Windows 作業系統安全性
安全性與隱私權取決於作業系統,從系統啟動起便保護系統與資訊,提供基本的晶片到雲端保護。 Windows 11 是目前最安全的 Windows,其具有專為保護您的安全設計的廣泛安全性措施。 這些措施包括內建進階加密和資料保護、強大的網路和系統安全性,以及針對不斷演進威脅的智慧型保護。
觀看展示一些最新 Windows 11 安全性技術的最新 Microsoft Mechanics Windows 11 安全性影片。
使用下列各節中的連結,深入了解 Windows 中的作業系統安全性特性和功能。
系統安全性
| 功能名稱 | 描述 |
|---|---|
| 安全開機和受信任的開機 | 安全開機和受信任開機可協助防止惡意程式碼和損毀的元件在裝置啟動時載入。 安全開機會從初始開機保護開始,然後受信任開機會接管該程序。 安全開機和受信任開機可共同協助確保系統安全地開機。 |
| 測量開機 | 測量開機會測量 Windows 開機期間所有重要的程式碼和組態設定。 這包括:韌體、開機管理程式、Hypervisor、核心、安全核心和作業系統。 測量開機會將 TPM 中的度量儲存在電腦上,並將其放在記錄中,供從遠端測試使用,以驗證用戶端的開機狀態。 「測量開機」功能為反惡意代碼軟體提供受信任的 (,可抵禦在開機前啟動的所有開機組件) 詐騙和竄改記錄。 反惡意代碼軟體可以使用記錄檔來判斷在它之前執行的元件是否值得信任,或是否受到惡意代碼感染。 本機電腦上的反惡意程式碼軟體可以將記錄檔傳送至遠端伺服器進行評估。 遠端伺服器可能會透過與用戶端上的軟體互動,或透過頻外機制 (如適當) 來起始補救動作。 |
| 裝置健康情況證明服務 | Windows 裝置健康情況證明程序支援零信任範例,將焦點從靜態、以網路為基礎的周邊轉移到使用者、資產和資源。 證明程式會確認裝置、韌體和開機程式處於良好狀態,而且尚未遭到竄改,才能存取公司資源。 判斷是使用儲存在 TPM 的資料所決定,其提供安全的根信任。 資訊會傳送到證明服務 (例如 Azure 證明) 以驗證裝置是否處於受信任狀態。 然後,Microsoft Intune 等 MDM 工具會檢閱裝置健康情況,並將此資訊與條件式存取 Microsoft Entra ID 連線。 |
| Windows 安全策略設定和稽核 | Microsoft 提供一組強大的安全性設定原則,IT 系統管理員可以用來保護其組織中的 Windows 裝置和其他資源。 |
| 受指派的存取權 | 企業中的某些桌面裝置具有特殊用途。 例如,大廳中的電腦,客戶會使用該電腦來查看您的產品目錄。 或者,將視覺內容顯示為數位記號的電腦。 Windows 用戶端提供兩種不同的鎖定體驗供公開或特殊用途:單一應用程式 kiosk,其會在鎖定畫面上方以全螢幕執行單一通用 Windows 平台 (UWP) 應用程式,或多應用程式 kiosk,其會從桌面執行一或多個應用程式。 Kiosk 設定是以指派的存取權為基礎,這是 Windows 中的一項功能,可讓系統管理員透過限制向使用者公開的應用程式進入點,來管理使用者的體驗。 |
病毒與威脅防護
| 功能名稱 | 描述 |
|---|---|
| Microsoft Defender 防毒軟體 | Microsoft Defender 防毒軟體是包含在所有 Windows 版本中的保護解決方案。 從您將 Windows 開機的那一刻起,Microsoft Defender 防毒軟體即會持續監視惡意程式碼、病毒和安全性威脅。 更新會自動下載來協助保持您的裝置安全,並保護其免受威脅。 Microsoft Defender 防毒軟體包含即時、以行為為基礎和啟發式防毒軟體保護。 結合永遠開啟的內容掃描、檔案和程序行為監視,以及其他啟發式方法,可有效地防止安全性威脅。 Microsoft Defender 防病毒軟體會持續掃描惡意代碼和威脅,也會偵測並封鎖可能不想要的應用程式 (PUA) 這些應用程式會被視為對您的裝置造成負面影響,但不會被視為惡意代碼。 |
