Windows 11 安全手冊

以零信任原則為核心構建，以保護數據和隨時隨地訪問，保護您並提高工作效率。

介紹

數字化轉型的加速以及遠程和混合工作場所的擴展為組織、社區和個人帶來了新的機遇。我們的工作方式發生了變化。現在，員工比以往任何時候都更需要簡單、直觀的用戶體驗，以便隨時隨地進行協作並保持工作效率。但是，在任何地方工作的訪問權限和能力的擴展也帶來了新的威脅和風險。根據微軟委託的安全信號報告的新數據，75% 的副總裁及以上級別的安全決策者認為轉向混合工作使他們的組織更容易受到安全威脅。

在 Microsoft，我們努力讓地球上的每個人和每個組織都能取得更大的成就。我們致力於幫助客戶獲得安全並保持安全。隨著 每年在安全方面投資 10 億美元、超過 3,500 名專職安全專業人員以及全球使用的約 13 億台 Windows 10 設備，我們對客戶面臨的威脅有深入的了解。

我們的客戶需要能夠在任何地方提供端到端保護的現代安全解決方案。 Windows 11 是針對混合工作新時代採用零信任原則構建的。 零信任是一種基於以下前提的安全模型：在證明安全性和完整性之前，任何地方的用戶或設備都無法訪問。 Windows 11 提高了安全基線，在硬件和軟件中內置了新要求，以提供從芯片到雲的高級保護。使用 Windows 11，我們的客戶可以在不影響安全性的情況下實現混合生產力和新體驗。

大約 80% 的安全決策者表示，僅靠軟件不足以抵禦新出現的威脅。¹

在 Windows 11 中，硬件和軟件協同工作，從 CPU 一直到雲都提供保護。 在這個簡單的圖表中查看保護層，並在下面簡要概述我們的安全優先級。

Windows 11 如何實現零信任保護

零信任原則有三個方面。首先，明確驗證。這意味著始終基於所有可用數據點進行身份驗證和授權，包括用戶身份、位置、設備健康狀況、服務或工作負載、數據分類和異常情況。第二種使用最低權限訪問，它通過及時和足夠的訪問、基於風險的自適應策略和數據保護來限制用戶訪問，以幫助保護數據和生產力。最後，假設違約。假設破壞以最小化爆炸半徑和分段訪問的方式運行。驗證端到端加密並使用分析來獲得可見性，以改進威脅檢測和防禦。

對於 Windows 11，驗證的零信任原則明確適用於設備和用戶引入的風險。 Windows 11 提供芯片到雲的安全性，為 IT 管理員提供證明和測量，以確定設備是否滿足要求並且可以信任。 Windows 11 與 Microsoft Intune 和 Azure Active Directory 一起開箱即用，因此訪問決策和實施是無縫的。此外，IT 管理員可以輕鬆自定義 Windows 11，以滿足特定用戶和策略對訪問、隱私、合規性等方面的要求。

個人用戶還受益於強大的保護措施，包括基於硬件的安全性和無密碼保護的新標準。現在，所有用戶都可以通過 Microsoft Authenticator 應用程序提供安全的身份證明、使用面部或指紋登錄、² 安全密鑰或驗證碼發送到電話或電子郵件。

Windows 11 安全優先級概述

安全，默認情況下

近 90% 的接受調查的安全決策者表示，過時的硬件讓組織更容易受到攻擊，而更現代的硬件將有助於抵禦未來的威脅。基於 Windows 10 的創新，我們與我們的製造商和芯片合作夥伴合作提供額外的硬件安全功能，以滿足不斷變化的威脅形勢，並支持更多的混合工作和學習。 Windows 11 附帶的一組新硬件安全要求旨在構建更強大、更能抵禦攻擊的基礎。

增強的硬件和操作系統安全性

通過從芯片開始的基於硬件的隔離安全性，Windows 11 將敏感數據存儲在額外的安全屏障之後，與操作系統分離。因此，包括加密密鑰和用戶憑證在內的信息受到保護，不會受到未經授權的訪問和篡改。在 Windows 11 中，硬件和軟件協同工作以保護操作系統，基於虛擬化的安全性 (VBS) 和安全啟動內置並在新 CPU 上默認啟用。即使壞演員進來，他們也走不遠。 VBS 使用硬件虛擬化功能來創建安全的內存區域並將其與操作系統隔離。這種隔離的環境擁有多種安全解決方案，大大增強了對操作系統漏洞的保護，並防止使用惡意攻擊。將設備運行狀況證明與雲服務相結合，Windows 11 已準備好零信任。

強大的應用安全和隱私控制

為了幫助保護個人和業務信息並使其私密，Windows 11 具有多層應用程序安全性來保護關鍵數據和代碼的完整性。應用程序隔離和控制、代碼完整性、隱私控制和最小權限原則使開發人員能夠從頭開始構建安全性和隱私。這種集成的安全性可防止數據洩露和惡意軟件，有助於保護數據的私密性，並為 IT 管理員提供所需的控制。

在 Windows 11 中，Microsoft Defender 應用程序防護 ³ 使用 Hyper-V 虛擬化技術將不受信任的網站和 Microsoft Office 文件隔離在容器中，與主機操作系統和企業數據分開且無法訪問。為了保護隱私，Windows 11 還提供了更多控制，可以控制哪些應用程序和功能可以收集和使用設備位置等數據或訪問相機和麥克風等資源。

安全身份

密碼使用不便，是網絡犯罪分子的主要目標——多年來，它們一直是數字安全的重要組成部分。這隨著 Windows 11 提供的無密碼保護而改變。經過安全授權過程後，憑據受到硬件和軟件安全層的保護，為用戶提供對其應用程序和雲服務的安全、無密碼訪問。

個人用戶可以從其 Microsoft 帳戶中刪除密碼並使用 Microsoft Authenticator 應用程序，⁴ Windows Hello，⁵ FIDO2 安全密鑰、智能卡或發送到他們的手機或電子郵件的驗證碼。 IT 管理員和消費者可以將 Windows 11 設備設置為開箱即用的無密碼設備，利用 Windows Hello 等技術與 Fast Identity Online (FIDO) 標准保持一致。 Windows 11 通過芯片級硬件安全保護憑據，包括結合 VBS 和 Microsoft Credential Guard 的 TPM 2.0。

連接到雲服務

Windows 11 安全性將零信任一直延伸到雲，支持協同工作的策略、控制、程序和技術，從任何地方保護您的設備、數據、應用程序和身份。 Microsoft 提供用於身份、存儲和訪問管理的全面雲服務，以及證明連接到您網絡的任何 Windows 設備都值得信賴的工具。您還可以使用現代設備管理 (MDM) 服務（例如 Microsoft Intune）來強制執行合規性和條件訪問，該服務與 Azure Active Directory 配合使用以控制通過雲對應用程序和數據的訪問。⁶

