不拥有的资源的访问权限有限。 由于大多数资源的默认完整性级别为中等完整性级别,因此 UWP 应用只能访问文件系统、注册表和其他资源的子集。 应用容器还强制实施网络连接限制;例如,不允许访问本地主机。 因此,恶意软件或受感染的应用的转义占用空间有限。 |
| Windows 沙盒 | Windows 沙盒提供了一个轻型桌面环境,可以安全地隔离运行不受信任的 Win32 应用程序,使用相同的基于硬件的 Hyper-V 虚拟化技术来隔离应用,而不必担心对电脑产生持久影响。 |