Windows 11 新功能助力提升安全性,應對日益嚴峻的網絡威脅
作者:微軟企業及操作系統安全副總裁,David Weston
在微軟 Build 2024 大會召開前夕,我們發佈了一個全新的 Windows PC 品類:Windows 11 AI PC1。除了這一全新 PC 品類外,我們還引入了重要的安全功能和更新,使得 Windows 11 能夠為用戶和企業機構提供更高的安全性,並為開發人員提供一系列安全工具。
當今的網絡威脅形勢已經跟以前大不相同,無論是攻擊速度、攻擊規模還是複雜程度都在持續升級。2015 年,我們的身份驗證系統每秒遭受大約 115 次密碼攻擊,然而不到十年的時間里,這個數字就飆升了 3378%,達到每秒 4000 多次2。面對如此嚴峻的網絡安全威脅,無論是面向我們的家用 PC 還是辦公 PC 所使用的所有設備和技術,我們都必須採取比以往更加強大和全面的防護措施。
網絡安全是我們工作的重中之重
我們一直致力於提高 Windows 的安全性。幾年前,我們注意到針對硬件的網絡攻擊日益增多,於是我們推出了安全核心 PC (Secured-core PC),以提供從芯片到雲以及關鍵計算層的防護。
近年來,我們看到基於身份的網絡攻擊正在激增,因此我們迅速而廣泛地擴展了我們的無密碼身份驗證解決方案。在 2023 年 9 月,我們宣佈擴展了針對跨設備身份驗證的通行密鑰支援,並在此基礎上不斷突破。本月早些時候,我們宣佈為微軟消費者賬戶提供通行密鑰支援,並在 iOS和Android用戶的微軟身份驗證應用程式中支援設備綁定的通行密鑰,加大了我們對這一由 FIDO 聯盟提出的行業倡議的支援力度。Windows 系統的通行密鑰受到 Windows Hello 多重身份驗證技術的保護,包括 Windows Hello 普通版和 Windows Hello 企業版。這項最新舉措是建立在近十年來我們不斷增強 Windows Hello 功能的重要工作基礎之上,目的是為給用戶提供更便捷、更安全的登錄選項,並消除漏洞。
本月早些時候,我們擴大了“安全未來計劃”(SFI),明確表示我們將把安全放在首位。我們在 2023 年 11 月首次提出 SFI 計劃,旨在優化設計、構建、測試和運行相關技術,以確保產品和服務的安全交付。考慮到這些承諾,我們不僅在 Windows 11 中構建了新的安全功能,還增加了預設開啟的安全功能。我們的目標很簡單:那就是要讓 Windows 使用起來更方便、更安全。
今天,我們將與大家分享一些新的安全技術,無論是從設計上還是從預設設置上來說,它們都會讓 Windows 從開箱的那一刻起就為用戶提供更加安全的防護體驗。
現代、安全的硬件
我們認為安全防護是一項需要團隊協作的工作。我們正與 OEM 合作夥伴緊密合作,以補充OEM 安全功能,並提供更安全的設備。
雖然安全核心 PC (Secured-core PC)曾被認為是專為處理敏感數據而設計的專用設備,但如今普通 Windows 用戶也可以通過在 PC 設備上增強的安全性和引入 AI 技術而受益。我們宣佈,所有 Windows 11 AI PC 都將是安全核心 PC (Secured-core PC),可為商用設備和消費品類設備帶來高度的安全性。除了 Windows 11 的層層保護之外,安全核心 PC (Secured-core PC),還具備先進的固件保護功能和動態可信度量根(dynamic root-of-trust measurement),以提供從芯片到雲的保護。
Microsoft Pluton 安全處理器將在所有 Windows 11 AI PC 上預設啟用。Pluton 是一種芯片到雲的安全技術,由微軟設計,由芯片製造領域的合作夥伴構建,以零信任原則為核心。它有助於保護安全憑證、身份信息、個人數據和加密密鑰,即使網絡攻擊者安裝惡意軟件或實際占有 PC,也很難將其刪除。
所有的 Windows 11 AI PC 都將配備 Windows Hello 增強型登錄安全性(ESS),這是一種更安全的生物識別登錄技術,無需輸入密碼即可登錄。ESS 採用專用的硬件和軟件,如基於虛擬化安全性(VBS)和 TPM 2.0,可提高生物識別數據的安全性,因為它既能幫助隔離和保護身份驗證數據,又能確保其通信通道的安全。ESS 也可以在與之兼容的搭載 Windows 11 的設備上使用。
借助 Windows,應對威脅先行一步
為了從根本上保障用戶安全,我們不斷更新安全措施,並在 Windows 中啟用了新的預設設置。
