Microsoft прави някои големи подобрения в сигурността на Windows 11 с нови функции и хардуер, включително Smart App Control.
Microsoft обяви набор от подобрения в сигурността, които идват в Windows 11, за да премахнат притесненията от хибридната работа. Функциите са предназначени да помогнат на бизнеса и потребителите да бъдат по-уверени в софтуера, който използват, независимо дали това е самата операционна система или нейните приложения и това е особено важно във време, когато много потребители работят далеч от офис. Много от тези неща не са напълно нови, но или идват скоро, или са налични наскоро.
Microsoft Pluton
Процесорът за защита на Microsoft Pluton е нов хардуер, който е включен в нови устройства и се интегрира директно с процесора, както и с Windows 11. Всъщност това е единственият защитен процесор, който има фърмуер с възможност за актуализиране директно чрез Windows Update, което прави по-лесно е да добавяте нови функции и възможности без сложни ръчни актуализации в предприятието заобикаляща среда. Актуализациите могат да се управляват точно както всяка друга актуализация за Windows 11. Тази тясна интеграция също означава, че Microsoft Pluton е проектиран да работи добре с функции като BitLocker и Windows Hello в Windows 11. Фърмуерът за Pluton е разработен от същите хора от екипа на Windows, така че всичко работи в тандем.
Интеграцията с процесора също така защитава устройствата от физически атаки, така че това е широкообхватно решение за сигурност за бизнеса и опростява конфигурацията.
Целостта на кода, защитен от хипервайзор
Започвайки със следващата версия на Windows 11, Microsoft активира Hypervisor-Protected Code Integrity (HVCI) на повече устройства с Windows 11. Тази функция е предназначена да предпазва потребителите от уязвимости на драйвери, които са основен източник на атаки от зловреден софтуер. HVCI предотвратява зареждането на зловреден софтуер в пакетите с драйвери и проверява дали инсталираните драйвери са надеждни. Той използва данни от Центъра за докладване на уязвими и злонамерени драйвери на Microsoft, за да блокира автоматично драйвери, които са известен като уязвим, и предотвратява уязвими драйвери от ядрото на Windows, така че те никога нямат шанса да бъдат експлоатиран.
Smart App Control
Smart App Control, забелязан за първи път в Windows 11 build 22567, позволява на Windows автоматично да блокира стартирането на потенциално опасни приложения. Разбира се, до известна степен това вече съществува, но този път има нещо повече. SAC използва подписване на код и изкуствен интелект, за да предвиди потенциално злонамерено поведение от приложения, преди да реши дали тези приложения могат да работят. Той използва постоянно актуализиран модел за изводи, за да определи сигурността на приложенията, използвайки най-новите данни за заплахи, заедно със сертификати за кодове, за да гарантира, че приложенията са безопасни, преди да ги стартирате. По този начин потребителите не трябва да се тревожат за стартиране на потенциално опасни приложения без тяхно знание.
Smart App Control ще бъде наличен на нови устройства, които се доставят със следващата версия на Windows 11. Ако надстроите от текущата версия, ще трябва или да нулирате компютъра си, или чиста инсталация на Windows 11 използвайки ISO, за да го видите.
Сигурност на идентификационните данни и акаунта
Microsoft също прави някои подобрения в цялостната защита на акаунта в Windows 11. Първо, той включва откриването на фишинг директно в Windows 11 с функцията SmartScreen на Microsoft Defender. Microsoft казва, че е блокирал над 25,6 милиарда груби атаки на Aure Active Directory и е прихванал 35,7 милиарда фишинг имейли с Microsoft Defender за Office 365 - и това е само през последната година - и сега тази защита ще бъде достъпна в операционната система ниво.
Microsoft също така активира Credential Guard по подразбиране в Windows 11 Enterprise. Тази функция помага за защита на устройствата от кражба на идентификационни данни, като използва техники като предаване на хеш, плюс това може също така предотвратява достъпа на зловреден софтуер до системни тайни, дори ако неговият процес се изпълнява с администратор привилегии.
И накрая, Microsoft прави подобрения в Local Security Authority (LSA), за да се бори с атаки, които използват тази функция за кражба на потребителски идентификационни данни. По-конкретно, компанията прави така, че LSA да може да зарежда само доверен и подписан код, така че злонамерените програми да не могат да се промъкнат в процеса и да откраднат идентификационни данни, които преминават през LSA. Тази допълнителна защита ще бъде активирана по подразбиране в бъдеще за нови корпоративни устройства с Windows 11.
Криптиране на лични данни
Името на тази функция е доста ясно. По същество криптирането на лични данни ще гарантира, че потребителските данни са защитени чрез криптиране, което се премахва само ако съответният потребител е влязъл. Това е възможност на платформа, която приложенията и ИТ отделите могат да използват, за да гарантират, че данните са защитени в случай на кражба на устройство. Шифроването е свързано с Windows Hello for Business, така че потребителите трябва да влизат без парола идентификационни данни за достъп до данните, което затруднява кражбата на някой с физически достъп до устройството казаните данни.
Заключване на конфигурацията
И накрая, има Config Lock, което е функция, насочена повече към ИТ отделите в организацията и всъщност вече е налична. Според Microsoft често срещан проблем за бизнеса е, че те имат ограничен контрол върху устройство, след като то се използва от служител. С Config Lock ИТ администраторите могат да използват MDM политики, за да наблюдават ключовете в регистъра на всяко устройство и ако бъдат направени промени, Config Lock автоматично ги връща „за секунди“, като постоянно гарантира, че устройството се придържа към желаната сигурност политики.
Много от тези функции са насочени към бизнеса, както бихте очаквали, но те определено са важни. Тъй като хибридната работа се превръща в стандарт за много компании, тези стъпки са от съществено значение за задържането на потребителите и бизнесите са безопасни, особено като се има предвид, че кибератаките също се увеличиха през последните няколко години.
Microsoft също обяви нови функции на Windows 11 включително File Explorer с раздели днес. Също така има нови функции за Windows 365, включително офлайн режим.