系統安全性

• 適用於:

  Windows 11

受信任開機 (安全開機 + 測量開機)

Windows 11 需要所有計算機使用整合可擴展固件介面 (UEFI) 的安全開機功能。 當 Windows 11 裝置啟動時，安全開機和信任開機會一起運作，以防止惡意代碼和損毀的元件載入。 安全開機提供初始保護，然後信任開機會挑選程式。

安全開機會透過 Windows 核心的受信任開機順序，從整合可擴展固件介面 (UEFI) 建立安全且受信任的路徑。 在 UEFI、開機載入器、核心和應用程式環境之間的開機順序中，簽章強制交握會封鎖 Windows 開機順序上的惡意代碼攻擊。

為了降低韌體rootkit的風險，計算機會在開機程式開始時驗證韌體的數字簽名。 安全開機接著會檢查操作系統開機載入器的數字簽名，以及在操作系統啟動之前執行的所有程式代碼，以確保根據安全開機原則取消編譯和信任簽章和程序代碼。

信任開機會挑選以安全開機開頭的程式。 Windows 開機載入器會先驗證 Windows 核心的數位簽名，再載入它。 接著，Windows 核心會驗證 Windows 啟動程式的所有其他元件，包括開機驅動程式、啟動檔案，以及任何反惡意代碼產品的早期啟動反惡意代碼 (ELAM) 驅動程式。 如果有任何檔案遭到竄改，開機載入器會偵測到問題，並拒絕載入損毀的元件。 Windows 通常可以自動修復損毀的元件、還原 Windows 的完整性，並讓計算機正常啟動。

瞭解更多資訊

• 保護 Windows 開機程序
• 安全開機和受信任的開機

密碼編譯

密碼編譯的設計目的是要保護用戶和系統數據。 Windows 11 中的密碼編譯堆疊會從晶元延伸到雲端，讓Windows、應用程式和服務能夠保護系統和使用者秘密。 例如，數據可以加密，因此只有具有唯一密鑰的特定讀取器可以讀取數據。 密碼編譯是數據安全性的基礎，可協助防止預期收件者以外的任何人讀取數據、執行完整性檢查以確保數據不受竄改，並驗證身分識別以確保通訊安全。 Windows 11 密碼編譯已通過認證，可符合美國聯邦資訊處理 Standard (FIPS) 140。 FIPS 140 認證可確保正確實作美國政府核准的演算法。

瞭解更多資訊

• FIPS 140 驗證

Windows 密碼編譯模組提供低階基本類型，例如：

• RNG) (隨機數產生器
• 支援 AES 128/256 搭配 XTS、偵測器、CBC、CFB、CCM 和 GCM 作業模式;RSA 和 DSA 2048、3072 和 4,096 個密鑰大小;曲線上的 ECDSA P-256、P-384、P-521
• 哈希 (SHA1、SHA-256、SHA-384 和 SHA-512)
• OAEP、PSS 和 PKCS1 (的簽署和驗證填補支援)
• 密鑰合約和金鑰衍生 (支援透過 NIST 標準質曲線 P-256、P-384、P-521 和 HKDF)

應用程式開發人員可以使用這些密碼編譯模組來執行低階密碼編譯作業， (Bcrypt) 、密鑰儲存作業 (NCrypt) 、保護靜態數據 (DPAPI) ，以及安全地 (DPAPI-NG) 共用秘密。

瞭解更多資訊

• 加密和憑證管理

開發人員可以透過加密新一代 API (CNG) 來存取 Windows 上的模組，其由Microsoft的開放原始碼密碼編譯連結庫 SymCrypt 提供技術支援。 SymCrypt 透過其開放原始碼程式代碼支援完整的透明度。 此外，SymCrypt 可在可用時利用元件和硬體加速，為密碼編譯作業提供效能優化。

SymCrypt 是Microsoft透明度承諾的一部分，其中包括全球Microsoft政府安全計劃，旨在提供機密安全性資訊，以及人們信任Microsoft產品和服務所需的資源。 此計劃提供對原始程式碼的受控存取、威脅和弱點資訊交換、有機會與Microsoft的產品和服務相關技術內容互動，以及存取五個全域散發的透明度中心。

