系统安全性

• 适用于:

  Windows 11

受信任的启动 (安全启动 + 测量的启动)

Windows 11要求所有电脑使用统一可扩展固件接口 (UEFI) 的安全启动功能。 当Windows 11设备启动时，安全启动和受信任的启动协同工作，以防止恶意软件和损坏的组件加载。 安全启动提供初始保护，然后受信任的启动会选取进程。

安全启动通过 Windows 内核的受信任启动序列，从统一可扩展固件接口 (UEFI) 创建一个安全且受信任的路径。 在 UEFI、启动加载程序、内核和应用程序环境之间的整个启动序列中，签名强制握手会阻止对 Windows 启动序列的恶意软件攻击。

为了降低固件根工具包的风险，电脑会在启动过程开始时验证固件的数字签名。 然后，安全启动会检查作系统启动加载程序的数字签名以及作系统启动之前运行的所有代码，确保签名和代码不受破坏，并且根据安全启动策略受信任。

受信任启动选取从安全启动开始的进程。 Windows 引导加载程序在加载 Windows 内核之前验证其数字签名。 反过来，Windows 内核会验证 Windows 启动过程的其他每个组件，包括启动驱动程序、启动文件和任何反恶意软件产品的早期启动反恶意软件 (ELAM) 驱动程序。 如果这些文件中的任何一个被篡改，引导加载程序将检测到问题并拒绝加载损坏的组件。 通常，Windows 可以自动修复损坏的组件，并且能够恢复 Windows 的完整性，并允许电脑正常启动。

了解更多信息

• 保护 Windows 启动过程
• 安全启动和受信任启动

加密

加密旨在保护用户和系统数据。 Windows 11中的加密堆栈从芯片扩展到云，使 Windows、应用程序和服务能够保护系统和用户机密。 例如，可以加密数据，以便只有具有唯一密钥的特定读取器才能读取数据。 作为数据安全的基础，加密有助于防止除预期接收方以外的任何人读取数据，执行完整性检查以确保数据不受篡改，并验证标识以确保通信安全。 Windows 11加密经过认证，符合联邦信息处理Standard (FIPS) 140。 FIPS 140 认证可确保正确实现美国政府批准的算法。

了解更多信息

• FIPS 140 验证

Windows 加密模块提供低级别基元，例如：

• 随机数生成器 (RNG)
• 支持具有 XTS、ECB、CBC、CFB、CCM 和 GCM作模式的 AES 128/256;RSA 和 DSA 2048、3072 和 4,096 密钥大小;基于曲线的 ECDSA P-256、P-384、P-521
• 哈希 (对 SHA1、SHA-256、SHA-384 和 SHA-512)
• 对 OAEP、PSS 和 PKCS1) 的签名和验证 (填充支持
• 关键协议和密钥派生 (支持 ECDH 超过 NIST 标准质曲线 P-256、P-384、P-521 和HKDF)

应用程序开发人员可以使用这些加密模块来执行低级别加密作 (Bcrypt) 、密钥存储作 (NCrypt) 、保护静态数据 (DPAPI) ，以及安全地共享 (DPAPI-NG) 机密。

了解更多信息

• 加密和证书管理

开发人员可以通过加密下一代 API (CNG) 访问 Windows 上的模块，该 API 由 Microsoft 的开源加密库 SymCrypt 提供支持。 SymCrypt 通过其开源代码支持完全透明。 此外，SymCrypt 利用程序集和硬件加速（如果可用）为加密作提供性能优化。

SymCrypt 是Microsoft透明度承诺的一部分，其中包括全球Microsoft政府安全计划，该计划旨在提供人们信任Microsoft产品和服务所需的机密安全信息和资源。 该计划提供对源代码的受控访问、威胁和漏洞信息交换、参与有关Microsoft产品和服务的技术内容的机会，以及访问五个全球分布的透明中心。