Windows 11 在設計上預設啟用安全層,讓用戶能夠專注於工作,而不必過多考慮安全設置。據報導,安全憑證保護、惡意軟件屏蔽和應用程式保護等開箱即用的防護功能使安全事件減少了58%,其中固件攻擊減少了 3.1 倍。在 Windows 11 中,硬件和軟件協同工作,以幫助縮小攻擊面,保護系統完整性,並保護重要數據。3
安全憑證和身份盜用是網絡攻擊的主要目標。基於 Windows Hello、Windows Hello 商用版和通行密鑰啟用的多重身份驗證,是行之有效的多重身份驗證解決方案。但隨著越來越多的人啟用多重身份驗證,網絡攻擊者正在從簡單的基於密碼的攻擊轉向其他類型的安全憑證盜用。為了防止這些網絡攻擊,我們正在不斷進行技術更新,包括:
• 本地安全認證保護:Windows 通過幾個關鍵進程來驗證用戶身份,包括本地安全認證(LSA)。LSA 對用戶進行身份驗證並驗證 Windows 登錄,處理符號和身份驗證信息(如密碼),用於 Microsoft 帳戶和 Microsoft Azure 服務的單點登錄。LSA 保護以前僅在所有新的商用設備上預設開啟,而現在面向新消品類設備也預設開啟。對於新的消費品類設備,以及未啟動 LSA 保護的用戶升級,LSA 保護將進入寬限期。LSA 保護可防止 LSA加載不可信的代碼,防止不可信進程訪問 LSA 內存,從而有效防止安全憑證被盜用。4
• 棄用 NT LAN Manager(NTLM):應安全社區的強烈要求,我們將從 2024 年下半年開始棄用 NTLM,此舉將加強用戶身份驗證。
• 使用 VBS 增強 Windows 中的密鑰保護:現在 Windows 預覽體驗計劃成員可以公開預覽VBS,此功能將提供比軟件隔離更高級的安全防護,而且其性能也甚至優於硬件的解決方案,因為它是由設備的 CPU 驅動。硬件支援的密鑰提供了強大防護,同時 VBS 更適用於對安全性、可靠性和性能要求較高的業務。
• Windows Hello 的加固:Windows Hello 技術已被擴展到密碼保護,如果您使用的設備沒有內置生物識別功能,那麼 Windows Hello 將預設為使用 VBS 隔離身份驗證信息,保護系統免受管理員級別的攻擊。
另外,我們重視幫助用戶瞭解哪些應用程式和驅動程式可以信任,以更好地保護他們免受網絡釣魚攻擊和惡意軟件的攻擊。Windows 不僅提升了溝通的體驗,還為 Windows 應用程式開發者社區提供了更多功能,以幫助開發者加強應用程式的安全性。
• 智能應用控制:特定的新系統預設啟用智能應用控制功能,以提供更好的體驗。智能應用控制已通過 AI 學習得到了增強。基於微軟每天收集的 78 萬億個安全信號建立的 AI 模型,該功能可以預測應用程式是否安全。該安全策略允許已知安全的常見應用程式正常運行,而嵌入惡意軟件的未知應用程式將被阻止。這是針對惡意軟件的一種非常有效的防護措施。
• 可信簽名:未簽名的應用程式可能帶來重大風險。事實上,微軟的研究表明,很多惡意軟件都是以未簽名應用程式的形式出現的。確保與智能應用控制無縫兼容的更好的方法就是對應用程式進行簽名。簽名有助於提高其可信度,確保現有的“良好聲譽”被將來的應用程式更新所繼承,從而降低被威脅檢測系統阻止的可能性。可信簽名最近已進入公共預覽,通過對證書的全生命週期管理,簡化了信任檢測過程。它還集成了 Azure DevOps 和 GitHub等大眾開發工具。
• Win32 應用隔離:這是一種全新的安全防護功能,目前處於測試階段。Win32 應用隔離功能可以讓 Windows 應用開發者在應用遭受攻擊時更輕鬆地降低損害並保護用戶的隱私選項。Win32 應用隔離基於 AppContainers 的基礎開發構建,提供安全邊界,并包含虛擬化資源和可協調訪問其他資源的組件(如打印機、註冊表和文件訪問)。得益於開發者社區的積極反饋,Win32 應用隔離功能即將面向大眾開放。應用開發者現可以使用 Win32 應用隔離與 Visual Studio 無縫集成。
• 提高管理員用戶的安全性:大多數人在使用他們的設備時都是以全權管理員的身份使用的,這意味著應用程式和服務與用戶一樣擁有對內核和其他關鍵信息的訪問權限。問題在於這些應用程式和服務可能會在用戶不知情的情況下訪問關鍵信息。這就是為什麼 Windows 鍥而不捨地更新,以便在需要時能夠對內核和其他關鍵服務信息進行及時的管理訪問,而非一直預設此設置。這讓應用程式更加難以用不為人知的方式濫用管理員權限並私下在Windows 上安裝惡意軟件或惡意代碼。當啟用此功能時,假如當某個應用程式要訪問特殊權限(如管理員權限)時,系統會詢問您是否批準該請求。當您需要批準時,Windows Hello 提供了一套安全且簡便的操作方式來批準或拒絕這些請求,從而讓您完全掌控自己的設備。目前該功能處於內測階段,將於近期面向大眾開放。