| 本機安全性授權單位 (LSA) 保護 | Windows 有幾個重要的程序可以驗證使用者的身分識別。 驗證程序包括本機安全性授權單位 (LSA),其負責驗證使用者和驗證 Windows 登入。 LSA 會處理權杖和認證,例如用於單一登入 Microsoft 帳戶和 Azure 服務的密碼。 為了協助保護這些認證,額外的 LSA 保護只允許載入受信任、已簽署的程式碼,並提供防範認證竊取的顯著保護。 在加入企業的新 Windows 11 裝置上,預設會啟用 LSA 保護,並透過 MDM 和群組原則新增對非 UEFI 鎖定和原則管理控制項的支援。 |
| 受攻擊面縮小 (ASR) | 受攻擊面縮小 (ASR) 規則有助於防止經常遭到濫用以危害您的裝置或網路的軟體行為。 透過減少受攻擊面的數量,可以減少組織的整體弱點。 系統管理員可以設定特定的 ASR 規則,以協助封鎖特定行為,例如啟動嘗試下載或執行檔案的可執行檔和指令碼、執行模糊化指令碼或其他可疑的指令碼、執行應用程式通常不會在一般日常工作期間啟動的行為。 |
| MDE 的竄改防護設定 | 竄改防護是適用於端點的 Microsoft Defender 中的一項功能,可協助保護特定安全性設定,例如病毒和威脅防護,避免遭到停用或變更。 在某些類型的網路攻擊期間,不良人士會嘗試停用裝置上的安全性功能。 停用安全性功能會使得不良人士更容易存取您的資料、安裝惡意程式碼,並可惡意探索您的資料、身分識別與裝置。 竄改防護可協助防範這些類型的活動。 |
| 受控資料夾存取權 | 您可以管理特定資料夾的應用程式存取權,以保護您在特定資料夾中的寶貴資訊。 只有受信任的應用程式可以存取受保護的資料夾,這是在已設定受控制資料夾存取權時指定。 常用的資料夾,例如用於文件、圖片、下載的資料夾,通常會包含在受控資料夾的清單中。 受控資料夾存取權可運用在受信任的應用程式清單。 包含在受信任軟體清單中的應用程式可如預期運作。 受信任清單中未包含的應用程式無法對受保護資料夾內的檔案進行任何變更。 受控資料夾存取權可協助保護使用者的重要資料,免於遭受惡意應用程式和威脅的攻擊,例如勒索軟體。 |
| 惡意探索保護 | 惡意探索防護會自動將數個惡意探索緩解技術套用至作業系統處理程序和應用程式。 惡意探索防護與適用於端點的 Microsoft Defender 配合使用時效果最佳,其能為組織提供惡意探索防護事件和封鎖的詳細報告,做為一般警示調查案例的一部分。 您可以在個別裝置上啟用惡意探索防護,然後使用 MDM 或群組原則將設定檔案散發至多個裝置。 在裝置上遇到風險降低措施時,將會從 [控制中心] 顯示通知。 您可以使用您公司的詳細資料和連絡資訊來自訂通知。 您也可以啟用個別規則來自訂功能要監控的技術。 |
| Microsoft Defender SmartScreen | Microsoft Defender SmartScreen 可防範網路釣魚、惡意程式碼網站和應用程式,以及可能有害的檔案下載。 為了加強網路釣魚保護,SmartScreen 也會在使用者將認證輸入到有潛在風險的位置時發出警示。 IT 可以自訂透過 MDM 或群組原則顯示的通知。 保護預設會在稽核模式中執行,讓 IT 系統管理員完全控制,以進行原則建立和強制執行的相關決策。 |
| 適用於端點的 Microsoft Defender | 適用於端點的 Microsoft Defender 是一種企業端點偵測和回應解決方案,可協助安全性小組偵測、調查及回應進階威脅。 組織可以使用適用於端點的 Defender 提供的豐富事件資料和攻擊深入解析來調查事件。 適用於端點的 Defender 將下列元素結合,以提供安全性事件更完整的樣貌:端點行為感應器、雲端安全性分析、威脅情報和豐富的回應功能。 |
網路安全性
| 功能名稱 | 描述 |
|---|---|
| TLS) (傳輸層安全性 | 傳輸層安全性 (TLS) 是一種密碼編譯通訊協定,旨在提供透過網路的通訊安全性。 TLS 1.3 是最新版本的通訊協定,在 Windows 11 中預設為啟用。 此版本會消除過時的密碼編譯演算法、較舊版更增強的安全性,並盡可能加密大部分 TLS 交握。 透過讓每個連線平均少一次往返,而且只支援五個強式加密套件,讓交握的執行效率較高,可提供完美的正向保密和較少的操作風險。 |
