Windows 安全性简介
数字化转型的加速以及远程和混合工作的扩展为组织、社区和个人带来了新的机会。 此扩展引入了新的威胁和风险。
全球组织采用 零信任 安全模型的前提是,在安全性和完整性得到验证之前,任何位置的人员或设备都无法进行访问。 Windows 11 基于零信任原则构建,可在任何位置实现混合生产力和新体验,而不会影响安全性。 Windows 11 通过从芯片扩展到云的高级硬件和软件保护的新要求来提升 安全基线。
Windows 11 如何启用零信任保护
零信任安全模型在正确的时间为适当的人员提供适当的访问权限。 零信任安全性基于三个原则:
- 通过显式验证每个访问请求的数据点(如用户标识、位置和设备运行状况)来降低风险,且无例外
- 验证后,在必要时间内仅向人员和设备授予对所需资源的访问权限
- 使用持续分析来推动威胁检测和改进防御
对于 Windows 11,验证零信任原则显式 适用于由设备和人员引入的风险。 Windows 11 提供 芯片到云的安全性,使 IT 管理员能够使用 Windows Hello 企业版等功能实现强大的授权和身份验证过程。 IT 管理员还会获得证明和度量,以确定设备是否满足要求并且可以受信任。 Windows 11 与 Microsoft Intune 和 Microsoft Entra ID 配合使用,可实现及时无缝的访问决策。 此外,IT 管理员可以轻松自定义 Windows,以满足访问、隐私、合规性等特定用户和策略要求。
默认情况下的安全性
Windows 11 是其前身 Windows 10 的自然演变。 我们已与我们的制造商和芯片合作伙伴合作,纳入额外的硬件安全措施,以应对当今日益复杂的安全威胁。 这些措施不仅支持许多组织现在接受的混合工作和学习,还有助于增强我们已有的强大基础和抵御攻击的复原能力。
增强的硬件和操作系统安全性
通过从芯片开始的基于硬件的隔离安全性,Windows 11 将敏感数据存储在与操作系统分开的其他屏障之后。 因此,包括加密密钥和用户凭据在内的信息不会受到未经授权的访问和篡改。
在 Windows 11 中,硬件和软件协同工作来保护操作系统。 例如,新设备附带 基于虚拟化的安全性 (VBS) 和 安全启动 内置,并默认启用以包含和限制恶意软件攻击。
可靠的应用程序安全和隐私控制
为了帮助保护个人和业务信息及其私密性,Windows 11 具有多个应用程序安全层,可保护关键数据和代码完整性。 应用程序隔离和控制、代码完整性、隐私控制和最低特权原则使开发人员能够从零开始构建安全性和隐私。 此集成安全性可预防违规和恶意软件,有助于使数据保持私密性,并为 IT 管理员提供所需的控制。
在 Windows 11 中,Microsoft Defender 应用程序防护 使用 Hyper-V 虚拟化技术隔离容器中不受信任的网站和 Microsoft Office 文件,与主机操作系统和企业数据分开,且无法访问。 为了保护隐私,Windows 11 还提供了更多控制选项,可以控制哪些应用和功能可以收集和使用数据(如设备位置)或访问摄像头和麦克风等资源。
安全标识
密码在很长一段时间内一直是数字安全的重要部分,也是网络犯罪的主要目标。 Windows 11 通过芯片级硬件安全性为防止凭据被盗提供了强大的保护。 凭据受到硬件和软件安全层(如 TPM 2.0、 VBS 和/或 Credential Guard)的保护,这使得攻击者更难从设备窃取凭据。 使用 Windows Hello 企业版,用户可以使用人脸、指纹或 PIN 快速登录以进行无密码保护。 Windows 11 还支持 FIDO2 安全密钥 和用于无密码身份验证 的密钥 。
连接到云服务
除了证明连接到网络的 Windows 设备可信所需的工具外,Microsoft 还为标识、存储和访问管理提供了全面的云服务。 还可以使用新式设备管理 (MDM) 服务(如 Microsoft Intune)强制实施合规性和条件访问,该服务与 Microsoft Entra ID 和 Microsoft Azure 证明配合使用,以控制通过云对应用程序和数据的访问。
后续步骤
若要详细了解 Windows 11 中包含的安全功能,请阅读 Windows 11 安全手册。