• VBS enclaves:VBS enclaves 此前僅面向 Windows 安全功能提供,現在已向第三方應用開發者開放。這種位於主應用程式空間內的軟件可信執行環境為敏感工作負載(如數據解密)提供了深層操作系統保護。嚐試使用 VBS enclaves API 來體驗 enclaves 如何既能屏蔽其他系統進程又能屏蔽主應用程式本身,從而讓您帶有敏感性的工作具有更高的安全性。
隨著駭客不斷地升級攻擊策略及更新攻擊目標,我們將持續強化 Windows 代碼,以應對這些不速之客的侵害。
• Windows 保護打印模式:在 2023 年底,我們推出了 Windows 保護打印模式,以建立一套更加現代、更安全的打印系統,最大限度地提高兼容性並以用戶為中心。保護打印模式將成為未來預設的打印模式。
• 工具提示:在過去,工具提示功能曾被惡意利用並導致未經授權就訪問內存的情況發生。在舊版本的 Windows 中,工具提示功能是由內核核心為每個桌面創建的單一窗口,並循環展示工具提示。我們正在重新設計工具提示的工作方式,使其對用戶來說更加安全。通過升級的方式,工具提示的生命週期的管理責任已轉移到所使用的相應應用程式。現在,核心可以監控光標活動並啟動倒計時,來顯示和隱藏工具提示窗口。當這些倒計時結束時,核心將通知用戶級環境生成或刪除工具提示窗口。
• TLS 服務器身份驗證:TLS (傳輸層安全)服務器身份驗證證書將驗證服務器對客戶端的身份並確保安全連接。雖然以前支援 1024 位 RSA 加密密鑰,但由於計算能力和密碼分析的進步,Windows 預設情況下不再信任這些較弱的密鑰長度。因此,在微軟信任根計劃中小於 2048 位 RSA 密鑰並連接到信任根的 TLS 證書將不再被信任。
最後,在每個 Windows 版本中,我們都會為商業用戶提供更多的措施和方法,以便他們在自己的環境中鎖定 Windows。
• 配置刷新:配置刷新將允許管理員設置設備重新應用協議設置的時間表,而無需檢查Microsoft Intune 或其他移動設備管理供應商的情況,以幫助確保這些設置保持 IT 管理員配置的狀態。預設情況下,它能以每 90 分鐘一次的節奏刷新,最頻繁則可設置為每 30 分鐘刷新一次。我們也提供了暫停配置刷新的選項,這在故障排除或維護時非常有用,在此之後它將自動恢復,或由管理員手動重新激活。
• 防火牆:Windows 中的防火牆配置服務提供程式(CSP)現在從每個原子區塊中強製執行“全有或全無”的防火牆規則應用。在此之前,如果 CSP 在應用某個區塊中的防火牆規則時遇到問題,CSP 不僅會停止應用該規則,還會停止處理後續規則的應用,導致部分安全規則部署不完全,從而留下潛在的安全漏洞。現在,如果區塊中的規則無法成功應用於設備,CSP 將停止執行後續規則,並回退同一原子區塊中的所有規則的應用,消除了僅部分區塊部署規則的模糊性。
• 個人數據加密(PDE):PDE 通過加密數據來增強安全性,只有當用戶使用 Windows Hello 商用版解鎖 PC 時才會解密數據。PDE 支援兩個級別的數據保護。在 1 級保護下,數據一直保持加密,直到 PC 首次被解鎖;在 2 級保護下,當 PC 被鎖定時,文件即被加密。PDE 是對 BitLocker 卷級保護的補充,並在與 BitLocker 配對時為個人或應用程式數據提供雙重加密。PDE 目前仍處於預覽階段,開發者可以利用 PDE API 來保護他們的應用程式內容,並讓 IT 管理員能夠利用自身的移動設備管理解決方案來對數據保護進行管理。
• 零信任 DNS:目前該功能正處在個人預覽階段,它將通過本地限制,僅允許 Windows 設備通過域名連接到經許可的網絡目的地。除非通過受信且受保護的 DNS 服務器解析,或由IT 管理員配置授權,否則外發 IPv4 和 IPv6 流量會被阻止,無法到達預期的目的地。目前可通過配置應用程式和服務,使用系統 DNS 解析器來避免阻塞問題。
瞭解更多 Windows 11 的全新安全功能
我們堅信安全防護是一項需要團隊協作的工作。我們正在加強與 OEM 合作夥伴、應用程式開發者和生態系統內的其他相關方的合作,幫助人們更好地保護自己,並交付一個在設計和預設設置上都更安全的 Windows 系統。歡迎閱讀 Windows 安全手冊,瞭解更多關於如何安全使用Windows 系統的信息。