硬件安全

現代威脅需要現代安全性，在硬件安全性和軟件安全性技術之間具有很強的一致性，以保護用戶、數據和設備。僅靠操作系統無法抵禦網絡犯罪分子用來破壞計算機的各種工具和技術。一旦進入內部，入侵者在從事多種惡意活動時可能很難被發現，從竊取重要數據或憑據到將惡意軟件植入到難以識別和刪除的低級設備固件中。這些新威脅要求計算硬件安全到核心，包括存儲敏感業務信息的硬件芯片和處理器。通過在硬件中構建安全功能，我們可以消除以前僅存在於軟件中的整類漏洞。與在軟件中實施相同的安全功能相比，這通常也能帶來顯著的性能優勢，從而提高系統的整體安全性，而不會對系統性能造成可衡量的影響。

在 Windows 11 中，微軟提高了硬件安全標準，以設計有史以來最安全的 Windows 版本。我們根據威脅情報和全球領先專家（包括 DoD、NSA 和英國的 NCSC）以及我們自己的 Microsoft 安全團隊的意見，精心選擇了硬件要求和默認安全功能。我們與我們的芯片和設備製造合作夥伴合作，在軟件、固件和硬件之間集成高級安全功能，以創建從芯片到雲的緊密集成。

儘管硬件信任根和矽輔助安全的強大組合，Windows 11 提供開箱即用的內置硬件保護。

硬件信任根

在硬件打開、加載固件然後啟動操作系統時，硬件信任根有助於保護和維護系統的完整性。硬件信任根滿足系統的兩個重要安全目標。它安全地測量引導系統的固件和操作系統代碼，以便惡意軟件無法感染引導代碼並隱藏其存在。硬件信任根還提供了一個與操作系統和應用程序隔離的高度安全區域，用於存儲加密密鑰、數據和代碼。此保護可保護關鍵資源，例如 Windows 身份驗證堆棧、單點登錄令牌、Windows Hello 生物識別堆棧和 BitLocker 卷加密密鑰。

可信平台模塊 (TPM)

TPM 旨在提供基於硬件的安全相關功能並幫助防止意外篡改。 TPM 為系統硬件、平台所有者和用戶提供安全和隱私優勢。 Windows Hello、BitLocker、Windows Defender System Guard 和許多其他 Windows 功能依賴 TPM 來生成密鑰、安全存儲、加密、啟動完整性測量、證明和許多其他功能。這些功能反過來又可以幫助客戶加強對其身份和數據的保護。

TPM 規範的 2.0 版本包括重要的增強功能，例如加密算法的靈活性，它支持更強大的加密算法以及客戶使用首選替代算法的能力。從 Windows 10 開始，Microsoft 的硬件認證要求所有新的 Windows PC 都包含內置並默認啟用的 TPM 2.0。對於 Windows 11，新設備和升級設備都必須具有 TPM 2.0。該要求加強了所有 Windows 11 設備的安全狀況，並有助於確保這些設備可以從依賴於硬件信任根的未來安全功能中受益。

詳細了解 Windows 11 TPM 規範 和 在您的 PC 上啟用 TPM 2.0。

Pluton 安全處理器

Microsoft Pluton 安全處理器，在芯片上提供安全性。 Pluton 是由 Microsoft 與我們的芯片合作夥伴合作設計的硬件信任根，旨在提供現代 PC 所需的穩健性和靈活性，以應對不斷變化的威脅形勢。 Pluton 設計將硬件信任根直接嵌入到與 CPU 相同的矽基板中。當信任根位於主板上與 CPU 分開的另一個獨立芯片中時，這一重要的設計原則消除了一個常見的弱點。弱點在於，雖然信任根芯片本身可能非常安全，但在離散信任根和 CPU 之間的通信路徑中存在可被物理攻擊利用的薄弱環節。

Pluton 支持 TPM 2.0 行業標準，允許客戶立即受益於依賴 TPM 的 Windows 功能增強的安全性，包括 BitLocker、Windows Hello 和 Windows Defender System Guard。除了作為 TPM 2.0 之外，Pluton 還支持 TPM 2.0 規範無法實現的其他安全功能，並且這種可擴展性允許通過 Windows 更新隨著時間的推移提供額外的 Pluton 固件和操作系統功能。

與其他 TPM 一樣，即使攻擊者安裝了惡意軟件或完全物理擁有 PC，也無法從 Pluton 中提取憑據、加密密鑰和其他敏感信息。將加密密鑰等敏感數據安全地存儲在與系統其餘部分隔離的 Pluton 處理器中，有助於確保新出現的攻擊技術（如推測執行）無法訪問密鑰材料。 Pluton 還包括獨特的安全硬件加密密鑰 (SHACK) 技術。 SHACK 有助於確保密鑰永遠不會暴露在受保護的硬件之外，甚至不會暴露給 Pluton 固件本身，從而為 Windows 客戶提供前所未有的安全級別。

Pluton 還解決了在整個 PC 生態系統中保持系統固件最新的主要安全挑戰。如今，客戶會從各種不同的來源接收對其安全固件的更新，這些來源可能難以管理，從而導致廣泛的更新問題。 Pluton 為運行固件提供了一個靈活、可更新的平台，該平台實現了由 Microsoft 創作、維護和更新的端到端安全功能。 Pluton 與 Windows 更新服務集成，受益於十多年的運營經驗，在超過十億個端點系統中可靠地提供更新。

從 2022 年開始，Microsoft Pluton 安全處理器將隨選定的新 Windows PC 一起提供。⁷

矽輔助安全

除了現代硬件信任根之外，最新 CPU 中還有許多其他功能可以增強操作系統抵禦威脅的能力，例如保護啟動過程、保護內存完整性、隔離安全敏感的計算邏輯等.

安全內核

基於虛擬化的安全性 (VBS)，也稱為核心隔離，是安全系統的關鍵構建塊。 VBS 使用 CPU 的硬件虛擬化指令來創建與正常操作系統隔離的安全內存區域。 Windows 使用這種隔離的 VBS 環境來保護安全敏感的操作系統功能，例如安全內核和安全資產，例如經過身份驗證的用戶憑據。即使惡意軟件獲得對主操作系統內核的訪問權限，VBS 也會極大地限制和包含漏洞利用，因為管理程序和虛擬化硬件有助於防止惡意軟件執行代碼或訪問在 VBS 安全環境中運行的平台機密。

虛擬機監控程序保護的代碼完整性 (HVCI)，也稱為內存完整性，使用 VBS 在安全 VBS 環境而不是主 Windows 內核中運行內核模式代碼完整性 (KMCI)。這有助於防止試圖修改內核模式代碼（如驅動程序）的攻擊。 KMCI 的作用是檢查所有內核代碼是否已正確簽名並且在允許運行之前未被篡改。

HVCI 確保只有經過驗證的代碼才能在內核模式下執行。管理程序利用處理器虛擬化擴展來強制執行內存保護，以防止內核模式軟件執行未經代碼完整性子系統首先驗證的代碼。 HVCI 可以防止像 WannaCry 這樣依賴於將惡意代碼注入內核的能力的常見攻擊。即使驅動程序和其他內核模式軟件存在錯誤，HVCI 也可以防止注入惡意內核模式代碼。