| 功能變數名稱系統 (DNS) 安全性 | 從 Windows 11 開始,Windows DNS 用戶端支援透過 HTTPS (DoH) 的 DNS,也就是加密的 DNS 通訊協定。 這可讓系統管理員確保其裝置可保護 DNS 查詢不受路徑攻擊者的攻擊,無論是被動觀察者記錄瀏覽行為或主動攻擊者嘗試將用戶端重新導向至惡意網站。 在網路界限中沒有信任的零信任模型中,需要有信任名稱解析程式的安全連線。 |
| 藍牙配對和連線保護 | 連接到 Windows 的藍牙裝置數目持續增加。 Windows 支援所有標準藍牙配對通訊協定,包括傳統和 LE 安全連線、安全簡單配對,以及 LE 傳統配對。 Windows 也會實作主機型 LE 隱私權。 Windows 更新可協助使用者根據藍牙特殊興趣群組 (SIG) 、標準弱點報告,以及藍牙核心產業標準所需的問題,隨時掌握 OS 和驅動程式安全性功能。 Microsoft 強烈建議使用者確保他們的藍牙配件的韌體和/或軟體保持最新。 |
| WiFi 安全性 | Wi-Fi 受保護的存取 (WPA) 是設計來保護無線網路的安全性認證計畫。 WPA3 是最新版本的認證,且相較於 WPA2 和較舊的安全性通訊協定,可提供更安全且可靠的連線方法。 Windows 支援三種 WPA3 模式:具有 Hash-to-Element (H2E) 通訊協定的 WPA3 個人、WPA3 企業和 WPA3 企業 192 位元套件 B。 Windows 11 也支援 WFA 定義的 WPA3 企業,其包含增強的伺服器憑證驗證,以及使用 EAP-TLS 驗證進行驗證的 TLS 1.3。 |
| 機會型無線加密 (OWE) | 機會型無線加密 (OWE) 是一種技術,可讓無線裝置建立與公用 Wi-Fi 熱點的加密連線。 |
| Windows 防火牆 | Windows 防火牆提供主機型雙向網路流量篩選,根據裝置所連線的網路類型,封鎖流入或流出本機裝置的未經授權流量。 Windows 防火牆會使用規則透過許多內容 (例如 IP 位址、連接埠或程式路徑) 來限制或允許流量,以減少裝置的受攻擊面。 減少裝置的受攻擊面會增加管理性,並降低成功攻擊的可能性。 Windows 防火牆與網際網路通訊協定安全性 (IPsec) 整合後,可提供簡單的方式來強制執行經驗證的端對端網路通訊。 它提供可縮放、分層式存取受信任的網路資源,協助強制執行資料的完整性,並選擇性地協助保護資料的機密性。 Windows 防火牆是操作系統隨附的主機型防火牆,不需要額外的硬體或軟體。 Windows 防火牆的設計也是要透過已記載的應用程式開發介面 (API) 來補充現有的非 Microsoft 網路安全性解決方案。 |
| 虛擬專用網 (VPN) | Windows VPN 用戶端平台包含內建的 VPN 通訊協定、設定支援、一般 VPN 使用者介面,以及自訂 VPN 通訊協定的程式設計支援。 VPN 應用程式可在 Microsoft Store 中供企業與消費者 VPN 取得,包括最熱門的企業 VPN 閘道的應用程式。 在 Windows 11 中,最常用的 VPN 控制項會直接整合到 [快速控制項目] 窗格中。 使用者可以從 [快速控制項目] 窗格查看其 VPN 的狀態、開始和停止 VPN 通道,以及存取 [設定] 應用程式以取得更多控制項。 |
| Always On VPN (裝置通道) | 透過 Always On VPN,您可以為裝置建立專用的 VPN 配置檔。 不同於使用者通道,它只會在使用者登入裝置之後連線,裝置通道可讓 VPN 在使用者登入之前建立連線能力。 裝置通道和使用者通道都會使用其 VPN 配置文件獨立運作、可以同時連線,而且可以適當地使用不同的驗證方法和其他 VPN 組態設定。 |
| 直接存取 | DirectAccess 可讓遠端使用者與組織網路資源連線,而不需要傳統的虛擬私人網路 (VPN) 連線。 使用 DirectAccess 連線時,遠端裝置一律會連線到組織,而且不需要遠端使用者開始和停止連線。 |
