網路安全性
Windows 11 會提高網路安全性,提供全方位的保護,以協助人們幾乎隨時隨地放心地工作。 為了協助減少組織的受攻擊面,Windows 中的網路保護可防止人員存取可能裝載網路釣魚詐騙、惡意探索和其他惡意內容的危險的IP位址和網域。 網路保護會使用信譽型服務,封鎖對潛在有害、低信譽網域和IP位址的存取。
新的 DNS 和 TLS 通訊協定版本可強化應用程式、Web 服務和 零信任 網路所需的端對端保護。 檔案存取會新增不受信任的網路案例,其中包含透過 QUIC 的伺服器消息塊,以及新的加密和簽署功能。 Wi-Fi 和藍牙進展也可讓您更信任與其他裝置的連線。 此外,VPN 和 Windows 防火牆平臺提供可輕鬆設定和偵錯軟體的新方式。
在企業環境中,網路保護最適合與 適用於端點的 Microsoft Defender 搭配使用,這會在較大的調查案例中提供保護事件的詳細報告。
瞭解更多資訊
傳輸層安全性 (TLS)
傳輸層安全性 (TLS) 是熱門的安全性通訊協定,可加密傳輸中的數據,以協助在兩個端點之間提供更安全的通道。 Windows 預設會啟用最新的通訊協定版本和強式加密套件,並提供完整的擴充功能套件,例如客戶端驗證以增強伺服器安全性,或是會話繼續以提升應用程式效能。 TLS 1.3 是最新版的通訊協議,預設會在 Windows 中啟用。 此版本有助於消除過時的密碼編譯演算法、增強舊版的安全性,並盡可能將大部分的 TLS 交握加密。 交握的效能較佳,每個連線平均少一次來回行程,且僅支持強式加密套件,可提供完美的轉寄密碼和較少的作業風險。 使用 TLS 1.3 可為加密的線上連線提供更多隱私權和較低的延遲。 如果連線任一端的用戶端或伺服器應用程式不支援 TLS 1.3,則聯機會回復為 TLS 1.2。 Windows 使用最新的數據報傳輸層安全性 (DTLS) 1.2 進行 UDP 通訊。
瞭解更多資訊
功能變數名稱系統 (DNS) 安全性
在 Windows 11 中,Windows DNS 用戶端支援透過 HTTPS 的 DNS 和透過 TLS 的 DNS,兩個加密的 DNS 通訊協定。 無論是被動觀察者記錄瀏覽行為,或主動攻擊者嘗試將用戶端重新導向至惡意網站,這些動作都可讓系統管理員確保其裝置能保護其名稱查詢不受路徑上的攻擊者攻擊。 在網路界限中沒有信任的 零信任 模型中,需要與信任的名稱解析程式建立安全連線。
Windows 11 提供組策略和程式設計控制項,以透過 HTTPS 行為設定 DNS。 因此,IT 系統管理員可以擴充現有的安全性,以採用新的模型,例如 零信任。 IT 系統管理員可以透過 HTTPS 通訊協定來強制執行 DNS,確保使用不安全 DNS 的裝置將無法連線到網路資源。 IT 系統管理員也可以選擇不使用透過 HTTPS 的 DNS 或透過 TLS 的 DNS 進行受信任的網路邊緣設備檢查純文字 DNS 流量的舊版部署。 根據預設,Windows 11 會延遲解析程式應使用加密 DNS 的本機系統管理員。
DNS 加密的支援會與現有的 Windows DNS 組態整合,例如名稱解析原則數據表 (NRPT) 、系統主機檔案,以及每個網路適配器或網路配置檔指定的解析程式。 整合可協助 Windows 11 確保更大 DNS 安全性的優點不會回歸現有的 DNS 控制機制。
藍牙保護
