以零信任原则为核心构建,以保护数据和任何地方的访问,让您保持安全和高效。
介绍
Windows安全简介
数字化转型的加速以及远程和混合工作的扩展为组织、社区和个人带来了新的机遇。这种扩张带来了新的威胁和风险。
世界各地的组织都在采用零信任安全模型,其前提是在证明安全性和完整性之前,任何地方的任何人或设备都不能访问。
Windows 11基于零信任原则构建,可在任何地方实现混合生产力和新体验,而不会影响安全性。Windows 11提高了安全基线,对从芯片到云的高级硬件和软件保护提出了新的要求。
Windows 11如何实现零信任保护
零信任安全模型在正确的时间为正确的人提供正确的访问权限。零信任安全基于三个原则:
- 1、通过无一例外地明确验证每个访问请求的数据点(如用户身份、位置和设备运行状况)来降低风险
- 2、经过验证后,允许人员和设备在必要的时间内仅访问必要的资源
- 3、使用持续分析来推动威胁检测和改进防御
对于Windows 11,验证的零信任原则明确适用于设备和人员引入的风险。Windows 11 提供芯片到云的安全性,使IT管理员能够通过Windows Hello for Business等功能实现强大的授权和身份验证过程。IT管理员还可以获得认证和测量,以确定设备是否符合要求并且可以信任。Windows 11可与Microsoft Intune和Azure Active Directory开箱即用,实现及时无缝的访问决策。此外,IT管理员可以轻松地自定义Windows,以满足访问、隐私、法规遵从性等方面的特定用户和策略要求。
默认情况下的安全性
Windows 11是其前身Windows 10的自然演变。我们与制造商和硅合作伙伴合作,采用了额外的硬件安全措施,以应对当今日益复杂的安全威胁。这些措施不仅能够实现许多组织现在所接受的混合工作和学习,而且有助于巩固我们已经强大的基础和抵御攻击的能力。
增强的硬件和操作系统安全性
通过从芯片开始的基于硬件的隔离安全,Windows 11将敏感数据存储在与操作系统分离的其他屏障后面。因此,包括加密密钥和用户凭证在内的信息受到保护,不受未经授权的访问和篡改。
在Windows 11中,硬件和软件协同工作以保护操作系统。例如,新设备内置了基于虚拟化的安全性(VBS)和安全引导,默认情况下可以包含和限制恶意软件利用。
强大的应用程序安全和隐私控制
为了帮助保护个人和业务信息的隐私,Windows 11具有多层应用程序安全性,可保护关键数据和代码的完整性。应用程序隔离和控制、代码完整性、隐私控制和最低特权原则使开发人员能够从头开始构建安全和隐私。这种集成的安全性可以防止漏洞和恶意软件,有助于保持数据隐私,并为IT管理员提供所需的控制。
在Windows 11中,Microsoft Defender Application Guard使用Hyper-V虚拟化技术将不受信任的网站和容器中的Microsoft Office文件隔离开来,与主机操作系统和企业数据分离,无法访问。为了保护隐私,Windows 11还提供了更多的控制,可以控制哪些应用程序和功能可以收集和使用设备位置等数据,或者访问相机和麦克风等资源。
安全身份鉴别
长期以来,密码一直是数字安全的重要组成部分,也是网络犯罪分子的首要目标。Windows 11通过芯片级硬件安全性提供强大的凭据盗窃保护。凭据受到硬件和软件安全层的保护,如TPM 2.0、VBS和/或Windows Defender凭据保护,使攻击者更难从设备中窃取凭据。使用Windows Hello for Business,用户可以使用人脸、指纹或PIN快速登录,以实现无密码保护。Windows 11还支持用于无密码身份验证的FIDO2安全密钥。
连接到云服务
除了证明连接到网络的Windows设备值得信赖所需的工具外,Microsoft还为身份、存储和访问管理提供了全面的云服务。您还可以使用现代设备管理(MDM)服务(如Microsoft Intune)强制执行合规性和有条件访问,该服务与Azure Active Directory和Microsoft Azure Attestation合作,通过云控制对应用程序和数据的访问。
Windows硬件安全
现代威胁需要现代安全,在硬件安全和软件安全技术之间保持强有力的一致性,以保护用户、数据和设备。
仅靠操作系统无法保护计算机免受网络犯罪分子使用的各种工具和技术的影响,这些工具和技术会破坏计算机的芯片层深处。
入侵者一旦进入,就很难被发现,同时从事从窃取重要数据到捕获电子邮件地址和其他敏感信息等多种邪恶活动。
这些新的威胁要求计算硬件的核心安全,**包括硬件芯片和处理器。**微软和我们的合作伙伴,包括芯片和设备制造商,共同努力,集成了软件、固件和硬件的强大安全功能。
1-Trusted Platform Module (TPM)