| 伺服器訊息區 (SMB) 檔案服務 | SMB 加密提供 SMB 資料的端對端加密,並可保護資料免於內部網路上的竊聽。 在 Windows 11 中,SMB 通訊協定有重大的安全性更新,包括 AES-256 位加密、加速 SMB 簽署、遠端目錄記憶體存取 (RDMA) 網路加密,以及未受信任的網路的 SMB over QUIC。 Windows 11 引進適用 SMB 3.1.1 加密的 AES-256-GCM 和 AES-256-CCM 密碼編譯套件。 Windows 系統管理員可以強制使用更進階的安全性,或繼續使用更相容且仍安全的 AES-128 加密。 |
| 伺服器訊息區直接傳輸 (SMB 直接傳輸) | SMB 直接傳輸 (透過遠端直接記憶體存取的 SMB) 是一種儲存體通訊協定,可在使用支援標準 RDMA 的網路介面卡時,以最少的 CPU 使用量,在裝置與儲存體之間進行直接記憶體對記憶體資料傳輸。 SMB 直接傳輸支援加密,而現在您可以使用與傳統 TCP 相同的安全性以及 RDMA 的效能來作業。 過去,啟用 SMB 加密會停用直接資料放置,使得 RDMA 與 TCP 一樣緩慢。 現在,資料在放置之前已加密,導致在新增 AES-128 和 AES-256 保護的封包隱私權時,造成相對次要的效能降低。 |
加密與資料保護
| 功能名稱 | 描述 |
|---|---|
| BitLocker 管理 | BitLocker CSP 可讓 MDM 解決方案 (例如 Microsoft Intune) 管理 Windows 裝置上的 BitLocker 加密功能。 這包括操作系統磁碟區、固定磁碟驅動器和可移除的記憶體,以及 Microsoft Entra ID的修復密鑰管理。 |
| BitLocker 啟用狀態 | BitLocker 磁碟機加密是一項資料保護功能,可與作業系統整合,以及處理資料竊取或因遺失、遭竊或不當解除委任電腦而導致資料公開的威脅。 BitLocker 使用 XTS 中的 AES 演算法或作業的 CBC 模式,使用 128 位元或 256 位元金鑰長度來加密該磁碟區上的資料。 Microsoft OneDrive 或 Azure 上的雲端儲存空間可用來儲存修復金鑰內容。 BitLocker 可以使用設定服務提供者 (CSP) 由任何 MDM 解決方案 (例如 Microsoft Intune) 管理。 BitLocker 運用硬體安全性測試介面 (HSTI)、新式待命、UEFI 安全開機和 TPM 等技術,為作業系統、固定資料和卸除式資料磁碟機提供加密。 |
| 加密硬碟 | 加密硬碟是一種硬碟類別,可以在硬體層級自我加密並允許完整磁碟硬體加密,同時對裝置使用者而言是透明的。 這些磁碟機結合了 BitLocker 磁碟機加密所提供的安全性和管理優點與自我加密磁碟區的功能。 透過將密碼編譯作業卸載至硬體,加密硬碟會提高 BitLocker 效能並減少 CPU 使用率與耗電量。 由於加密硬碟會快速加密資料,因此 BitLocker 部署可以跨企業裝置擴充,對生產力的影響很少或沒有影響。 |
| 個人資料加密 (PDE) | 個人資料加密 (PDE) 可與 BitLocker 和 Windows Hello 企業版搭配運作,進一步保護使用者文件和其他檔案,包括裝置開啟和鎖定時。 檔案會自動且順暢地加密,為使用者提供更多安全性,而不會中斷其工作流程。 Windows Hello 企業版 用來保護容器,容器會存放 PDE 所使用的加密金鑰。 當使用者登入時,容器會經過驗證,以將容器中的金鑰釋出來解密使用者內容。 |
| 電子郵件加密 (S/MIME) | 電子郵件加密可讓使用者加密傳出的電子郵件訊息和附件,使得只有具有數位識別碼 (憑證) 的預定收件者才能讀取它們。 使用者可以數字簽署訊息,以驗證寄件者身分識別,並確認訊息未遭竄改。 如果使用者擁有適當的加密憑證,則加密的郵件可以由使用者傳送給其組織內的其他使用者或外部連絡人。 |