高级凭据保护

• 适用于:

  Windows 11

除了采用无密码登录外，组织还可以使用 Credential Guard 和远程凭据防护在 Windows 11 中增强用户和域凭据的安全性。

本地安全机构 (LSA) 保护

Windows 有几个关键过程来验证用户的身份。 验证过程包括本地安全机构 (LSA) ，后者负责对用户进行身份验证和验证 Windows 登录。LSA 处理用于单一登录Microsoft帐户和 Entra ID 帐户的令牌和凭据。

LSA 仅加载受信任的已签名代码，可有效防止凭据被盗。 LSA 保护支持使用组策略和其他设备管理解决方案进行配置。

Windows 11版本 24H2 中的新增功能

为了帮助保护这些凭据的安全，默认情况下，在 MSA、Microsoft Entra加入、混合和本地) (的所有设备上启用 LSA 保护。 对于新安装，会立即启用它。 对于升级，它在评估期为 10 天后重新启动后启用。

用户能够在设备安全>核心>隔离本地安全机构保护下管理 Windows 安全中心 应用程序中的 LSA 保护状态。

为了确保所有用户的无缝转换和增强的安全性，LSA 保护的企业策略优先于升级时启用。

了解更多信息

• 配置其他 LSA 保护

Credential Guard

Credential Guard 使用硬件支持的基于虚拟化的安全性 (VBS) 来防止凭据被盗。 使用 Credential Guard，本地安全机构 (LSA) 在操作系统的其余部分无法访问的独立环境中存储和保护 Active Directory (AD) 机密。 LSA 使用远程过程调用来与隔离的 LSA 进程进行通信。

通过基于虚拟化的安全性保护 LSA 进程，Credential Guard 可保护系统免受用户凭据盗窃攻击技术（如哈希传递或票证传递）的侵害。 它还有助于防止恶意软件访问系统机密，即使进程以管理员权限运行也是如此。

Windows 11版本 24H2 中的新增功能

Credential Guard 保护已扩展为（可选）包括已加入 Active Directory 的设备的计算机帐户密码。 管理员可以使用 Credential Guard 策略设置启用审核模式或强制实施此功能。

了解更多信息

• 使用 Credential Guard 保护派生的域凭据

远程 Credential Guard

远程凭据防护通过将 Kerberos 请求重定向回请求的设备，帮助组织通过远程桌面连接保护凭据。 它还为远程桌面会话提供单一登录体验。

管理员凭据具有很高的特权，必须受到保护。 如果将 Remote Credential Guard 配置为在远程桌面会话期间进行连接，则凭据和凭据派生项永远不会通过网络传递到目标设备。 如果目标设备遭到入侵，则不会公开凭据。

了解更多信息

• 远程 Credential Guard

VBS 密钥保护

VBS 密钥保护使开发人员能够使用基于虚拟化的安全性 (VBS) 来保护加密密钥。 VBS 使用 CPU 的虚拟化扩展功能在正常 OS 之外创建独立运行时。 使用时，VBS 密钥在安全过程中隔离，允许进行密钥操作，而无需在此空间外部公开私钥材料。 静态时，私钥材料由 TPM 密钥加密，该密钥将 VBS 密钥绑定到设备。 以这种方式保护的密钥不能从进程内存转储或以纯文本形式从用户计算机导出，从而防止任何管理员级攻击者进行外泄攻击。

了解更多信息

• 使用 VBS 在 Windows 中推进密钥保护

令牌保护 (预览版)

令牌保护尝试使用Microsoft Entra ID令牌盗窃来减少攻击。 令牌保护通过将令牌与设备机密进行加密绑定，使令牌只能从其预期设备使用。 使用令牌时，必须同时提供令牌和设备机密的证明。 条件访问策略^[4] 可以配置为在对特定服务使用登录令牌时需要令牌保护。

了解更多信息

• Entra ID 条件访问中的令牌保护

登录会话令牌保护策略

此功能允许应用程序和服务以加密方式将安全令牌绑定到设备，从而限制攻击者在令牌被盗时在不同设备上模拟用户的能力。

帐户锁定策略

安装了 Windows 11 的新设备将具有默认安全的帐户锁定策略。 这些策略可缓解暴力攻击，例如黑客试图通过远程桌面协议 (RDP) 访问 Windows 设备。

帐户锁定阈值策略现在默认设置为 10 次失败的登录尝试，帐户锁定持续时间设置为 10 分钟。 现在默认启用 “允许管理员帐户锁定 ”。 默认情况下，“重置帐户锁定”计数器现在也设置为 10 分钟。

了解更多信息

• 帐户锁定策略

访问管理和控制

Windows 中的访问控制可确保共享资源可供资源所有者以外的用户和组使用，并受到保护，防止未经授权的使用。 IT 管理员可以管理用户、组和计算机对网络或计算机上的对象和资产的访问权限。 对用户进行身份验证后，Windows 将实施第二阶段，即使用内置授权和访问控制技术保护资源。 这些技术确定经过身份验证的用户是否具有正确的权限。

访问控制 Lists (ACL) 描述特定对象的权限，还可以包含系统访问控制 Lists (ACL) 。 ACL 提供了一种审核特定系统级别事件的方法，例如当用户尝试访问文件系统对象时。 这些事件对于跟踪敏感或有价值且需要额外监视的对象的活动至关重要。 能够审核资源何时尝试读取或写入操作系统的一部分，对于了解潜在攻击至关重要。

IT 管理员可以优化应用程序和管理对以下对象的访问：

• 防止滥用大量和多种网络资源
• 将用户设置为以符合组织策略及其作业要求的方式访问资源。 组织可以实施最低特权访问原则，该原则断言应仅向用户授予对执行作业所需的数据和操作的访问权限
• 随着组织策略的更改或用户作业的更改，更新用户定期访问资源的能力
• 支持不断变化的工作场所需求，包括从混合或远程位置访问，或者从快速扩展的设备阵列（包括平板电脑和手机）进行访问
• 识别并解决合法用户无法访问执行作业所需的资源时的访问问题

了解更多信息

• 访问控制