所有 Windows 11 設備都將支持 HVCI，大多數新設備將默認啟用 VBS 和 HVCI 保護。

Windows 11 Secured-core PC

2021 年 3 月的安全信號報告顯示，超過 80% 的企業至少經歷過一次固件攻擊。過去兩年。對於金融服務、政府和醫療保健等數據敏感行業的客戶，Microsoft 已與 OEM 合作夥伴合作提供一種特殊類別的設備，稱為 安全核心 PC。這些設備附帶在支持 Windows 的固件層或設備核心啟用的額外安全措施。

安全核心 PC 加強了對高級威脅的保護，例如來自勒索軟件的內核攻擊。安全核心 PC 通過在啟動時進入乾淨且受信任的狀態，並通過硬件強制的信任根阻止感染，從而幫助防止惡意軟件攻擊並最大限度地減少固件漏洞。默認情況下啟用基於虛擬化的安全性。通過內置的管理程序保護代碼完整性來保護系統內存，Secured-core PC 確保所有操作系統代碼都是可信的，並且可執行文件僅由已知和批准的機構簽名。

安全核心 Windows 11 PC 的優勢包括：

• 跨軟件、硬件、固件和身份保護集成的強大安全功能
• Microsoft、設備製造商和芯片製造商之間的深度集成，提供強大的安全功能，幫助防止跨軟件、固件和硬件的感染
• 設備製造商默認啟用整個堆棧的安全功能，幫助確保客戶從一開始就安全

安全核心 PC 中的內存保護

PCIe 熱插拔設備（例如 Thunderbolt、USB4 和 CFexpress）允許用戶將新類別的外圍設備（包括顯卡或其他 PCI 設備）連接到他們的 PC，並獲得與 USB 相同的體驗。由於 PCI 熱插拔端口是外部的且易於訪問，因此 PC 容易受到直接內存訪問 (DMA) 攻擊。內存訪問保護（也稱為 內核 DMA 保護) 通過限制這些外部外圍設備在用戶鎖定其 PC 時直接複製內存，保護 PC 免受使用 PCIe 熱插拔設備的驅動式 DMA 攻擊。

當系統所有者不在場時，驅動式 DMA 攻擊通常會很快發生。這些攻擊是使用簡單到中等的攻擊工具來執行的，這些工具使用價格合理的現成硬件和軟件創建，不需要拆卸 PC。例如，PC 擁有者可能會為了快速喝咖啡而離開設備。同時，攻擊者插入一個類似 USB 的設備並帶走機器上的所有秘密或註入惡意軟件，使攻擊者可以完全遠程控制 PC，包括繞過鎖定屏幕的能力。

了解如何檢查您的 PC 是否支持內核 DMA 保護 以及關於 內核 DMA 保護 要求。

安全核心 PC 中的固件保護

安全核心 PC 在固件級別進行防禦，啟用多層保護，幫助確保設備在硬件控制狀態下安全啟動。

複雜的惡意軟件攻擊通常會嘗試在系統上安裝“bootkits”或“rootkits”以逃避檢測並實現持久性。此惡意軟件可能會在加載 Windows 之前或在 Windows 啟動過程本身期間在固件級別運行，從而使系統能夠以最高級別的權限啟動。由於 Windows 中的關鍵子系統利用基於虛擬化的安全性，因此保護虛擬機管理程序變得越來越重要。為確保在 Windows 引導加載程序之前沒有未經授權的固件或軟件可以啟動，Windows PC 依賴於統一可擴展固件接口 (UEFI) 安全引導標準。安全啟動有助於確保只有具有可信數字簽名的授權固件和軟件才能執行。此外，所有引導組件的測量值都安全地存儲在 TPM 中，以幫助建立不可否認的引導審計日誌，稱為靜態測量信任根 (SRTM)。

隨著數以千計的 PC 供應商生產具有不同 UEFI 固件組件的眾多 PC 型號，在啟動時會出現數量驚人的 SRTM 簽名和測量值，這些簽名和測量值本質上受到安全啟動的信任，這使得將任何特定設備上的信任限制為僅需要啟動該設備。存在兩種限制信任的技術：要么維護一個已知的“壞”SRTM 測量列表，也稱為阻止列表，它具有固有的脆弱性的缺點；或維護一個已知“良好” SRTM 測量的列表，或一個允許列表，這些列表很難大規模地保持最新狀態。

在安全核心 PC 中，Windows Defender System Guard Secure Launch 使用稱為動態信任度量根 (DRTM) 的技術解決了這些問題。 DRTM 最初讓系統遵循正常的 UEFI 安全啟動過程，但在啟動 Windows 之前，系統進入硬件控制的受信任狀態，強制 CPU 沿硬件安全代碼路徑運行。如果惡意軟件 rootkit/bootkit 繞過 UEFI 安全啟動並駐留在內存中，DRTM 將阻止它訪問受基於虛擬化的安全環境保護的機密和關鍵代碼。系統管理模式 (SMM) 隔離通過幫助減少來自 SMM 的攻擊面來補充 DRTM 提供的保護，SMM 是基於 x86 的處理器中的一種執行模式，以比虛擬機管理程序更高的有效特權運行。依靠 Intel 和 AMD 等芯片供應商提供的功能，SMM 隔離會強制實施強制執行限制的策略，例如防止 SMM 代碼訪問操作系統內存。在系統上生效的 SMM 隔離策略也可以可靠地提供給遠程證明服務。⁸

操作系統安全

基於硬件的保護只是芯片到雲安全鏈中的一個環節。安全和隱私還取決於從一開始就保護您的信息和 PC 的操作系統。

Windows 11 是迄今為止最安全的 Windows，其操作系統中具有廣泛的安全措施，旨在幫助確保您的安全。這些措施包括內置的高級加密和數據保護、強大的網絡和系統安全性以及針對不斷發展的病毒和威脅的智能保護措施。 Windows 11 通過開箱即用的操作系統安全性增強了內置硬件保護，以幫助確保您的系統、身份和信息安全。

系統安全

可信啟動（UEFI 安全啟動 + 測量啟動）

保護操作系統的第一步是確保在初始硬件和固件啟動序列安全完成其早期啟動序列後，它能夠安全啟動。安全啟動從統一可擴展固件接口 (UEFI) 到 Windows 內核的可信啟動序列建立了一條安全且可信的路徑。在 UEFI、引導加載程序、內核和應用程序環境之間的整個引導序列中，簽名強制握手可以阻止對 Windows 引導序列的惡意軟件攻擊。

當 PC 開始啟動過程時，它會首先驗證固件是否經過數字簽名，從而降低固件 rootkit 的風險。然後，安全啟動會檢查在操作系統之前運行的所有代碼，並檢查操作系統引導加載程序的數字簽名，以確保它受到安全啟動策略的信任且未被篡改。