证书

为了帮助保护和验证信息，Windows 提供对证书和证书管理的全面支持。 内置证书管理命令行实用工具 (certmgr.exe) 或Microsoft管理控制台 (MMC) 管理单元 (certmgr.msc) 可用于查看和管理证书、证书信任列表 (CCL) ，以及证书吊销列表 (CRL) 。 每当在 Windows 中使用证书时，我们都会验证叶证书及其信任链中的所有证书是否已吊销或泄露。 计算机上的受信任的根证书和中间证书以及公开吊销的证书用作公钥基础结构 (PKI) 信任的参考，并由Microsoft受信任的根程序每月更新一次。 如果吊销受信任的证书或根证书，则会更新所有全局设备，这意味着用户可以相信 Windows 会自动防范公钥基础结构中的漏洞。 对于云和企业部署，Windows 还为用户提供了使用组策略在 Active Directory 中自动注册和续订证书的功能，以降低由于证书过期或配置错误而导致的潜在中断风险。

代码签名和完整性

为了确保 Windows 文件未被篡改，Windows 代码完整性进程将验证 Windows 中每个文件的签名。 代码签名是跨 Windows 平台建立固件、驱动程序和软件完整性的核心。 代码签名使用代码签名证书的私钥部分加密文件的哈希，并将签名嵌入文件中，从而创建数字签名。 Windows 代码完整性过程通过解密签名以检查文件的完整性来验证已签名的文件，并确认它是否来自信誉良好的发布者，确保文件未被篡改。

在 Windows 启动代码、Windows 内核代码和 Windows 用户模式应用程序上跨 Windows 环境评估数字签名。 安全启动和代码完整性验证启动加载程序、选项 ROM 和其他启动组件上的签名，以确保它受信任且来自信誉良好的发布者。 对于不是由 Microsoft 发布的驱动程序，内核代码完整性验证内核驱动程序上的签名，并要求驱动程序由 Windows 签名或由 Windows 硬件兼容性计划 (WHCP) 认证。 此程序可确保第三方驱动程序与各种硬件和 Windows 兼容，并且驱动程序来自经过审查的驱动程序开发人员。

设备运行状况证明

Windows 设备运行状况证明过程支持零信任范例，将焦点从基于网络的静态外围转移到用户、资产和资源。 证明过程确认设备、固件和启动进程处于良好状态，在它们可以访问公司资源之前未被篡改。 这些确定是使用存储在 TPM 中的数据做出的，TPM 可提供安全的信任根。 信息将发送到证明服务（如Azure 证明），以验证设备是否处于受信任状态。 然后，Microsoft Intune^[4] 等云原生设备管理解决方案会评审设备运行状况，并将此信息与 Microsoft Entra ID^[4] 进行条件访问。

Windows 包含许多安全功能，可帮助保护用户免受恶意软件和攻击。 但是，仅当平台按预期启动且未篡改时，安全组件才可信。 如上所述，Windows 依赖于统一可扩展固件接口 (UEFI) 安全启动、ELAM、DRTM、受信任启动和其他低级别硬件和固件安全功能来保护你的电脑免受攻击。 从打开电脑到反恶意软件启动的那一刻起，Windows 都支持适当的硬件配置，以帮助保护你的安全。 由启动加载程序和 BIOS 实现的测量启动以链接方式验证和加密记录启动的每个步骤。 这些事件绑定到充当硬件信任根的 TPM。 远程证明是服务读取和验证这些事件的机制，以提供可验证、无偏见和可篡改的可复原报告。 远程证明是系统启动的受信任审核员，允许依赖方将信任绑定到设备及其安全性。

在 Windows 设备上证明和 Zero-Trust 所涉及的步骤摘要如下：

• 在启动过程的每个步骤（例如文件加载、特殊变量更新等）期间，文件哈希和签名 () 等信息在 TPM 平台配置寄存器 (PCR) 中测量。 度量受受信任的计算组规范的约束，该规范规定可以记录哪些事件以及每个事件的格式。 数据提供有关设备安全性的重要信息，从它打开的那一刻起
• Windows 启动后，证明程序 (或验证程序) 请求 TPM 获取存储在其 PCR 中的度量值以及测量启动日志。 它们共同构成了发送到Azure 证明服务的证明证据
• 使用芯片集上提供的密钥或加密材料与 Azure 证书服务验证 TPM
• 上述信息将发送到 Azure 证明 服务，以验证设备是否处于受信任状态。

了解更多信息

• 控制 Windows 设备的运行状况

Windows 安全策略设置和审核

安全策略设置是整体安全策略的关键部分。 Windows 提供了一组可靠的安全设置策略，IT 管理员可使用这些策略来帮助保护组织中的 Windows 设备和其他资源。 安全策略设置是在设备或多台设备上配置的规则，用于控制：

