Windows 11新版本中的安全加密新特征

微软公开Windows 11新版本中的安全和加密新特征。

微软称在新发布的Windows 11系统版本中将加入更多的安全改进，其中包括对网络安全威胁的保护、提供更好的加密、以及拦截恶意APP和驱动。

微软Enterprise & OS安全副总裁David Weston称，在即将发布的Windows 11系统中将会加入新的安全特征，其中从芯片到云端融合现代硬件和软件实现对用户的全方位安全防护。

钓鱼保护

其中一个新加入的安全特征就是针对钓鱼攻击的增强防护。微软Defender SmartScreen是微软的一款基于云的反钓鱼和反恶意软件服务，通过将SmartScreen融合到操作系统中，Windows用户在恶意应用或被黑的网站中输入凭证时会收到告警消息。

SmartScreen在2021年已成功拦截了256亿次Azure 活动目录的暴力破解攻击，并拦截了357亿次钓鱼邮件。该功能使得微软是全球首个直接植入了钓鱼攻击防护功能的操作系统。

用户数据保护

新的Personal Data Encryption（个人数据加密）特征可以在用户未登录系统（设备）时间保护用户文件和数据，直到用户通过Windows hello进行认证。

要访问数据，用户必须首先通过 Windows Hello for Business进行认证，将数据加密密钥与用户无密码凭证进行关联，即使设备丢失或被窃，数据仍然可以防止被窃取或访问，对敏感数据来说是一层额外的保护措施。

针对恶意驱动的防护

新发布的Windows 11版本还为用户提供了额外的数据保护措施以应对恶意驱动。Windows 11用户可以使用Windows Defender Application Control (WDAC) 来自动拦截有漏洞的驱动。该安全特征实现了对Windows系统的安全加固：

攻击者无法利用已知的安全漏洞在Windows kernel中实现权限提升；

无法使用恶意软件或证书进行签名；

微软有漏洞的驱动拦截列表

Windows 11 APP和企业安全特征

Smart App Control是Windows 11中的一个非常重要的安全特征。该特征会融入到操作系统的进程级，通过代码签名和人工智能模型来识别和拦截用户运行恶意APP。

运行在Windows 11上的新应用，其代码签名和核心特征都会通过该人工智能模型的检查，确保只有安全的应用才能够运行。也就是说，Windows 11用户可以确信其设备上运行的应用都是安全和可靠的。

Windows 11 Smart App Control

微软还在Windows 11中默认启用了凭证防护（ Credential Guard）功能，对使用Windows 11企业版的组织还使用了本地安全授权（ Local Security Authority，LSA）来改善企业环境的安全性。

另一个非常重要的特征是Config Lock（配置锁定），可以锁定所有的安全设置，如果有终端用户或攻击者尝试修改，那么安全设置会自动恢复。系统使用MDM策略来监控和恢复注册表到初始状态，使得其设备是安全的和不会受到攻击的影响。

参考及来源：https://www.bleepingcomputer.com/news/microsoft/microsoft-announces-new-windows-11-security-encryption-features/