憑證

為了協助保護和驗證資訊，Windows 提供憑證和憑證管理的完整支援。 內建的憑證管理命令行公用程式 (certmgr.exe) 或 Microsoft 管理控制台 (MMC) 嵌入式管理單元 (certmgr.msc) 可用來檢視和管理憑證、 (CTL) 憑證信任清單，以及 (CRL) 的證書吊銷清單。 每當在 Windows 中使用憑證時，我們就會驗證分葉憑證及其信任鏈結中的所有憑證尚未遭到撤銷或入侵。 計算機上受信任的根和中繼憑證和公開撤銷的憑證會作為公鑰基礎結構 (PKI) 信任的參考，並由Microsoft受信任根計劃每月更新。 如果撤銷信任的憑證或根目錄，則會更新所有全域裝置，這表示使用者可以信任 Windows 會自動防範公鑰基礎結構中的弱點。 針對雲端和企業部署，Windows 也可讓使用者使用組策略在 Active Directory 中自動註冊和更新憑證，以降低憑證到期或設定錯誤可能中斷的風險。

程式代碼簽署和完整性

為了確保 Windows 檔案未遭到竄改，Windows 程式代碼完整性程式會驗證 Windows 中每個檔案的簽章。 程式代碼簽署是跨 Windows 平臺建立韌體、驅動程式和軟體完整性的核心。 程式代碼簽署會建立數位簽名，方法是使用程式代碼簽署憑證的私鑰部分來加密檔案的哈希，並將簽章內嵌到檔案中。 Windows 程式代碼完整性程式會藉由解密簽章來檢查檔案的完整性，並確認它來自可信譽的發行者，以確保檔案未遭到竄改，藉此驗證已簽署的檔案。

數字簽名會在 Windows 開機程式代碼、Windows 核心程式代碼和 Windows 使用者模式應用程式的 Windows 環境中進行評估。 安全開機和程式代碼完整性會驗證開機載入器、選項 ROM 和其他開機組件上的簽章，以確保它受到信任且來自信譽良好的發行者。 對於未由 Microsoft 發佈的驅動程式，核心程式代碼完整性會驗證核心驅動程式上的簽章，並要求驅動程式必須由 Windows 簽署或由 Windows 硬體相容性計劃認證， (WHCP) 。 此程式可確保第三方驅動程式與各種硬體和 Windows 相容，而且驅動程式來自經過審查的驅動程式開發人員。

裝置健康情況證明

Windows 裝置健康情況證明程式支援 零信任 範例，可將焦點從靜態、網路型周邊轉移到使用者、資產和資源。 證明程式會確認裝置、韌體和開機程式處於良好狀態，而且尚未遭到竄改，才能存取公司資源。 這些判斷是使用儲存在 TPM 中的數據進行，以提供安全的信任根目錄。 信息會傳送至證明服務，例如 Azure 證明，以確認裝置處於信任狀態。 然後，Microsoft Intune^[4] 之類的雲端原生裝置管理解決方案會檢閱裝置健康情況，並將此資訊與 Microsoft Entra ID^[4] 連線以進行條件式存取。

Windows 包含許多安全性功能，可協助保護使用者免於遭受惡意代碼和攻擊。 不過，只有在平臺如預期開機且未遭到竄改時，安全性元件才值得信任。 如上所述，Windows 依賴整合可擴展韌件介面 (UEFI) 安全開機、ELAM、DRTM、信任開機和其他低階硬體和韌體安全性功能，以保護您的計算機免於遭受攻擊。 從您在計算機上開啟電源，直到您的反惡意代碼啟動為止，Windows 會受到適當的硬體組態支援，以協助保護您的安全。 由開機載入器和BIOS實作的測量開機，會以鏈結方式驗證並以密碼編譯方式記錄開機的每個步驟。 這些事件會系結至作為硬體信任根目錄的 TPM。 遠程證明是服務讀取和驗證這些事件的機制，可提供可驗證、不偏不倚且具竄改復原性的報表。 遠程證明是系統開機的信任稽核員，可讓相依方將信任系結至裝置及其安全性。

Windows 裝置上證明和 Zero-Trust 所涉及的步驟摘要如下：

• 在開機程式的每個步驟中，例如檔案載入、特殊變數的更新等等， 檔案哈希和簽章 (的) 等資訊會在 TPM 平臺組態緩存器 (PCR) 中測量。 度量是由信任運算群組規格所系結，這個規格會指定可以記錄哪些事件以及每個事件的格式。 數據會提供裝置安全性從開啟電源的那一刻起的重要資訊
• Windows 開機之後，證明 (或驗證器) 要求 TPM 取得儲存在其 PCR 中的度量，以及測量開機記錄檔。 這些一起形成傳送至 Azure 證明 服務的證明辨識項
• 使用晶元組上可用的金鑰或密碼編譯數據搭配 Azure 憑證服務來驗證 TPM
• 上述資訊會傳送至 Azure 證明 服務，以確認裝置處於受信任狀態。

瞭解更多資訊

• 控制 Windows 裝置的健康情況

Windows 安全策略設定和稽核

安全策略設定是整體安全性策略的重要部分。 Windows 提供一組健全的安全性設定原則，IT 系統管理員可用來協助保護組織中的 Windows 裝置和其他資源。 安全策略設定是您可以在裝置或多個裝置上設定的規則，以控制：

