网络安全

Windows 11提高了网络安全标准，提供全面的保护，帮助人们从几乎任何地方自信地工作。 为了帮助减少组织的攻击面，Windows 中的网络保护可阻止用户访问可能托管网络钓鱼诈骗、攻击和其他恶意内容的危险 IP 地址和域。 使用基于信誉的服务，网络保护会阻止访问可能有害的低信誉域和 IP 地址。

新的 DNS 和 TLS 协议版本增强了应用程序、Web 服务和零信任网络所需的端到端保护。 文件访问通过 QUIC 添加了服务器消息块的不受信任的网络方案，以及新的加密和签名功能。 Wi-Fi 和蓝牙的进步也为与其他设备的连接提供了更大的信任。 此外，VPN 和 Windows 防火墙平台提供了轻松配置和调试软件的新方法。

在企业环境中，网络保护最适用于 Microsoft Defender for Endpoint，后者在更大调查方案中提供有关保护事件的详细报告。

了解更多信息

• 如何保护网络

传输层安全性 (TLS)

传输层安全性 (TLS) 是一种流行的安全协议，对传输中的数据进行加密，以帮助在两个终结点之间提供更安全的信道。 默认情况下，Windows 启用最新的协议版本和强密码套件，并提供一整套扩展，例如用于增强服务器安全性的客户端身份验证或会话恢复以提高应用程序性能。 TLS 1.3 是协议的最新版本，在 Windows 中默认启用。 此版本有助于消除过时的加密算法，增强旧版本的安全性，并旨在加密尽可能多的 TLS 握手。 握手性能更高，平均每个连接的往返行程更少，并且仅支持强大的密码套件，从而提供完美的前向保密性和较低的操作风险。 使用 TLS 1.3 可为加密联机连接提供更多隐私和更低的延迟。 如果连接两端的客户端或服务器应用程序不支持 TLS 1.3，则连接将回退到 TLS 1.2。 Windows 使用最新的数据报传输层安全性 (DTLS) 1.2 进行 UDP 通信。

了解更多信息

• TLS/SSL 概述 (Schannel SSP)
• 即将在 Windows 中禁用 TLS 1.0 和 TLS 1.1

域名系统 (DNS) 安全性

在 Windows 11 中，Windows DNS 客户端支持 DNS over HTTPS 和 DNS over TLS（两个加密的 DNS 协议）。 这些允许管理员确保其设备保护其名称查询免受路径攻击者的侵害，无论他们是记录浏览行为的被动观察者还是尝试将客户端重定向到恶意站点的活动攻击者。 在网络边界中不放置任何信任的零信任模型中，需要与受信任的名称解析程序建立安全连接。

Windows 11提供组策略和编程控制来配置基于 HTTPS 的 DNS 行为。 因此，IT 管理员可以扩展现有安全性，以采用零信任等新模型。 IT 管理员可以通过 HTTPS 协议强制使用 DNS，确保使用不安全 DNS 的设备无法连接到网络资源。 对于信任网络边缘设备检查纯文本 DNS 流量的旧部署，IT 管理员还可以选择不使用基于 HTTPS 的 DNS 或 DNS over TLS。 默认情况下，Windows 11将推迟到解析程序应使用加密 DNS 的本地管理员。

DNS 加密支持与现有 Windows DNS 配置集成，例如名称解析策略表 (NRPT) 、系统主机文件以及每个网络适配器或网络配置文件指定的解析程序。 集成有助于Windows 11确保提高 DNS 安全性的好处不会使现有 DNS 控制机制倒退。

蓝牙保护

连接到Windows 11的蓝牙设备数量继续增加。 Windows 用户连接其蓝牙头戴显示设备、鼠标、键盘和其他配件，并通过享受流媒体、生产力和游戏来改善其日常电脑体验。 Windows 支持所有标准蓝牙配对协议，包括经典和 LE 安全连接、安全的简单配对以及经典和 LE 旧版配对。 Windows 还实现基于主机的 LE 隐私。 Windows 更新可帮助用户根据蓝牙特殊兴趣组 (SIG) 和Standard漏洞报告，以及蓝牙核心行业标准要求之外的问题，随时了解操作系统和驱动程序安全功能的最新情况。 Microsoft强烈建议蓝牙配件的固件和软件保持最新状态。

IT 管理的环境具有通过配置服务提供程序、组策略和 PowerShell 提供的多个策略设置。 这些设置可以通过设备管理解决方案（如 Microsoft Intune^[4]）进行管理。 你可以将 Windows 配置为使用蓝牙技术，同时支持组织的安全需求。 例如，可以允许输入和音频，同时阻止文件传输、强制加密标准、限制 Windows 可发现性，甚至为最敏感的环境完全禁用蓝牙。

了解更多信息

• 策略 CSP - 蓝牙

Wi-Fi 连接

连接到 Wi-Fi 网络时，Windows Wi-Fi 支持行业标准身份验证和加密方法。 WPA (Wi-Fi 保护访问) 是 Wi-Fi 联盟 (WFA) 定义的安全标准，可提供复杂的数据加密和更好的用户身份验证。

Wi-Fi 身份验证的当前安全标准是 WPA3，与 WPA2 和旧版安全协议相比，WPA3 提供了更安全、更可靠的连接方法。 Windows 支持三种 WPA3 模式 - WPA3 个人版、WPA3 企业版和 WPA3 企业版 192 位套件 B。

Windows 11包括具有新 H2E 协议的 WPA3 Personal 和 WPA3 Enterprise 192 位套件 B。Windows 11还支持 WPA3 Enterprise，其中包括增强的服务器证书验证和使用 EAP-TLS 身份验证进行身份验证的 TLS 1.3。

