應用程式和驅動程式控制件
Windows 11 提供豐富的應用程式平臺,具有隔離和程式代碼完整性等安全性層級,可協助保護您寶貴的數據。 開發人員也可以利用這些功能,從頭開始建置安全性,以防止缺口和惡意代碼。
SMART 應用程式控制
智慧應用程控會封鎖不受信任或未簽署的應用程式,以防止使用者執行惡意應用程式。 智慧應用程控除了先前的內建瀏覽器保護之外,還新增了另一層安全性,直接在處理程式層級的操作系統核心中建立。 使用 AI 時,智慧應用程控只允許在根據每日更新的現有和新智慧來預測程式安全時執行。
智慧應用程控建置在 商務用應用程控 中用來預測應用程式安全性的相同雲端式 AI 之上,讓使用者可以確信其應用程式安全可靠。 此外,Smart App Control 會封鎖來自 Web 的未知腳本檔案和巨集,大幅改善日常用戶的安全性。
我們已大幅改善智慧應用程控,以提高 Windows 生態系統中應用程式的安全性、可用性和雲端智能回應。 用戶可以透過每個月透過 Windows Update,讓其裝置保持在最新狀態,以獲得智慧應用程控的最新且最佳體驗。
為了確保使用者具有已啟用智慧應用程控的順暢體驗,我們要求開發人員使用Microsoft受信任根程式的程式代碼簽署憑證來簽署應用程式。 開發人員應該包含所有二進位檔,例如 exe、dll、暫存安裝程式檔案和卸載程式。 信任簽署 讓取得、維護和簽署受信任憑證的程式變得簡單且安全。
在企業管理中註冊的裝置上,智慧型應用程控已停用。 建議執行企業營運應用程式的企業繼續使用 商務用應用程控。
瞭解更多資訊
商務用應用程控
您的組織僅與在裝置上執行的應用程式一樣安全。 使用 應用程控,應用程式必須獲得信任才能執行,與所有程式代碼都假設為可信任的應用程式信任模型相反。 藉由協助防止不想要的或惡意的程式代碼執行,應用程控是有效安全性策略的重要部分。 許多組織會將應用程控列為防範可執行檔型惡意代碼的最有效方法之一。
商務用應用程控 (先前稱為 Windows Defender 應用程控) 和 AppLocker 都包含在 Windows 中。 商務用應用程控是適用於 Windows 的新一代應用程控解決方案,可讓您對環境中執行的專案提供強大的控制。 在舊版 Windows 上使用 AppLocker 的組織可以在考慮是否切換至商務用應用程控以獲得更強大的保護時,繼續使用此功能。
Microsoft Intune[4] 可以在管理控制台中設定商務用應用程控,包括將 Intune 設定為受控安裝程式。 Intune 包含商務用應用程控的內建選項,以及將原則上傳為 XML 檔案的可能性,Intune 封裝和部署。
瞭解更多資訊
系統管理員保護
當使用者使用 Windows 的系統管理許可權登入時,他們有權對系統進行重大變更,這可能會影響其整體安全性。 這些許可權可以是惡意軟體的目標。
系統管理員保護是 Windows 11 中設計來保護這些系統管理許可權的新安全性功能。 它可讓系統管理員以 Just-In-Time 系統管理許可權執行所有必要的功能,同時在沒有系統管理許可權的情況下執行大部分的工作。 系統管理員保護的目標是要提供安全且順暢的體驗,確保使用者以最少的必要許可權運作。
啟用系統管理員保護時,如果應用程式需要特殊許可權,例如系統管理許可權,系統會要求使用者核准。 需要核准時,Windows Hello 提供安全且簡單的方式來核准或拒絕這些要求。
注意
系統管理員保護目前為預覽狀態。 針對執行舊版 Windows 的裝置,請參閱 使用者帳戶控制 (UAC) 。
Microsoft易受攻擊的驅動程式封鎖清單
Windows 核心是具有最特殊權限的軟體,因此對惡意程式碼作者來說,是一個具吸引力的目標。 由於 Windows 對於在核心中執行的程式碼有嚴格的要求,網路罪犯通常會惡意探索核心驅動程式中的弱點來取得存取權。 Microsoft與生態系統合作夥伴合作,持續識別並回應可能易受攻擊的核心驅動程式。 為防止易受攻擊的驅動程式版本執行,Windows 預設會開啟 封鎖原則 。 用戶可以從 Windows 安全性 應用程式設定原則。
瞭解更多資訊
信任簽署
信任簽署 是Microsoft完全受控的端對端簽署解決方案,可簡化簽署程式,並讓第三方開發人員輕鬆地建置和散發應用程式。
瞭解更多資訊