• 對網路或裝置的用戶驗證
• 允許使用者存取的資源
• 是否要在事件記錄檔中記錄使用者或群組的動作
• 群組中的成員資格

安全性稽核是其中一個最強大的工具，可用來維護網路和資產的完整性。 稽核可協助識別對高價值目標的攻擊、網路弱點和攻擊。 您可以指定安全性相關事件的類別，以使用設定服務提供者 (CSP) 或組策略，根據組織的需求建立量身訂做的稽核原則。

第一次安裝 Windows 時，會停用所有稽核類別。 啟用它們之前，請遵循下列步驟來建立有效的安全性稽核原則：

1. 識別您最重要的資源和活動。
2. 識別追蹤它們所需的稽核設定。
3. 評估與每個資源或設定相關聯的優點和潛在成本。
4. 測試這些設定以驗證您的選擇。
5. 開發部署和管理審核策略的計劃。

瞭解更多資訊

• 安全性原則設定
• 安全性稽核

Windows 安全性

裝置安全性和健康狀態的可見性和認知是採取任何動作的關鍵。 Windows 安全性 應用程式提供裝置安全性狀態和健康情況的概覽檢視。 這些深入解析可協助您找出問題並採取行動，以確保您受到保護。 您可以快速查看病毒和威脅防護的狀態、防火牆和網路安全性、裝置安全性控制等等。

瞭解更多資訊

• 利用 Windows 安全性維持受保護狀態
• Windows 安全性

設定重新整理

使用傳統組策略時，當使用者登入時，會在計算機上重新整理原則設定，預設為每隔 90 分鐘。 系統管理員可以將該時間調整為較短，以確保原則設定符合IT所設定的管理設定。

相較之下，使用 Microsoft Intune^[4] 等裝置管理解決方案時，原則會在使用者登入時重新整理，然後預設為8小時間隔。 但原則設定會從 GPO 移轉至裝置管理解決方案，其中一個剩餘的間距是變更原則的複製期間較長。

[設定重新整理] 可讓原則設定服務提供者中的設定 (CSP) 因為計算機上的設定錯誤、登錄編輯或惡意軟體而漂移，預設會重設為系統管理員預設為每隔 90 分鐘預期的值。 如有需要，可設定每隔 30 分鐘重新整理一次。 原則 CSP 涵蓋數百個傳統上使用組策略設定的設定，現在透過行動裝置 裝置管理 (MDM) 通訊協定來設定。

設定重新整理也可以暫停一段可設定的時間，之後就會重新啟用。 這是為了支持技術服務人員可能需要重新設定裝置以進行疑難解答的案例。 系統管理員也可以隨時繼續。

瞭解更多資訊

• 設定重新整理

Kiosk 模式

Windows 可讓您使用內建功能，將功能限製為特定應用程式，使其適合供 kiosk 等公開或共用裝置使用。 您可以在本機裝置上，或透過雲端式裝置管理解決方案，例如 Microsoft Intune^[7]，將 Windows 設定為 kiosk。 Kiosk 模式可以設定為執行單一應用程式、多個應用程式或全螢幕網頁瀏覽器。 您也可以將裝置設定為在啟動時自動登入並啟動指定的 kiosk 應用程式。

瞭解更多資訊

• Windows kiosk 和受限制的用戶體驗

受 Windows 保護的列印

Windows 受保護的列印是為了提供更現代化且安全的列印系統，將相容性最大化，並將使用者放在第一位。 它允許裝置使用 Windows 新式列印堆疊獨佔列印，藉此簡化列印體驗。

Windows 受保護列印的優點包括：

• 提高計算機安全性
• 簡化且一致的列印體驗，不論計算機架構為何
• 不需要管理列印驅動程式

受 Windows 保護的印表設計僅適用於Mopria認證的印表機。 許多現有的印表機已經相容。

瞭解更多資訊

• 受 Windows 保護的列印
• Windows 的新式、新式和安全列印體驗

Rust for Windows

Rust 是一種新式程式設計語言，其著重於安全性、效能和並行。 其設計目的是要防止常見的程式設計錯誤，例如 Null 指標延遲和緩衝區溢位，這可能會導致安全性弱點和當機。 Rust 會透過其唯一的擁有權系統來達成此目的，以確保記憶體安全，而不需要垃圾收集行程。 我們正在擴充 Rust 與 Windows 核心的整合，以增強 Windows 程式代碼基底的安全性和可靠性。 此策略性動作強調我們致力於採用現代化技術，以改善 Windows 的質量和安全性。

瞭解更多資訊

• Rust for Windows 和 Windows Crate