从今天开始, Windows 11 将获得其第一个重大更新——正式称为Windows 11 2022 更新——随之而来的是广泛的改进和新功能,其中包括许多专注于安全性的功能。微软添加了一些新功能——比如智能应用控制——并且默认情况下还为新设备启用了更多现有的安全功能,增加了针对各种攻击的保护层。
此外,Windows 11 2022 更新还允许 IT 管理员锁定配置以增强公司所有设备的安全性,即使它们未连接到 Internet。让我们仔细看看所有新的东西。
智能应用控制
Windows 11 2022 更新中最大的以安全为中心的新增功能之一是智能应用控制,它针对不希望为专用保护服务付费的个人和小型企业用户。Smart App Control 使用由每天收集的 43 万亿个安全信号支持的人工智能模型来预测给定应用程序是否可以安全安装和运行。使用这种不断更新的模型,Smart App Control 可以阻止可能不安全的应用程序在您的 PC 上运行,这意味着您受到恶意软件攻击的风险更低。
标记潜在不安全应用的 Windows 11 智能应用控制提示
这是基于与 Windows Defender 应用程序控制相同的功能构建的,后者是面向业务用户的功能,但在这里,该过程更加自动化。智能应用控制适用于所有 Windows 11 客户端设备,因此您无需特定 SKU 或成为组织的一部分即可从中受益。
保护易受攻击的司机
由于设备驱动程序对 Windows 内核的访问权限通常非常有限,因此设备驱动程序成为越来越流行的设备攻击媒介。借助 Windows 11 2022 更新,微软正在采取一些措施来加强对基于驱动程序的攻击的保护。首先,它在新的 Windows 11 设备上默认启用受 Hypervisor 保护的代码完整性 (HVCI),这意味着它使用基于虚拟化的安全性来运行内核模式代码完整性 (KMCI),防止更改内核模式代码(例如驱动程序)可能会危及安全。
HVCI 确保代码完整性子系统验证在内核模式下运行的所有代码,即使驱动程序存在错误,也无法利用它们来攻击您的 PC。这提供了针对 WannaCry 等众所周知的勒索软件威胁的保护,WannaCry 将代码注入 Windows 内核以进行攻击。
不过,即使有了这种保护,微软也为已知的易受攻击的驱动程序启用了阻止列表。运行 Windows 11 2022 更新的新 Windows PC 现在将阻止已知包含潜在可利用安全问题的驱动程序。这为基于驱动程序的攻击提供了另一层保护,进一步加强了安全性。
身份保护
微软还进行了一系列改进,以增强身份保护并防止Windows 11上的身份盗用。通过 Windows 11 2022 更新,Windows 11 Enterprise SKU 默认启用 Windows Defender Credential Guard,它使用基于虚拟化、硬件支持的安全性来防止凭证盗窃技术,例如 pass-the-hash 或 pass-the-ticket . 它还可以防止恶意软件访问系统机密,即使进程以管理员权限运行。
新加入企业的设备的另一个新保护层是凭证隔离,默认启用本地安全机构 (LSA) 保护。LSA 使得只有受信任和签名的代码才能运行,因此潜在的攻击者无法轻易窃取您的凭据。
Windows 11 网络钓鱼检测
Microsoft Defender 的 Smartscreen 功能现在还提供更高级的网络钓鱼防护,这意味着当您尝试将凭据输入受感染的网站时,它会向您发出警告。如果一个页面试图将自己伪装成一个合法网站,Windows 可以介入并让您知道该网站实际上并不是它看起来的样子,并且输入您的信息可能会将其泄露给攻击者。
最后,Windows Hello 企业版有一些改进,包括单点登录无需密码的能力。现在,您可以将 Windows Hello 设置为仅使用您的指纹、面部或 PIN 来登录您的 PC 和云服务。此外,Microsoft 使部署 Windows Hello 企业版变得更加容易,包括取消对公钥基础结构 (PKI) 的要求,因此更多的企业设备可以使用 Windows Hello。Microsoft 还在 Windows 11 中内置了存在感应功能,因此您的 PC 可以检测到您何时靠近它并唤醒您登录,或者在您离开时自动锁定。
配置锁
最后一个新增功能是面向 IT 管理员的新配置锁定功能,这是不言自明的。现在,IT 管理员可以锁定企业设备上的配置设置,因此即使该设备的用户更改了设置,它也会自动恢复到 IT 团队设置的所需状态。即使设备未连接到 Internet,这也可以正常工作,因此您始终可以执行公司政策并确保所有设备都是安全的。
由于混合工作成为许多人的新标准,微软为 Windows 11 PC 推出额外的保护非常有意义,这样用户即使在家工作并且越来越依赖他们的电脑也可以保持安全。微软表示,它将继续投资于安全性,以确保用户可以放心地在他们的 PC 上工作。该公司已承诺在五年内投资 200 亿美元用于安全研发。