Trusted Boot 在 Secure Boot 停止的地方接管。 Windows 引導加載程序在加載之前驗證 Windows 內核的數字簽名。反過來，Windows 內核會驗證 Windows 啟動過程的所有其他組件，包括啟動驅動程序、啟動文件和您的反惡意軟件產品的早期啟動反惡意軟件 (ELAM) 驅動程序。如果這些文件中的任何一個被篡改，引導加載程序會檢測到問題並拒絕加載損壞的組件。 UEFI、引導加載程序、內核和應用程序環境之間的簽名強制握手可以阻止對 Windows 啟動序列的篡改或惡意軟件攻擊。

通常，Windows 可以自動修復損壞的組件，恢復 Windows 的完整性並允許 PC 正常啟動。

有關這些功能以及它們如何幫助防止在啟動過程中加載根工具包和引導工具包的詳細信息，請參閱 保護 Windows 啟動過程。

Windows 11 要求所有 PC 使用統一可擴展固件接口 (UEFI) 的安全啟動功能。

密碼學

密碼術是保護用戶和系統數據的數學過程，例如，通過加密數據，以便只有特定的接收者可以使用只有該接收者擁有的密鑰才能讀取它。密碼術是隱私的基礎，可防止除預期接收者之外的任何人讀取數據，提供完整性檢查以確保數據不被篡改，以及驗證身份以確保通信安全的身份驗證。 Windows 中的加密堆棧從芯片擴展到雲，使 Windows、應用程序和服務能夠保護系統和用戶機密。

Windows 11 上的加密受聯邦信息處理標準 (FIPS) 140 認證。 FIPS 140 認證可確保正確實施美國政府批准的算法（包括用於簽名的 RSA、用於密鑰協商的帶有 NIST 曲線的 ECDH、用於對稱加密的 AES 和用於散列的 SHA2）、測試模塊完整性以證明沒有發生篡改並證明熵源的隨機性。

Windows 加密模塊提供低級原語，例如：

• 隨機數生成器 (RNG)
• 支持具有 XTS、ECB、CBC、CFB、CCM、GCM 操作模式的 AES 128/256； RSA 和 DSA 2048、3072 和 4096 密鑰大小； ECDSA 在曲線 P-256、P-384、P-521 上
• 哈希（支持 SHA1、SHA-256、SHA-384 和 SHA-512）
• 簽名和驗證（對 OAEP、PSS、PKCS1 的填充支持）
• 密鑰一致性和密鑰推導（通過 NIST 標準素數曲線 P-256、P-384、P-521 和 HKDF 支持 ECDH）

這些是通過 Crypto API (CAPI) 和由 Microsoft 的開源加密庫 SymCrypt 提供支持的加密下一代 API (CNG) 在 Windows 上本地公開的。應用程序開發人員可以利用這些 API 來執行低級加密操作 (BCrypt)、密鑰存儲操作 (NCrypt)、保護靜態數據 (DPAPI) 和安全共享機密 (DPAPI-NG)。

證書

Windows 提供了多個 API 來操作和管理證書。證書對於公鑰基礎設施 (PKI) 至關重要，因為它們提供了保護和驗證信息的方法。證書是符合 X.509v3 格式標準的電子文檔，用於聲明公鑰的所有權。公鑰用於證明服務器和客戶端身份，驗證代碼完整性，並用於安全電子郵件。 Windows 為用戶提供了使用組策略在 Active Directory 中自動註冊和續訂證書的能力，以降低由於證書過期或配置錯誤而導致潛在中斷的風險。 Windows 通過每週下載證書信任列表 (CTL) 的自動更新機制驗證證書。應用程序使用可信根證書作為可信 PKI 層次結構和數字證書的參考。受信任和不受信任的證書列表存儲在 CTL 中，可由 Microsoft 第三方根程序更新。 Microsoft 第三方根程序中的根通過年度審計進行管理，以確保符合行業標準。對於證書吊銷，將證書作為不受信任的證書添加到每天下載的不允許的 CTL 中，從而立即在用戶設備上全局吊銷不受信任的證書。

Windows 還提供企業證書鎖定，通過使用戶能夠保護其內部域名不被鏈接到不需要的證書，從而幫助減少中間人攻擊。檢查 Web 應用程序的服務器身份驗證證書鏈以確保它匹配一組受限的證書。任何觸發名稱不匹配的 Web 應用程序都將啟動事件日誌記錄並阻止用戶從 Microsoft Edge 或 Internet Explorer 進行訪問。

代碼簽名和完整性

代碼簽名雖然本身不是一項安全功能，但對於在 Windows 平台上建立固件、驅動程序和軟件的完整性來說是不可或缺的。代碼簽名通過使用代碼簽名證書的私鑰部分加密文件的哈希並將簽名嵌入到文件中來創建數字簽名。這可確保文件未被篡改，Windows 代碼完整性過程通過解密簽名來驗證已簽名的文件，以檢查文件的完整性並確認它來自信譽良好的發布者。

Microsoft 編寫和發布的所有軟件都經過代碼簽名，以確保 Windows 和 Microsoft 代碼具有完整性、真實性和良好的聲譽。代碼簽名是 Windows 可以將其自己的代碼與來自外部創建者的代碼區分開來的方式，並在將代碼交付給用戶設備時防止篡改。

數字簽名在 Windows 環境中的 Windows 啟動代碼、Windows 內核代碼和 Windows 用戶模式應用程序中進行評估。安全引導和代碼完整性驗證引導加載程序、選項 ROM 和其他引導組件上的簽名，以確保它是可信的並且來自信譽良好的發行商。對於非 Microsoft 生產的驅動程序，外部內核代碼完整性驗證內核驅動程序上的簽名，並要求驅動程序由 Windows 簽名或由 Windows 硬件兼容計劃 (WHCP)。該程序測試外部生成的驅動程序的硬件和 Windows 兼容性，並確保它們沒有惡意軟件。最後，用戶模式代碼、應用程序、Appx/MSIX 打包應用程序、Windows 操作系統組件更新、驅動程序安裝包及其簽名由依賴於加密 API 的 WinVerifyTrust 進行評估。這些簽名通過確認它們在 Microsoft 第三方根程序 CTL 中進行驗證，因此受信任且未被證書頒發機構撤銷。

設備健康證明

設備運行狀況證明和條件訪問用於授予對公司資源的訪問權限。這有助於強化零信任範式，將企業防禦從靜態的、基於網絡的邊界轉移到專注於用戶、資產和資源。

條件訪問會評估身份信號，以在用戶被授予訪問公司資源之前確認他們的身份。 Windows 11 支持遠程證明以幫助確認設備處於良好狀態且未被篡改。這有助於用戶訪問公司資源，無論他們是在辦公室、家中還是在旅途中。

有關固件、啟動過程和軟件的信息以加密方式存儲在安全協處理器 (TPM) 中，用於驗證設備的安全狀態。證明提供信任保證，因為它可以驗證基本組件的身份和狀態，並且設備、固件和啟動過程沒有被更改。此功能可幫助組織充滿信心地管理訪問。一旦設備被證明，它就可以被授予對資源的訪問權限。

