Windows 11安全手册

Windows 11安全手册的封面。

简介

当今的组织面临着一个加速变化的世界,从市场波动和社会政治事件到新 AI 技术的快速采用。 然而,随着组织和行业的创新,越来越复杂的网络罪犯也越来越多。 研究表明,员工(包括他们的设备、服务和标识)是针对各种规模的企业的攻击的中心。 一些主要威胁包括标识攻击、勒索软件、有针对性的网络钓鱼尝试和企业电子邮件泄露[1]。

为了应对不断增长的和不断变化的威胁形势,我们于 2023 年 11 月宣布了 SFI) (安全未来倡议 。 SFI 致力于在所有公司和产品中推进网络安全保护。

Microsoft致力于将安全性放在第一位,其产品和服务在设计上是安全的,默认情况下是安全的。 我们每天合成超过 65 万亿个信号,以了解数字威胁和犯罪网络活动[1]。 通过 SFI 计划,我们已将相当于 34,000 名全职工程师专用于最高优先级的安全任务。 我们不断应用从事件中学到的知识来改进安全和隐私模型、安全体系结构和技术控制。

设计安全性。 默认情况下,安全性。

从个人和组织到政府和行业,共同协作是改善全球安全的关键。 世界正朝着 设计安全、默认安全 的方法发展,其中技术生产商的任务是在初始设计阶段整合安全性,并提供开箱即用的产品提供保护。 作为我们承诺使世界成为一个更安全的地方的一部分,我们在每一项创新中都建立了安全。 Windows 11在设计上是安全的,默认情况下是安全的,在第一天启用了防御层来增强保护,而无需首先配置设置。 这种安全设计方法跨越 Windows 版本范围,包括专业版、企业版、IoT 企业版和教育版。 Copilot+ 电脑是有史以来最快、最智能的 Windows 设备,也是最安全的。 这些开创性的 AI 电脑具有安全核心的电脑保护,以及默认启用Microsoft Pluton 和 Windows 增强登录安全性等最新安全措施。

除 Windows IoT Long-Term 服务通道 (LTSC) 版本外,对 Windows 10 的支持即将于 2025 年 10 月 14 日结束。 在Windows 10支持结束之前升级或替换过时的设备是构建强大的安全态势的关键优先事项。 了解各种规模的组织(包括 90% 的财富 500 强公司)为何都依赖Windows 11。

安全优先级和优势

Windows 11使你能够专注于工作,而不是安全设置。 现成的功能(如凭据防护、恶意软件防护和应用程序保护)导致报告的安全事件下降了 62%,包括固件攻击减少 3.0 倍[2]。

在Windows 11中,硬件和软件协同工作以缩小攻击面、保护系统完整性并保护有价值的数据。 默认情况下,新增功能和增强功能旨在实现安全性。 例如,隔离 Win32 应用[3]、令牌保护[3]、密钥和Microsoft Intune Endpoint Privilege Management[4]是一些最新功能,可帮助保护组织和个人用户免受攻击。 Windows Hello和Windows Hello 企业版使用基于硬件的功能,例如受信任的平台模块 (TPM) 2.0、生物识别扫描仪和 Windows 状态感知,以实现更简单、安全的登录和保护数据和凭据。

此外,还会在Windows 11中不断增强现有的安全功能。 例如,BitLocker 加密已针对更高的安全性和性能进行了优化,可在更多设备上使用。

身份保护

攻击者越来越以员工及其设备为目标,因此组织需要针对日益复杂的网络威胁提供更强的安全性。 Windows 11提供主动保护,防止凭据被盗。 Windows Hello和 TPM 2.0 协同工作来保护标识,密钥和安全生物识别登录等功能实际上消除了密码丢失或被盗的风险[5]。 增强的钓鱼防护还提高了安全性;事实上,企业在Windows 11[2]中报告了 2.9 倍的标识盗窃事件,而硬件支持保护则减少了 2.9 倍。

应用程序安全措施

通过对应用程序的可靠防护和控制,帮助确保业务数据和员工高效工作。 Windows 11具有多层安全性,可保护关键数据并保护代码完整性。 应用程序保护、隐私控制和最低特权原则使开发人员能够在设计上构建安全性。 这种集成防御有助于防范漏洞和恶意软件,帮助保护数据的私密性,并为 IT 管理员提供所需的控制。 因此,组织和监管机构可以确信关键数据受到保护。

借助受信任签名,开发人员可以毫不费力地对其应用程序进行签名。 此过程可确保应用程序的真实性和完整性,同时增强安全功能,以防止和缓解恶意软件对 Windows 的影响。

设备运行状况和访问控制

通过Windows 11和芯片到云的安全性提高保护和效率。 Microsoft提供了证明连接到网络或访问数据和资源的设备是否可信所需的工具。 可以使用基于云的设备管理解决方案(例如Microsoft Intune、Microsoft Entra ID和全面的安全基线)强制实施安全策略和条件访问。 默认情况下,安全性不仅使用户能够在任何地方安全地工作,而且还简化了 IT。 基于Windows 11的简化的芯片到云安全解决方案,通过报告的 25%[6]提高了 IT 和安全团队的工作效率。

芯片到云安全性

在Windows 11中,硬件和软件协同工作来保护敏感数据,从设备核心一直到云。 无论人员在何处工作,全面保护都有助于确保组织安全。 下图显示了 Windows 11 中的保护层,而每一章都提供了对功能的逐层深入探讨。

包含安全功能列表的芯片到云的示意图。

了解更多信息