此外，还包含机会无线加密 (OWE) ，该技术允许无线设备与公共 Wi-Fi 热点建立加密连接。

5G 和 eSIM

与前几代手机网络协议相比，5G 网络使用更强的加密和更好的网络分段。 与 Wi-Fi 不同，5G 访问始终相互进行身份验证。 访问凭据存储在 EAL4 认证的 eSIM 中，该 ESIM 以物理方式嵌入到设备中，使攻击者更难篡改。 5G 和 eSIM 共同为安全性奠定了坚实的基础。

了解更多信息

• 下载服务器的 eSIM 配置

Windows 防火墙

Windows 防火墙是分层安全模型的重要组成部分。 它提供基于主机的双向网络流量筛选，根据设备连接到的网络类型阻止流入或流出本地设备的未经授权的流量。

Windows 防火墙具有以下优势：

• 降低网络安全威胁的风险：Windows 防火墙通过许多属性（例如 IP 地址、端口或程序路径）限制或允许流量的规则来减少设备的攻击面。 此功能可提高可管理性并减少成功攻击的可能性
• 保护敏感数据和知识产权：Windows 防火墙通过与 Internet 协议安全 (IPSec) 集成，提供了一种简单的方法来强制实施经过身份验证的端到端网络通信。 它提供对受信任网络资源的可缩放分层访问，帮助强制实施数据完整性，并选择性地帮助保护数据的机密性
• 扩展现有投资的价值：由于 Windows 防火墙是操作系统随附的基于主机的防火墙，因此不需要额外的硬件或软件。 Windows 防火墙还旨在通过记录的应用程序编程接口 (API) 来补充现有的非Microsoft网络安全解决方案

Windows 11使 Windows 防火墙更易于分析和调试。 IPSec 行为与数据包监视器（一种适用于 Windows 的内置跨组件网络诊断工具）集成。 此外，Windows 防火墙事件日志得到增强，以确保审核能够识别负责任何给定事件的特定筛选器。 这样就可以分析防火墙行为和丰富的数据包捕获，而无需依赖第三方工具。

管理员可以通过 Microsoft Intune^[4] 中的“终结点安全”节点中的防火墙和防火墙规则策略模板配置更多设置，使用防火墙配置服务提供商的平台支持 (CSP) 并将这些设置应用于 Windows 终结点。

Windows 11版本 24H2 中的新增功能

Windows 中的防火墙配置服务提供程序 (CSP) 现在强制实施全能或全无方法在每个原子块中应用防火墙规则。 以前，如果 CSP 遇到块中的任何规则问题，它不仅会停止处理该规则，还会停止处理后续规则，从而可能会留下部分部署的规则块的安全差距。 现在，如果无法成功应用块中的任何规则，CSP 将停止处理后续规则，并从该原子块回滚所有规则，从而消除部分部署的规则块的歧义。

了解更多信息

• Windows 防火墙概述
• 防火墙云解决方案提供商

虚拟专用网络 (VPN)

长期以来，组织一直依赖 Windows 来提供可靠、安全且可管理的虚拟专用网络 (VPN) 解决方案。 Windows VPN 客户端平台包括内置 VPN 协议、配置支持、通用 VPN 用户界面和自定义 VPN 协议的编程支持。 VPN 应用在 Microsoft Store 中可用于企业和个人用户 VPN，包括最常用企业 VPN 网关的应用。

在Windows 11中，我们已将最常用的 VPN 控件直接集成到“Windows 11快速操作”窗格中。 在“快速操作”窗格中，用户可以验证其 VPN 的状态、启动和停止连接，以及轻松打开“设置”以获取更多控件。

Windows VPN 平台连接到 Microsoft Entra ID^[4] 和用于单一登录的条件访问，包括通过 Microsoft Entra ID 进行多重身份验证 (MFA) 。 VPN 平台还支持经典域加入身份验证。 Microsoft Intune^[4] 和其他设备管理解决方案支持它。 灵活的 VPN 配置文件支持内置协议和自定义协议。 它可以配置多种身份验证方法，并且可以根据需要自动启动或由最终用户手动启动。 它还支持拆分隧道 VPN 和独占 VPN，但受信任的外部站点有例外。

使用 通用 Windows 平台 (UWP) VPN 应用，最终用户永远不会遇到旧版 VPN 客户端问题。 应用商店中的 VPN 应用将根据需要自动更新。 当然，更新由 IT 管理员控制。

Windows VPN 平台已针对 Azure VPN 等基于云的 VPN 提供商进行了优化和强化。 Windows VPN 平台中内置了Microsoft Entra ID身份验证、Windows 用户界面集成、管道 IKE 流量选择器和服务器支持等功能。 与 Windows VPN 平台的集成可带来更简单的 IT 管理体验。 用户身份验证更加一致，用户可以轻松查找和控制其 VPN。

了解更多信息

• Windows VPN 技术指南

服务器消息阻止文件服务

服务器消息块 (SMB) 和文件服务是商业和公共部门生态系统中最常见的 Windows 工作负载。 用户和应用程序依赖于 SMB 来访问运行各种规模的组织的文件。

Windows 11引入了重要的安全更新来应对当今的威胁，包括 AES-256 SMB 加密、加速 SMB 签名、远程目录内存访问 (RDMA) 网络加密，以及针对不受信任的网络的 QUIC 的 SMB。

Windows 11版本 24H2 中的新增功能

新的安全选项包括默认强制 SMB 签名、NTLM 阻止、身份验证速率限制和其他一些增强功能。

了解更多信息

• Windows 11版本 24H2 中的服务器消息块 (SMB) 协议更改
• 使用 SMB 3 协议进行文件共享