設備健康證明決定：

• 設備是否可信。這是在安全的信任根或 TPM 的幫助下確定的。設備可以證明 TPM 已啟用並在證明流程中。
• 如果操作系統正確啟動。啟動過程中可能會出現許多安全風險，因為這可能是整個系統中特權最高的組件。
• 如果操作系統啟用了正確的安全功能集。

Windows 包括許多安全功能，以幫助保護用戶免受惡意軟件和攻擊。但是，只有當平台按預期啟動且未被篡改時，安全組件才值得信賴。如上所述，Windows 依靠統一可擴展固件接口 (UEFI) 安全啟動、ELAM、DRTM、可信啟動和其他低級別硬件和固件安全功能來保護您的 PC 免受攻擊。從您開啟 PC 的那一刻到您的反惡意軟件啟動，Windows 都以適當的硬件配置為後盾，有助於確保您的安全。由引導加載程序和 BIOS 實現的 Measured and Trusted 引導以鏈接方式驗證和加密記錄引導的每個步驟。這些事件綁定到用作硬件信任根的 TPM。遠程證明是服務讀取和驗證這些事件以提供可驗證、無偏見和防篡改報告的機制。遠程證明是系統啟動的可信審核員，允許依賴方將信任綁定到設備及其安全性。例如，Microsoft Intune 與 Microsoft Azure Attestation 集成以全面審查 Windows 設備運行狀況，並將此信息與 AAD 條件訪問連接起來。這種集成是零信任解決方案的關鍵，有助於將信任綁定到不受信任的設備。

Windows 設備上的證明和零信任所涉及的步驟摘要如下：

• 在啟動過程的每個步驟（例如文件加載、特殊變量更新等）中，TPM 平台配置寄存器 (PCR) 中都會測量文件哈希和簽名等信息。測量受可信計算組規範的約束，該規範規定了哪些事件可以記錄和每個事件的格式。
• 一旦 Windows 啟動，證明者（或驗證者）就會請求 TPM 將測量值與測量的引導日誌一起存儲在其 PCR 中。這些共同構成了發送到 Microsoft Azure 證明服務的證明證據。
• TPM 使用芯片組上可用的密鑰/加密材料和 Azure 證書服務進行驗證。
• 以上信息會發送到 Azure Attestation 服務，以驗證設備是否安全。

Microsoft Intune 與 Microsoft Azure Attestation 集成以全面審查 Windows 設備運行狀況並將此信息與 AAD 條件訪問相關聯 – 請參閱 Microsoft Azure 證明服務部分。這種集成是零信任解決方案的關鍵，有助於將信任綁定到不受信任的設備。

Windows 安全策略設置和審核

安全策略設置是您整體安全策略的重要組成部分。 Windows 提供了一組強大的安全設置策略，IT 管理員可以使用這些策略來幫助保護組織中的 Windows 設備和其他資源。安全設置策略是您可以在一個或多個設備上配置的規則，以控制：

• 對網絡或設備的用戶身份驗證。
• 允許用戶訪問的資源。
• 是否在事件日誌中記錄用戶或群組的操作。
• 成為群組成員。

安全審計是可用於維護網絡和資產完整性的最強大工具之一。審計可以幫助識別攻擊、網絡漏洞和針對您認為具有高價值的目標的攻擊。審計可以幫助識別攻擊、網絡漏洞和針對您認為具有高價值的目標的攻擊。您可以指定與安全相關的事件類別，以創建適合您組織需求的審核策略。

首次安裝 Windows 時，所有審核類別均被禁用。在啟用它們之前，請按照以下步驟創建有效的安全審核策略：

• 確定您最關鍵的資源和活動。
• 確定您需要跟踪它們的審核設置。
• 評估與每種資源或環境相關的優勢和潛在成本。
• 測試這些設置以驗證您的選擇。
• 制定部署和管理審核政策的計劃。

Windows 安全應用

設備安全和健康的可見性和意識是採取任何行動的關鍵。設置中的 Windows 內置安全應用程序可讓您一目了然地了解設備的安全狀態和健康狀況。這些見解可幫助您識別問題並採取行動以確保您受到保護。您可以快速查看病毒和威脅防護、防火牆和網絡安全、設備安全控制等的狀態。

詳細了解 Windows 安全應用。

加密和數據保護

當人們攜帶 PC 旅行時，他們的機密信息也隨之而來。無論機密數據存儲在何處，都必須防止未經授權的訪問，無論是通過物理設備盜竊還是來自惡意應用程序。

BitLocker

BitLocker 驅動器加密是一種數據保護功能，與操作系統，並解決因丟失、被盜或不當退役的計算機而導致數據被盜或暴露的威脅。 BitLocker 在 XTS 或 CBC 操作模式下使用 AES 算法和 128 位或 256 位密鑰長度來加密卷上的數據。 Microsoft OneDrive 或 Azure6 上的雲存儲可用於保存恢復密鑰內容。 BitLocker 可由任何 MDM 解決方案（例如 Microsoft Intune6）使用 進行管理配置服務提供程序 (CSP)。

BitLocker 利用硬件安全測試接口 (HSTI)、現代待機、UEFI 安全啟動和 TPM 等技術為操作系統、固定數據和可移動數據驅動器提供加密。 Windows 通過改進現有選項和提供新策略來持續改進數據保護。

加密硬盤

加密硬盤使用 BitLocker Drive Encryption 提供的快速加密來增強數據安全性和管理。

通過將加密操作卸載到硬件，加密硬盤驅動器提高了 BitLocker 性能並降低了 CPU 使用率和功耗。由於加密硬盤驅動器可以快速加密數據，因此 BitLocker 部署可以跨企業設備擴展，對生產力幾乎沒有影響。

加密硬盤提供：

• 更好的性能：加密硬件集成到驅動器控制器中，允許驅動器以全數據速率運行而不會降低性能。
• 基於硬件的強大安全性：加密始終“開啟”，加密密鑰永遠不會離開硬盤。驅動器在解鎖之前執行用戶身份驗證，與操作系統無關。
• 易用性：加密對用戶是透明的，用戶不需要啟用它。使用板載加密密鑰可以輕鬆擦除加密的硬盤驅動器；無需重新加密驅動器上的數據。
• 更低的擁有成本：無需新的基礎設施來管理加密密鑰，因為 BitLocker 利用您現有的基礎設施來存儲恢復信息。您的設備運行效率更高，因為加密過程不需要使用處理器週期。

加密硬盤驅動器是一類新的硬盤驅動器，它在硬件級別進行自加密並允許全盤硬件加密。

電子郵件加密

電子郵件加密（也稱為 Windows S/MIME）使用戶能夠加密外發電子郵件和附件，因此只有具有數字標識 (ID)（也稱為證書）的預期收件人才能讀取它們。用戶可以對消息進行數字簽名，從而驗證發件人的身份並確保消息未被篡改。用戶可以將這些加密消息發送給組織內的人員以及擁有加密證書的外部聯繫人。但是，使用 Windows 10 郵件應用程序的收件人只能在其 Exchange 帳戶收到郵件並且他們具有相應的解密密鑰的情況下閱讀加密郵件。