受信任的平台模块
可信平台模块(TPM)旨在提供基于硬件的安全相关功能,并有助于防止不必要的篡改。TPM为系统硬件、平台所有者和用户提供安全和隐私方面的优势。
TPM芯片是一种安全的加密处理器,有助于执行生成、存储和限制加密密钥使用等操作。许多TPM包括多种物理安全机制,使其具有防篡改性,并防止恶意软件篡改TPM的安全功能。
2-Hardware-based root of trust with Windows Defender System Guard
基于硬件的Windows Defender System Guard信任根
为了保护关键资源,如Windows身份验证、单点登录令牌、Windows Hello和虚拟可信平台模块,系统的固件和硬件必须值得信赖。
Windows Defender System Guard有助于在系统启动时保护和维护系统的完整性,并通过本地和远程证明验证系统完整性是否得到了真正维护。
更多细节
Windows Defender System Guard: How a hardware-based root of trust helps protect Windows 10:https://learn.microsoft.com/en-us/windows/security/threat-protection/windows-defender-system-guard/how-hardware-based-root-of-trust-helps-protect-windows
System Guard Secure Launch and SMM protection:https://learn.microsoft.com/en-us/windows/security/threat-protection/windows-defender-system-guard/system-guard-secure-launch-and-smm-protection
3-实现基于虚拟化的代码完整性保护
Hypervisor保护的代码完整性(HVCI)是Windows中提供的一种基于虚拟化的安全性(VBS)功能。在Windows设备安全设置中,HVCI被称为内存完整性。
HVCI和VBS改进了Windows的威胁模型,并对试图利用Windows内核的恶意软件提供了更强的保护。VBS使用Windows虚拟机监控程序来创建一个独立的虚拟环境,该环境成为操作系统的信任根,该操作系统假设内核可能受到损害。HVCI是一个关键组件,它通过在虚拟环境中运行内核模式代码的完整性并限制可能用于危害系统的内核内存分配来保护和强化虚拟环境。
Enable virtualization-based protection of code integrity:https://learn.microsoft.com/en-us/windows/security/threat-protection/device-guard/enable-virtualization-based-protection-of-code-integrity
4-内核直接内存访问(DMA)保护
诸如Thunderbolt、USB4和CFexpress之类的PCIe热插拔设备允许用户将新型外部外围设备(包括图形卡或其他PCI设备)连接到PC,体验与USB相同。
由于PCI热插拔端口是外部的并且很容易访问,因此PC很容易受到直接内存访问(DMA)攻击。内存访问保护(也称为内核DMA保护)通过限制这些外部外围设备在用户锁定其电脑时能够直接复制内存,从而保护电脑免受使用PCIe热插拔设备的逐驱动器DMA攻击。
Kernel DMA Protection:https://learn.microsoft.com/en-us/windows/security/information-protection/kernel-dma-protection-for-thunderbolt
5-Secured-core PCs
微软正在与OEM合作伙伴和硅供应商密切合作,构建安全的核心PC,这些PC具有深度集成的硬件、固件和软件,以确保增强设备、身份和数据的安全性。
在一些数据最敏感的行业,如处理医疗记录和其他个人身份信息(PII)的医护人员、处理高业务影响和高敏感数据的商业角色,例如具有收益数据的财务控制器。
Windows 10 Secured-core PCs:https://learn.microsoft.com/en-us/windows-hardware/design/device-experiences/oem-highly-secure
学习内容来自:https://learn.microsoft.com/en-us/windows/security/hardware
