早在4月,微软公布了Windows 11的一系列新的安全功能,并表示它们即将在操作系统的"未来版本"中出现。事实证明,该公司在这一声明中指的是Windows 11 2022更新--现在正在推送。微软已经证实,它在几个月前宣布的所有安全改进措施现在都可以在Windows 11中普遍使用。

1663564427_windows_security_settings.jpg

Windows 11中的智能应用控制设置

这次更新的重头戏是智能应用控制,它由人工智能模型驱动,有助于检测和阻止潜在的不安全应用在电脑上运行。智能应用控制建立在Windows Defender应用控制(WDAC)的基础上。然而,正如之前所解释的,必须对电脑进行清洁安装才可以利用这一功能。该功能是同时为个人和小型企业准备的。

1663564524_smart_app_control_settings.jpg

在驱动保护方面,Hypervisor-protected Code Integrity(HVCI)和易受攻击的驱动块列表这两个功能都将默认启用。前者实际上是通过内核模式完整性检查(KMCI)在基于虚拟化的安全(VBS)环境内运行内核代码,而不是实际的Windows内核。这个过程确保所有的内核代码在被允许在Windows内核上运行之前都经过验证、安全和签名。从本质上讲,这是一个针对恶意软件的内核级缓解措施。同时,易受攻击的驱动程序块列表将保护您的电脑免受有害驱动程序及其相关行为的影响。

1663564619_enhanced_phishing_protection_notification_(1).jpg

其它的安全改进还有:

Microsoft Defender Smartscreen中增强的网络钓鱼检测

在Windows 11企业版中默认启用了Windows Defender Credential Guard,以防止凭证被盗。

默认情况下启用具有本地安全授权(LSA)保护的凭证隔离,以确认企业连接的Windows 11 PC的身份

Microsoft Defender Smartscreen中增强的网络钓鱼检测功能将在已知的受损害应用程序或网站中输入凭证时发出通知。

Windows Hello for Business允许不使用密码,而且它的部署也变得更加容易。

带有存在感知的设备现在可以通过Windows Hello实现免手动操作安全登录

配置锁可用于监控注册表键,并确保它们符合组织和整个IT行业设定的基线。

最后,微软强调了带有微软Pluton安全芯片的PC的重要性,确保承诺在硬件层面提高安全性。而对于使用Secured-core PC以防止固件泄露的Windows 11 Insiders来说,如果他们的设备支持Windows Defender System Guard但没有启用,Windows Security应用中会出现一个新提示以提醒他们。这项功能很快就会普及,但目前还不包括在Windows 11 2022更新中。