聯機到 Windows 11的藍牙裝置數目會持續增加。 Windows 用戶會連線其藍牙頭戴式裝置、滑鼠、鍵盤和其他配件,並藉由享受串流、生產力和遊戲來改善其日常電腦體驗。 Windows 支援所有標準藍牙配對通訊協定,包括傳統和 LE 安全連線、安全簡單配對,以及 LE 傳統配對。 Windows 也會實作主機型 LE 隱私權。 Windows 更新可協助用戶根據藍牙特殊興趣群組 (SIG) 和 Standard 弱點報告保持最新狀態,以及藍牙核心產業標準所需的問題。 Microsoft強烈建議藍牙配件的韌體和軟體保持在最新狀態。
IT 管理的環境具有可透過設定服務提供者、組策略和PowerShell取得的數個原則設定。 這些設定可以透過裝置管理解決方案來管理,例如 Microsoft Intune[4]。 您可以將 Windows 設定為使用藍牙技術,同時支援組織的安全性需求。 例如,您可以在封鎖檔傳輸時允許輸入和音訊、強制加密標準、限制 Windows 的可探索性,或甚至完全針對最敏感的環境停用藍牙。
瞭解更多資訊
Wi-Fi 連線
Windows Wi-Fi 在連線到 Wi-Fi 網路時,支援業界標準的驗證和加密方法。 WPA (受 Wi-Fi 保護的存取) 是由 Wi-Fi 聯盟 (WFA) 所定義的安全性標準,可提供複雜的數據加密和更好的使用者驗證。
目前的 Wi-Fi 驗證安全性標準是 WPA3,相較於 WPA2 和較舊的安全性通訊協定,WPA3 提供更安全可靠的連線方法。 Windows 支援三種 WPA3 模式 : WPA3 Personal、WPA3 Enterprise 和 WPA3 Enterprise 192 位套件 B。
Windows 11 包含具有新 H2E 通訊協定的 WPA3 Personal 和 WPA3 Enterprise 192 位套件 B。Windows 11 也支援 WPA3 Enterprise,其中包含增強的伺服器證書驗證,以及使用 EAP-TLS 驗證進行驗證的 TLS 1.3。
也包含 OPportunistic Wireless Encryption) (的一種技術,可讓無線裝置建立公用 Wi-Fi 熱點的加密連線。
5G 和 eSIM
相較於上一代的行動電話通訊協定,5G 網路使用更強的加密和更好的網路分割。 不同於Wi-Fi,5G存取一律會相互驗證。 存取認證會儲存在實際內嵌在裝置的 EAL4 認證 eSIM 中,讓攻擊者更難竄改。 5G 和 eSIM 共同提供強大的安全性基礎。
瞭解更多資訊
Windows 防火牆
Windows 防火牆是分層安全性模型的重要部分。 它提供主機型雙向網路流量篩選,根據裝置所連線的網路類型,封鎖流入或流出本機裝置的未經授權流量。
Windows 防火牆提供下列優點:
- 降低網路安全性威脅的風險:Windows 防火牆會使用許多屬性來限制或允許流量的規則來減少裝置的攻擊面,例如IP位址、埠或程序路徑。 這項功能可提高管理性,並降低成功攻擊的可能性
- 保護敏感數據和智慧財產權:透過與因特網通訊協定安全性整合 (IPSec) ,Windows防火牆提供簡單的方法來強制執行已驗證的端對端網路通訊。 它可對信任的網路資源提供可調整的階層式存取,協助強制執行數據的完整性,並選擇性地協助保護數據的機密性
- 擴充現有投資的價值:因為 Windows 防火牆是操作系統隨附的主機型防火牆,所以不需要額外的硬體或軟體。 Windows 防火牆也設計成透過記載的應用程式開發介面 (API) 來補充現有的非Microsoft網路安全性解決方案
Windows 11 可讓 Windows 防火牆更容易進行分析和偵錯。 IPSec 行為與封包監視器整合,這是適用於 Windows 的內建跨元件網路診斷工具。 此外,Windows 防火牆事件記錄檔已增強,以確保稽核可以識別負責任何指定事件的特定篩選條件。 這可讓您分析防火牆行為和豐富的封包擷取,而不需要依賴第三方工具。
