iT邦幫忙

2024 iThome 鐵人賽

0
佛心分享-微軟Windows 11 Pro

Windows 11 Journey系列 第 9

Day 09 Windows 11 Pro安全性

  • 分享至 

  • xImage
  •  

今天整理安全性相關的訊息:
硬體型安全性:可分成硬體根信任、晶片輔助安全性以及安全核心電腦
Windows Defender系統防護:透過啟用DRTM來保護開機,DRTM可以讓系統自由開機進入不受信任的程式代碼,但在啟動後,藉由控制所有CPU硬體保護的程式碼路徑以進入受信任的狀態
TPM:為系統硬體、平台擁有者和使用者提供金鑰產生、安全記憶體、加密、開機完整性測量和證明等功能
Microsoft擴充安全性處理器:由Microsoft與晶片合作夥伴合作所設計;由於其具有硬體信任根目錄,可以編譯密鑰和提供額外保護
虛擬化安全性(VBS):也稱為核心隔離;透過硬體虛擬化功能來裝載與操作與系統分隔的安全核心,意味著即使操作系統遭到入侵,安全核心仍會受到保護
啟用程式碼完整性的虛擬化型保護:也稱為記憶體完整性;透過在VBS的隔離虛擬環境中執行內核模式程式代碼完整性(KMCI),而不是在主要的Windows核心內執行,有助於防止嘗試修改核心模式程式代碼的攻擊
硬體強制堆疊保護:透過CET以防禦記憶體損毀和零時差惡意探索
安全核心電腦:
安全核心計算機:可防止惡意代碼攻擊,並藉由以硬體強制執行的信任根目錄啟動為乾淨且受信任的狀態
安全核心計算機設定鎖定:可防止使用者對安全性設定進行不必要的變更
核心DMA保護:可防止外部周邊裝置在未取得授權的情況下存取記憶體
作業系統安全性:可分成系統安全性、病毒與威脅防護、網路安全性以及加密與資料保護
系統安全性:
安全開機和受信任的開機:可防止裝置啟動時載入惡意程式碼和損毀的元件
測量開機:測量Windows開機期間所有重要的程式碼和組態設定,並儲存到電腦上的TPM,藉此可提供從遠端測試以驗證用戶端開機狀態的記錄檔
裝置健康情況證明服務:確認裝置、韌體和開機程式處於良好狀態,且未遭到竄改才能存取資源
Windows安全策略設定和稽核
受指派的存取權:可分成兩種不同的鎖定體驗;單一應用程式kiosk會在鎖定畫面上方以全螢幕執行單一通用Windows平台應用程式,另一個則是多應用程式kiosk會從桌面執行一或多個應用程式
病毒與威脅防護:
Microsoft Defender防毒軟體
本機安全性授權單位保護
受攻擊面縮小:有助於防止經常遭到濫用而危害裝置或網路的軟體行為
MDE的竄改防護設定
受控資料夾存取權
惡意探索保護
Microsoft Defender SmartScreen:可防範網路釣魚、惡意程式碼網站和應用程式以及下載可能有害的檔案
適用於端點的 Microsoft Defender:適用於企業端點偵測和回應解決方案,可協助安全性小組偵測、調查以及回應進階威脅
網路安全性
傳輸層安全性:透過讓每個連線平均少一次往返,且只支援五個強式加密套件,使得交握執行效率較高,可提供正向保密和較少的操作風險
DNS安全性:加密的DNS通訊協定,可確保DNS查詢不受路徑攻擊者的攻擊
藍牙配對和連線保護
WiFi 安全性:相較於WPA2和較舊的安全性通訊協定,最新版本的WPA3提供更安全且可靠的連線方法;Windows 支援WPA3-Personal、WPA3-Enterprise以及WPA-Enterprise(192位)
機會型無線加密:可讓無線裝置建立與公用Wi-Fi熱點的加密連線
Windows防火牆
VPN以及Always On VPN
直接存取:允許遠端使用者與組織網路資源連線,而不需要經過傳統VPN連線
SMB檔案服務:提供SMB資料的端對端加密以保護資料免於內部網路上的竊聽
SMB 直接傳輸:在使用支援標準RDMA網路介面卡時,可以最少的CPU使用量在裝置與儲存體之間進行直接記憶體對記憶體資料傳輸
加密與資料保護
BitLocker管理以及BitLocker啟用狀態
加密硬碟:透過將密碼編譯作業卸載至硬體,可提高BitLocker效能並減少CPU使用率與耗電量
個人資料加密:與BitLocker和Windows Hello企業版搭配運作可進一步保護使用者文件和其他檔案
電子郵件加密:可允許具有數位憑證的預定收件者讀取使用者所送出的加密電子郵件訊息以及附件
身分識別安全性

網路釣魚防護:
線上網路釣魚:引誘使用者洩漏個資或金融資訊的身分竊取方法
Microsoft Defender SmartScreen會在使用者於惡意網站輸入認證時發出警告,藉此防止認證遭竊

無密碼安全性
透過Windows Hello企業版,可讓使用者使用生物特徵辨識數據或PIN登入裝置
優點:
攻擊者必須同時擁有裝置和生物特徵辨識或PIN,在使用者不知情的情況下,很難取得存取權
由於未使用密碼,可規避網路釣魚和暴力密碼破解攻擊
另外認證是非對稱的且在TPM的隔離環境中產生,也可以防止伺服器缺口和重新執行攻擊

Windows Hello企業版結合裝置特定認證與生物特徵辨識或PIN手勢以進行雙因素驗證


上一篇
Day 08 Windows 11 Pro安全性 - 身分識別安全性
下一篇
Day 10 Windows 11 Pro與減碳
系列文
Windows 11 Journey29
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言