加密郵件只能由擁有證書的收件人讀取。如果加密郵件發送給加密證書不可用的收件人，應用程序將提示您在發送電子郵件之前刪除這些收件人。

詳細了解為 Windows 配置 S/MIME。

網絡安全

Windows 11 通過帶來廣泛的改進，幫助人們從幾乎任何地方充滿信心地工作、學習和娛樂，提高了網絡安全的標準。新的 DNS 和 TLS 協議版本加強了應用程序、Web 服務和零信任網絡所需的端到端保護。文件訪問通過 SMB over QUIC 以及新的加密和簽名功能添加了不受信任的網絡場景。 Wi-Fi 和藍牙的進步為與其他設備的連接提供了更大的信任。 VPN 和 Windows Defender 防火牆平台帶來了輕鬆配置和快速調試的新方法，確保 IT 管理員和第三方軟件更有效。

傳輸層安全 (TLS)

傳輸層安全 (TLS) 是互聯網上部署最多的安全協議，它對數據進行加密以在兩個端點之間提供安全的通信通道。默認情況下，Windows 更喜歡最新的協議版本和強大的密碼套件，並提供一整套擴展應用程序，例如用於增強服務器安全性的客戶端身份驗證，或用於提高應用程序性能的會話恢復。

TLS 1.3 是該協議的最新版本，在 Windows 11 中默認啟用。此版本消除了過時的加密算法，增強了舊版本的安全性，並旨在盡可能多地加密握手。握手的性能更高，平均每個連接的往返次數減少一次，並且僅支持五個強大的密碼套件，可提供完美的前向保密性和更低的操作風險。在 Windows 11 上使用 TLS 1.3（或支持它的 Windows 組件，包括 HTTP.SYS、WinInet、.NET、MsQUIC 等）的客戶將獲得更多隱私和更低的加密在線連接延遲。請注意，如果連接任一端的客戶端或服務器應用程序不支持 TLS 1.3，Windows 將回退到 TLS 1.2。

DNS 安全

在 Windows 11 中，Windows DNS 客戶端支持 DNS over HTTPS，這是一種加密的 DNS 協議。這允許管理員確保他們的設備保護他們的名稱查詢免受路徑上的攻擊者的攻擊，無論他們是記錄瀏覽行為的被動觀察者還是試圖將客戶端重定向到惡意站點的主動攻擊者。在網絡邊界中沒有信任的零信任模型中，需要與受信任的名稱解析器建立安全連接。

Windows 11 提供組策略以及編程控制來配置 DNS over HTTP 行為。因此，IT 管理員可以擴展現有的安全模型以採用新的安全模型，例如零信任。可以強制使用 DNS over HTTP 協議，確保使用不安全 DNS 的設備將無法連接到網絡資源。 IT 管理員還可以選擇不將 DNS over HTTP 用於傳統部署，在這些部署中，網絡邊緣設備可以檢查純文本 DNS 流量。默認情況下，Windows 11 將服從本地管理員，解析器應該使用 DNS over HTTP。

對 DNS 加密的支持與現有的 Windows DNS 配置集成，例如名稱解析策略表 (NRPT)、系統 HOSTS 文件以及每個網絡適配器或網絡配置文件指定的解析器。該集成有助於 Windows 11 確保更高 DNS 安全性的好處不會倒退現有的 DNS 控制機制。

藍牙保護

連接到 Windows 的藍牙設備數量不斷增加。 Windows 用戶連接他們的藍牙耳機、鼠標、鍵盤和其他配件並
通過享受流媒體、生產力和遊戲來改善他們的日常 PC 體驗。 Windows 支持所有標準藍牙配對協議，包括經典和 LE 安全連接、安全簡單配對以及經典和 LE 傳統配對。 Windows 還實現了基於主機的 LE 隱私。 Windows 更新可幫助用戶根據藍牙特別興趣小組 (SIG) 標準漏洞報告以及超出藍牙核心行業標準要求的問題，及時了解操作系統和驅動程序安全功能。 Microsoft 強烈建議您還確保您的藍牙配件的固件和/或軟件保持最新。

IT 管理的環境有許多藍牙策略（MDM、組策略和 PowerShell），可以通過 Microsoft Intune 等 MDM 工具進行管理。你可以
將 Windows 配置為使用藍牙技術，同時支持組織的安全需求。例如，您可以在阻止文件傳輸的同時允許輸入和音頻、強制加密標準、限制 Windows 可發現性，甚至在最敏感的環境中完全禁用藍牙。

保護 Wi-Fi 連接

Windows Wi-Fi 在連接到 Wi-Fi 網絡時支持行業標準化的身份驗證和加密方法。 WPA（Wi-Fi 保護訪問）是由 Wi-Fi 聯盟開發的安全標準，用於提供複雜的數據加密和更好的用戶身份驗證。 Wi-Fi 身份驗證的當前安全標準是 WPA3，它提供了一種更安全可靠的連接方法，並取代了 WPA2 和較舊的安全協議。 機會無線加密 (OWE) 是一種允許無線設備與公共 Wi-Fi 建立加密連接的技術。 Fi 熱點。

Windows 11（WPA3 個人版和 WPA3 企業版 192 位套件 B）以及 OWE 實施支持 WPA3，以在連接到 Wi-Fi 熱點時提高安全性。
Windows 11 通過啟用 WPA3 安全的其他元素（例如新的 H2E 協議和 WPA3 企業支持（包括增強的服務器證書驗證和用於使用 EAP-TLS 身份驗證進行身份驗證的 TLS1.3）來增強 Wi-Fi 安全性。 Windows 11 為 Microsoft 合作夥伴提供了在新設備上帶來最佳平台安全性的能力。

WPA3 現在是 WFA 對任何 Wi-Fi 認證的強制性要求。

Windows Defender 防火牆

具有高級安全性的 Windows Defender 防火牆是分層安全模型的重要組成部分。它提供基於主機的雙向網絡流量過濾，根據設備連接的網絡類型阻止未經授權的流量流入或流出本地設備。

Windows 11 中的 Windows Defender 防火牆具有以下優勢：

• 降低網絡安全威脅的風險：Windows Defender 防火牆通過許多屬性（如 IP 地址、端口或程序路徑）限製或允許流量的規則減少了設備的攻擊面。減少設備的攻擊面可提高可管理性並降低成功攻擊的可能性。
• 保護敏感數據和知識產權：通過與 Internet 協議安全性 (IPsec) 的集成，Windows Defender 防火牆提供了一種簡單的方法來強制執行經過身份驗證的端到端網絡通信。它提供對受信任網絡資源的可擴展分層訪問，有助於確保數據的完整性，並可選擇幫助保護數據的機密性。
• 擴大現有投資的價值：由於 Windows Defender 防火牆是操作系統中包含的基於主機的防火牆，因此不需要額外的硬件或軟件。 Windows Defender 防火牆還旨在通過文檔化的應用程序編程接口 (API) 補充現有的非 Microsoft 網絡安全解決方案。