• 对网络或设备的用户身份验证
• 允许用户访问的资源
• 是否在事件日志中记录用户或组的作
• 组中的成员身份

安全审核是可用于维护网络和资产完整性的最强大的工具之一。 审核有助于识别针对高价值目标的攻击、网络漏洞和攻击。 可以指定与安全相关的事件的类别，以使用配置服务提供程序 (CSP) 或组策略创建适合组织需求的审核策略。

首次安装 Windows 时，将禁用所有审核类别。 在启用它们之前，请按照以下步骤创建有效的安全审核策略：

1. 确定最关键的资源和活动。
2. 确定跟踪这些设置所需的审核设置。
3. 评估与每个资源或设置相关的优势和潜在成本。
4. 测试这些设置以验证你的选择。
5. 制定用于部署和管理审核策略的计划。

了解更多信息

• 安全策略设置
• 安全审核

Windows 安全中心

设备安全性和运行状况的可见性和感知是采取任何作的关键。 Windows 安全中心应用提供设备安全状态和运行状况的概览视图。 这些见解可帮助你识别问题并采取行动，确保你受到保护。 可以快速查看病毒和威胁防护、防火墙和网络安全、设备安全控制等的状态。

了解更多信息

• 使用 Windows 安全中心 应用保持保护
• Windows 安全中心

配置刷新

使用传统的组策略时，策略设置在用户登录时在电脑上刷新，默认情况下每隔 90 分钟刷新一次。 管理员可以将时间调整为更短，以确保策略设置符合 IT 设置的管理设置。

相比之下，对于设备管理解决方案（如 Microsoft Intune^[4]），策略会在用户登录时刷新，然后默认每隔 8 小时刷新一次。 但策略设置从 GPO 迁移到设备管理解决方案，剩余的一个差距是重新应用已更改的策略之间的较长时间。

配置刷新允许策略配置服务提供商 (CSP) 中的设置（由于电脑上的错误配置、注册表编辑或恶意软件而偏移）重置为管理员默认每 90 分钟预期的值。 如果需要，可配置为每 30 分钟刷新一次。 策略 CSP 涵盖数百个设置，这些设置传统上是使用组策略设置的，现在通过移动设备管理 (MDM) 协议设置。

配置刷新也可以暂停一段可配置的时间段，之后将重新启用该刷新。 这是为了支持支持技术人员可能需要重新配置设备以进行故障排除的方案。 管理员也可以随时恢复它。

了解更多信息

• 配置刷新

展台模式

Windows 允许使用内置功能将功能限制为特定应用程序，使其成为面向公众或共享设备（如展台）的理想选择。 可以在设备上本地或通过基于云的设备管理解决方案（如 Microsoft Intune^[4]）将 Windows 设置为展台。 可以将展台模式配置为运行单个应用、多个应用或全屏 Web 浏览器。 还可以将设备配置为在启动时自动登录并启动指定的展台应用。

了解更多信息

• Windows 展台和受限用户体验

受 Windows 保护的打印

受 Windows 保护的打印旨在提供更现代、更安全的打印系统，以最大化兼容性并将用户放在第一位。 它允许设备使用 Windows 新式打印堆栈进行独占打印，从而简化了打印体验。

受 Windows 保护的打印的优势包括：

• 提高电脑安全性
• 简化且一致的打印体验，无论电脑体系结构如何
• 无需管理打印驱动程序

受 Windows 保护的打印设计为仅适用于 Mopria 认证的打印机。 许多现有打印机已经兼容。

了解更多信息

• 受 Windows 保护的打印
• 来自 Windows 的全新、新式和安全打印体验

Rust for Windows

Rust 是一种现代编程语言，以注重安全性、性能和并发性而闻名。 它旨在防止常见的编程错误，例如 null 指针取消引用和缓冲区溢出，这可能会导致安全漏洞和崩溃。 Rust 通过其独特的所有权系统来实现这一点，该系统无需垃圾回收器即可确保内存安全。 我们正在扩展 Rust 与 Windows 内核的集成，以提高 Windows 代码库的安全性和可靠性。 这一战略举措突显了我们采用现代技术以提高 Windows 的质量和安全性的承诺。

了解更多信息

• Rust for Windows 和 Windows 箱