系統管理員可以透過 Microsoft Intune[4] 中 [端點安全性] 節點中的防火牆和防火牆規則原則範本,使用防火牆設定服務提供者 (CSP) 的平台支援,將這些設定套用至 Windows 端點,來設定更多設定。
Windows 11 版本 24H2 的新功能
Windows 中的防火牆設定服務提供者 (CSP) 現在會強制採用全有或全無的方法,在每個不可部分完成的區塊中套用防火牆規則。 先前,如果 CSP 在區塊中遇到任何規則的問題,它不僅會停止處理該規則,也會停止處理後續規則,這可能會造成部分部署規則區塊的安全性差距。 現在,如果無法成功套用區塊中的任何規則,CSP 會停止處理後續規則,並從該不可部分完成的區塊復原所有規則,消除部分部署的規則區塊模棱兩可的情況。
瞭解更多資訊
虛擬專用網 (VPN)
組織一直依賴 Windows 來提供可靠、安全且可管理的虛擬專用網 (VPN) 解決方案。 Windows VPN 用戶端平臺包含內建的 VPN 通訊協定、組態支援、常見的 VPN 使用者介面,以及自定義 VPN 通訊協定的程式設計支援。 VPN 應用程式可在 Microsoft Store 中供企業與消費者 VPN 取得,包括最熱門的企業 VPN 閘道的應用程式。
在 Windows 11 中,我們已將最常用的 VPN 控件直接整合到 [Windows 11 快速動作] 窗格中。 在 [快速動作] 窗格中,使用者可以確認其 VPN 的狀態、啟動和停止連線,以及輕鬆地開啟 [設定] 以取得更多控制件。
Windows VPN 平臺會連線到 Microsoft Entra ID[4] 和單一登錄的條件式存取,包括透過 Microsoft Entra ID (MFA) 的多重要素驗證。 VPN 平臺也支援傳統加入網域的驗證。 Microsoft Intune[4] 和其他裝置管理解決方案支援此功能。 彈性 VPN 設定檔支援內建通訊協定和自訂通訊協定。 它可以設定多個驗證方法,並可視需要自動啟動,或由終端使用者手動啟動。 它也支援分割通道 VPN 和獨佔 VPN,但受信任的外部網站除外。
透過 通用 Windows 平台 (UWP) VPN 應用程式,終端用戶永遠不會卡在舊版的 VPN 用戶端上。 市集的 VPN 應用程式會視需要自動更新。 當然,更新會由您的IT系統管理員控制。
Windows VPN 平台會針對 Azure VPN 之類的雲端式 VPN 提供者進行調整和強化。 Windows VPN 平臺內建 Microsoft Entra ID 驗證、Windows 使用者介面整合、管線 IKE 流量選取器和伺服器支援等功能。 與 Windows VPN 平臺整合可讓您獲得更簡單的 IT 系統管理員體驗。 使用者驗證更為一致,而且使用者可以輕鬆地尋找並控制其 VPN。
瞭解更多資訊
伺服器消息塊檔服務
伺服器消息塊 (SMB) 和檔案服務是商業和公用部門生態系統中最常見的 Windows 工作負載。 使用者和應用程式依賴SMB來存取執行各種大小組織的檔案。
Windows 11 引進了重大的安全性更新,以符合現今的威脅,包括 AES-256 SMB 加密、加速 SMB 簽署、遠端目錄記憶體取 (RDMA) 網路加密,以及針對不受信任的網路透過 QUIC 的 SMB。
Windows 11 版本 24H2 的新功能
新的安全性選項包括預設的強制SMB簽署、NTLM封鎖、驗證速率限制,以及數個其他增強功能。
瞭解更多資訊