Windows 11 使 Windows Defender 防火牆更易於分析和調試。 IPsec 行為已與 Packet Monitor (pktmon) 集成，這是一個內置的跨組件
適用於 Windows 的網絡診斷工具。此外，Windows Defender 防火牆事件日誌已得到增強，以確保審核可以識別對任何給定事件負責的特定過濾器。這可以在不依賴第三方工具的情況下分析防火牆行為和豐富的數據包捕獲。

虛擬專用網絡 (VPN)

組織長期以來一直依賴 Windows 來提供可靠、安全且易於管理的虛擬專用網絡 (VPN) 解決方案。 Windows VPN 客戶端平台包括內置 VPN 協議、配置支持、通用 VPN 用戶界面以及對自定義 VPN 協議的編程支持。 Microsoft Store 中提供了適用於企業和消費者 VPN 的 VPN 應用，包括適用於最流行的企業 VPN 網關的應用。

在 Windows 11 中，我們已將最常用的 VPN 控件集成到 Windows 11 快速操作窗格中。從 Quick Actions 窗格中，用戶可以看到
他們的 VPN，啟動和停止 VPN 隧道，一鍵即可轉到現代設置應用程序以獲得更多控制。

Windows VPN 平台連接到 Azure Active Directory (Azure AD) 和條件訪問以進行單點登錄，包括通過 Azure AD 進行的多重身份驗證 (MFA)。 VPN 平台還支持經典的加入域認證。它受到 Microsoft Intune 和其他移動設備管理 (MDM) 提供商的支持。靈活的 VPN 配置文件支持內置協議和自定義協議，可配置多種認證方式，可按需自動啟動或由最終用戶手動啟動，支持拆分隧道 VPN 和專有 VPN，可信外部站點除外.

使用通用 Windows 平台 (UWP) VPN 應用程序，最終用戶永遠不會卡在舊版本的 VPN 客戶端上。商店中的 VPN 應用程序將根據需要自動更新。當然，更新由您的 IT 管理員控制。

Windows VPN 平台已經針對 Azure VPN 等基於雲的 VPN 提供商進行了調整和強化。 AAD 身份驗證、Windows 用戶界面集成、管道 IKE 流量選擇器和服務器支持等功能都內置於 Windows VPN 平台中。這 集成到 Windows VPN 平台可帶來更簡單的 IT 管理體驗；用戶認證更加一致，用戶可以輕鬆找到和控制自己的VPN。

SMB 文件服務

SMB 和文件服務是商業和公共部門生態系統中最常見的 Windows 工作負載。用戶和應用程序依賴 SMB 來訪問運行大小組織的文件。在 Windows 11 中，SMB 協議具有重要的安全更新來應對當今的威脅，包括 AES-256 位加密、加速的 SMB 簽名、遠程目錄內存訪問 (RDMA) 網絡加密和全新的場景，SMB over QUIC 用於不受信任的網絡。

SMB 加密提供 SMB 數據的端到端加密，並保護數據免受內部網絡上的竊聽事件。 Windows 11 引入了 AES-256-GCM 和
用於 SMB 3.1.1 加密的 AES-256-CCM 加密套件。當連接到另一台需要它的計算機時，Windows 將自動協商這種更高級的密碼方法，也可以在客戶端上強制執行。

Windows 11 Enterprise、Education 和 Pro Workstation SMB Direct 現在支持加密。對於要求苛刻的工作負載，例如視頻渲染、數據科學或超大文件，您現在可以以與傳統 TCP 相同的安全性和 RDMA 的性能進行操作。以前，啟用 SMB 加密會禁用直接數據放置，從而使 RDMA 與 TCP 一樣慢。現在數據在放置之前被加密，在添加 AES-128 和 AES-256 保護數據包隱私的同時導致相對較小的性能下降。

Windows 11 引入了 AES-128-GMAC 用於 SMB 簽名。當連接到另一台計算機時，Windows 將自動協商這種性能更好的密碼方法
支持它。簽名可防止中繼、欺騙等常見攻擊，並且在客戶端與 Active Directory 域控制器通信時默認需要簽名。

最後，Windows 11 引入了 SMB over QUIC（預覽版），這是 TCP 網絡傳輸的替代方案，通過不受信任的網絡（如 Internet）提供到邊緣文件服務器的安全、可靠的連接以及內部網絡上的高度安全通信。 QUIC 是一種 IETF 標準化協議，與 TCP 相比具有許多優點，但最重要的是，它始終需要 TLS 1.3 和加密。 SMB over QUIC 為遠程工作者、移動設備用戶和高安全性組織提供“SMB VPN”。所有 SMB 流量，包括隧道內的身份驗證和授權，都不會暴露給底層網絡。 SMB 在 QUIC 隧道內正常運行，這意味著用戶體驗不會改變。 SMB over QUIC 將成為 Windows 11 訪問 Windows 文件服務器並最終訪問 Azure 文件和第三方的一項改變遊戲規則的功能。

病毒和威脅防護

當今的網絡威脅形勢比以往任何時候都更加複雜。這個新世界需要一種新的威脅預防、檢測和響應方法。 Microsoft Defender 防病毒軟件以及 Windows 11 中內置的許多其他功能處於保護客戶免受當前和新興威脅的前線。

Microsoft Defender 防病毒軟件

Microsoft Defender 防病毒是 Windows 10 和 Windows 11 的所有版本中都包含的下一代保護解決方案。從您啟動 Windows 的那一刻起，Microsoft Defender 防病毒就會持續監視惡意軟件、病毒和安全威脅。除了這種實時保護之外，還會自動下載更新以幫助保護您的設備安全並保護其免受威脅。如果你安裝並打開了另一個防病毒應用，Microsoft Defender 防病毒將自動關閉。如果卸載其他應用程序，Microsoft Defender 防病毒將重新打開。

Microsoft Defender 防病毒，包括實時、基於行為和啟發式防病毒保護。這種始終在線的內容掃描、文件和進程行為監控以及其他啟發式方法的組合有效地防止了安全威脅。 Microsoft Defender 防病毒軟件會持續掃描惡意軟件和威脅，還會檢測和阻止潛在有害應用程序 (PUA)，這些應用程序被認為會對您的設備產生負面影響，但不被視為惡意軟件。 Microsoft Defender 防病毒始終在線的設備防護與雲提供的保護相集成，有助於確保近乎即時地檢測和阻止新出現的威脅。 ⁹

攻擊面減少

在 Windows 和 Windows Server 中都可用，攻擊面減少規則有助於防止經常被濫用來危害您的設備或網絡的軟件行為。通過減少攻擊面的數量，您可以減少組織的整體漏洞。管理員可以配置特定的攻擊面減少規則來幫助阻止某些行為，例如：

• 啟動嘗試下載或運行文件的可執行文件和腳本
• 運行混淆或可疑的腳本
• 執行應用在正常日常工作中通常不會啟動的行為

例如，攻擊者可能會嘗試從 USB 驅動器運行未簽名的腳本，或者讓 Office 文檔中的宏直接調用 Win32 API。攻擊面減少規則可以約束這些類型的危險行為並改善設備的防禦態勢。

要獲得全面保護，請按照步驟為 Microsoft Edge 啟用基於硬件的隔離並減少跨應用程序、文件夾、設備、網絡和防火牆的攻擊面。

詳細了解攻擊面減少。

防篡改

勒索軟件等攻擊試圖禁用目標設備上的安全功能，例如防病毒保護。不良行為者喜歡禁用安全功能以更輕鬆地訪問用戶數據、安裝惡意軟件或以其他方式利用用戶的數據、身份和設備，而不必擔心被阻止。篡改保護有助於防止此類活動。

通過防篡改，可以防止惡意軟件採取以下措施：

• 禁用病毒和威脅防護
• 禁用實時保護
• 關閉行為監控
• 禁用防病毒軟件（例如 IOfficeAntivirus (IOAV)）
• 禁用雲提供的保護
• 刪除安全情報更新

詳細了解篡改保護.

