Windows 應用程式安全性
網路犯罪者可以利用安全性不佳的應用程式來存取寶貴的資源。 使用 Windows 時,IT 系統管理員可以從布建裝置時就對抗常見的應用程式攻擊。 例如,IT 可以從使用者帳戶移除本機系統管理員許可權,讓計算機以最低許可權執行,以防止惡意應用程式存取敏感性資源。
深入瞭解 Windows 中的應用程式安全性功能。
應用程式和驅動程式控制件
| 功能名稱 | 描述 |
|---|---|
| SMART 應用程式控制 | 智慧應用程控會封鎖不受信任或未簽署的應用程式,防止使用者在 Windows 裝置上執行惡意應用程式。 智慧應用程控超越先前的內建瀏覽器保護,方法是將另一層安全性新增至進程層級的OS核心。 使用 AI,我們新的智慧應用程控只允許根據每天處理的現有和新智慧,執行預測為安全的程式。 智慧應用程控建置在商務用應用程控中用來預測應用程式安全性的相同雲端式 AI 之上,因此人們可以確信他們在新的 Windows 11 裝置上使用安全可靠的應用程式,或 Windows 11 已重設的裝置。 |
| 商務用應用程控 | 您的組織僅與在裝置上執行的應用程式一樣安全。 使用應用程控,應用程式必須獲得信任才能執行,與所有程式代碼都假設為可信任的應用程式信任模型相反。 藉由協助防止不想要的或惡意的程式代碼執行,應用程控是有效安全性策略的重要部分。 許多組織會將應用程控列為解決可執行檔型惡意代碼威脅的最有效方法之一。 Windows 10 和更新版本包括商務用應用程控和 AppLocker。 應用程控是適用於 Windows 的新一代應用程控解決方案,可讓您對環境中執行的專案提供強大的控制。 在舊版 Windows 上使用 AppLocker 的客戶可以在考慮是否切換至應用程控以獲得更強大的保護時,繼續使用此功能。 |
| AppLocker | |
| 使用者帳戶控制 (UAC) | 用戶帳戶控制 (UAC) 有助於防止惡意代碼損毀裝置。 使用UAC時,應用程式和工作一律會在非系統管理員帳戶的安全性內容中執行,除非系統管理員授權系統管理員層級存取權。 UAC 可以封鎖未經授權應用程式的自動安裝,並防止意外變更系統設定。 啟用UAC有助於防止惡意代碼改變裝置設定,並可能取得網路和敏感數據的存取權。 UAC 也可以封鎖自動安裝未經授權的應用程式,並防止意外變更系統設定。 |
| Microsoft易受攻擊的驅動程式封鎖清單 | Windows 核心是具有最特殊權限的軟體,因此對惡意程式碼作者來說,是一個具吸引力的目標。 由於 Windows 對於在核心中執行的程式碼有嚴格的要求,網路罪犯通常會惡意探索核心驅動程式中的弱點來取得存取權。 Microsoft 與生態系統合作夥伴合作,以持續識別並回應可能易受攻擊的核心驅動程式。 在 Windows 11 版本 22H2 之前,作業系統會在啟用 HVCI 時強制執行封鎖原則,以防止易受攻擊的驅動程式版本執行。 從 Windows 11 版本 22H2 開始,預設會針對所有新的 Windows 裝置啟用封鎖原則,且使用者可以選擇加入以從 Windows 安全性應用程式強制執行該原則。 |
應用程式隔離
| 功能名稱 | 描述 |
|---|---|
| Microsoft Defender 應用程式防護 (Edge 獨立模式的 MDAG) | 獨立模式可讓 Windows 使用者使用硬體隔離的瀏覽工作階段,而不需要任何系統管理員或管理原則設定。 在此模式中,用戶必須從Edge功能表手動啟動Microsoft Edge 應用程式防護,以流覽不受信任的網站。 |
| Microsoft Defender 應用程式防護 (Edge 企業模式和企業管理的 MDAG) | Microsoft Defender 應用程式防護 使用 Microsoft Edge 瀏覽器瀏覽因特網時,保護使用者的桌面。 在企業模式中 應用程式防護 會自動將不受信任的網站導覽重新導向至與主機操作系統不同的匿名和隔離 Hyper-V 型容器中。 透過企業模式,您可以明確新增受信任的網域來定義公司界限,並可自定義 應用程式防護 體驗,以符合並強制執行您組織在 Windows 裝置上的需求。 |
| Microsoft Defender 應用程式防護 (MDAG) 公用 API | 讓使用它們的應用程式成為隔離的 Hyper-V 型容器,這與主機操作系統不同。 |
| Microsoft Defender 應用程式防護 (適用於 Microsoft Office 的 MDAG) | 應用程式防護 保護 Office 檔案,包括 Word、PowerPoint 和 Excel。 如果已啟用 應用程式防護 且受到保護,則應用程式圖示會有小型防護。 |
| Microsoft Defender 應用程式防護 (MDAG) 透過 MDM 設定 | 企業會使用 WindowsDefenderApplicationGuard 設定服務提供者 (CSP) ,在 Microsoft Defender 應用程式防護 中設定設定。 |
| 應用程式容器 | 通用 Windows 平台 (UWP) 應用程式會在稱為應用程式容器的 Windows 容器中執行。 在應用程式容器中執行的進程會以低完整性層級運作,這表示它們對於不擁有的資源具有有限的存取權。 因為大部分資源的預設完整性層級都是中等完整性層級,所以 UWP 應用程式只能存取檔案系統、登錄和其他資源的子集。 應用程式容器也會強制執行網路連線的限制;例如,不允許存取本機主機。 因此,惡意代碼或受感染的應用程式在逸出時的使用量有限。 |
| Windows 沙箱 | Windows 沙箱 提供輕量型桌面環境,以隔離安全地執行不受信任的 Win32 應用程式,並使用相同的硬體型 Hyper-V 虛擬化技術來隔離應用程式,而不必擔心持續影響您的電腦。 |