網絡保護

Windows 中的網絡保護有助於防止用戶訪問可能在 Internet 上託管網絡釣魚詐騙、漏洞利用和其他惡意內容的危險 IP 地址和域。網絡保護是減少攻擊面的一部分，有助於為用戶提供額外的保護層。使用基於信譽的服務，網絡保護可以阻止對潛在有害的、基於低信譽的域和 IP 地址的訪問。在企業環境中，網絡保護最適合與 Microsoft Defender for Endpoint 配合使用，它提供保護事件的詳細報告，作為更大調查方案的一部分。

詳細了解如何保護您的網絡。

受控文件夾訪問

您可以通過管理應用程序對特定文件夾的訪問來保護特定文件夾中的重要信息。只有受信任的應用程序才能訪問受保護的文件夾，這是在配置受控文件夾訪問時指定的。通常，常用文件夾，例如用於文檔、圖片、下載的文件夾，都包含在受控文件夾列表中。

受控文件夾訪問適用於受信任的應用程序列表。受信任軟件列表中包含的應用程序按預期工作。未包含在受信任列表中的應用程序無法對受保護文件夾中的文件進行任何更改。

受控文件夾訪問有助於保護用戶的寶貴數據免受惡意應用程序和威脅（例如勒索軟件）的侵害。詳細了解受控文件夾訪問。

漏洞利用保護

漏洞利用保護自動將多種漏洞利用緩解技術應用於操作系統進程和應用程序。漏洞利用保護最適合與 Microsoft Defender for Endpoint 配合使用，它為組織提供了漏洞利用保護事件和塊的詳細報告，作為典型警報調查方案的一部分。您可以在單個設備上啟用漏洞利用保護，然後使用組策略將 XML 文件同時分發到多個設備。

當在設備上遇到緩解措施時，操作中心將顯示通知。您可以使用公司詳細信息和聯繫信息自定義通知。您還可以單獨啟用規則以自定義哪些技術功能監視器。

您可以使用審核模式來評估漏洞利用保護在啟用後如何影響您的組織。

Windows 11 提供了漏洞利用保護的配置選項。您可以使用組策略阻止用戶修改這些特定選項。

詳細了解保護設備免受攻擊。

Microsoft Defender SmartScreen

Microsoft Defender SmartScreen 可防止網絡釣魚、惡意軟件網站和應用程序以及潛在惡意文件的下載。

SmartScreen 通過以下方式確定站點是否具有潛在惡意：

• 分析訪問過的網頁，尋找可疑行為的跡象。如果它確定某個頁面可疑，它會顯示一個警告頁面，提醒您注意。
• 根據已報告的釣魚網站和惡意軟件網站的動態列表檢查訪問過的網站。如果找到匹配項，Microsoft Defender SmartScreen 會顯示警告，讓用戶知道該站點可能是惡意的。

SmartScreen 還通過以下方式確定下載的應用或應用安裝程序是否具有潛在惡意：

• 根據已報告的惡意軟件站點和已知不安全程序的列表檢查下載的文件。如果找到匹配項，SmartScreen 會警告用戶該站點可能是惡意的。
• 根據許多 Windows 用戶熟知並下載的文件列表檢查下載的文件。如果該文件不在該列表中，則會顯示警告提示。

應用程序和瀏覽器控制部分包含 Windows Defender SmartScreen 的信息和設置。 IT 管理員和 IT 專業人員可以在 Windows Defender SmartScreen 文檔庫。

Microsoft Defender for Endpoint

Windows E5 客戶受益於 Microsoft Defender for Endpoint，這是一種企業端點檢測和響應功能，可幫助企業安全團隊檢測、調查和響應高級威脅。擁有專門安全運營團隊的組織可以使用 Defender for Endpoint 提供的豐富事件數據和攻擊洞察來調查事件。 Defender for Endpoint 匯集了以下元素，以提供更完整的安全事件圖：

• 端點行為傳感器：這些傳感器嵌入在 Windows 中，收集和處理來自操作系統的行為信號，並將這些傳感器數據發送到 Microsoft Defender for Endpoint 的私有、隔離的雲實例。
• 雲安全分析：在整個 Windows 生態系統、企業雲產品（如 Microsoft 365 和在線資產）中利用大數據、設備學習和獨特的 Microsoft 光學技術，將行為信號轉化為洞察、檢測和對高級的建議響應威脅。
• 威脅情報：Microsoft 的威脅情報每天都從數万億個安全信號中獲取信息。結合我們的全球安全專家團隊以及尖端的人工智能和機器學習，我們可以看到其他人忽略的威脅。我們的威脅情報有助於為我們的客戶提供無與倫比的保護。

Defender for Endpoint 也是 Microsoft 365 Defender 的一部分，Microsoft 365 Defender 是一個統一的入侵前後企業防禦套件，可在本地協調跨端點、身份、電子郵件和應用程序的檢測、預防、調查和響應，以提供針對複雜攻擊的集成保護。

詳細了解 適用於終結點的 Microsoft Defender 和 Microsoft 365 防御者。

© 2021 微軟公司。 版權所有。

1. 微軟安全信號，2021 年 9 月。
2. 需要具有生物識別傳感器的兼容硬件來替換具有潛在風險的密碼。
3. Windows 10 Pro 及更高版本支持 Microsoft Edge 的應用程序防護保護。適用於 Office 的 Microsoft Defender 應用程序防護需要 Windows 10 企業版，而 Microsoft 365 E5 或 Microsoft 365 E5 安全性
4. 獲取適用於 Android 或 iOS 的免費 Microsoft Authenticator 應用程序 https://www.microsoft.com/en-us/security/mobile-authenticator-app
5. Windows Hello 支持多因素身份驗證，包括面部識別，指紋和密碼。需要專用硬件，例如指紋讀取器、發光 IT 傳感器或其他生物識別傳感器和功能強大的設備。
6. 訂閱單獨出售。
7. 了解更多信息：認識微軟 Pluton 處理器——專為未來 Windows PC 設計的安全芯片
8. 信任測量和 SMM 隔離的動態根
9. 詳細了解Microsoft Defender 防病毒軟件的下一代保護.

英語 德語 日語 西班牙語 葡萄牙語（巴西） 法語 土耳其語 韓語