Napredni vodič za sigurnost za Windows 11 Pro

Ako svakodnevno koristite Windows 11 Pro, vaš računar je mnogo više od radnog alata: to je središte u kojem se sve okreće. vaše podatke, akreditive, kritične dokumente i pristup mreži vaše kompanijeU okruženju u kojem sajber kriminalci poboljšavaju svoje taktike istom brzinom kao i vještačka inteligencija, prepuštanje sigurnosti slučaju više nije opcija.

Windows 11 Pro je nastao s fokusom na sigurnost po dizajnu i sigurnost omogućena po zadanim postavkamaKoristeći moderni hardver, Microsoftov oblak i slojeve zaštite, od čipa do online usluga, ovaj napredni vodič objedinjuje i praktično reorganizira sve što platforma nudi (BitLocker, Credential Guard, SmartScreen, VBS, Intune, Entra ID, Defender for Endpoint i još mnogo toga) kako biste mogli maksimalno ojačati svoje okruženje bez žrtvovanja upotrebljivosti ili performansi.

Sigurnost po dizajnu u Windowsu 11 Pro: osnova, hardver i cloud čip

Microsoft se u Windowsu 11 Pro odlučio za model u kojem Sigurnost nije samo još jedna funkcija, već temelj sistemaInicijativa za sigurnu budućnost (SFI) mobilizira desetine hiljada inženjera usmjerenih na jačanje sigurnosti, privatnosti, arhitekture i tehničkih kontrola, oslanjajući se na milijarde dnevnih telemetrijskih signala za otkrivanje obrazaca napada, prevara i zlonamjernih aktivnosti.

Ovaj pristup znači da Windows 11 Pro zahtijeva i koristi prednosti modernog hardvera: TPM 2.0, UEFI sa Secure Boot-om, podrška za virtualizaciju i procesori sa sigurnosnim proširenjimaNa toj osnovi, funkcije kao što su sigurnost zasnovana na virtualizaciji (VBS), integritet koda zaštićen hipervizorom (HVCI), DMA zaštita i računari sa osiguranim jezgrom izgrađeni su za najkritičnije scenarije.

Mnogi novi uređaji također integriraju sigurnosni procesor Microsoft Pluton direktno na CPU-uOvo smanjuje površinu napada između sigurnosnog čipa i procesora, pohranjuje ključeve i tajne izolovano i prima ažuriranja firmvera putem Windows Update-a. Ovo jača hardverski korijen povjerenja i omogućava buduće sigurnosne mogućnosti bez potrebe za nadogradnjom hardvera.

Vizija „od čipa do oblaka“ podrazumijeva da Windows 11 Pro ne ostaje na krajnjoj tačkiIntegrira se sa servisima kao što su Windows 365, Microsoft Defender for Endpoint, Microsoft Entra ID i Microsoft Intune kako bi se provjerilo stanje uređaja, primijenio uvjetni pristup, otkrile napredne prijetnje i automatski odgovorilo na incidente.

U organizacijama sa vrlo strogim zahtjevima, zaštićena osnovna oprema kombinuje UEFI Secure Boot, DRTM (Dynamic Root of Trust for Metering), izolaciju režima upravljanja sistemom i DMA zaštitu, zajedno sa VBS i HVCI omogućenim prema zadanim postavkama. minimiziranje mogućnosti bootkitova, rootkitova i napada na firmver..

Pouzdano pokretanje, integritet sistema i kriptografija

Proces pokretanja u Windowsu 11 Pro je dizajniran tako da svaka faza provjerava prethodnu. UEFI Secure Boot provjerava potpise firmvera, boot loadera i komponente predoperativnog sistemaZatim, Trusted Boot provjerava kernel, kritične upravljačke programe i bilo koji Early Startup Antimalware (ELAM). Ako je išta izmijenjeno, proces pokretanja se blokira i, gdje je to moguće, automatski popravlja.

U isto vrijeme, Izmjereni heševi zapisnika pokretanja i događaji procesa pokretanja u TPM-uOvi zapisi se koriste u udaljenoj atestaciji (na primjer, s Azure atestacijom) tako da rješenja poput Intune i Entra ID mogu utvrditi je li računar u pouzdanom stanju prije nego što odobre pristup osjetljivim resursima pomoću uvjetnog pristupa.

Kriptografski stek za Windows 11 Pro certificiran je prema FIPS 140 standardu, nudeći module koji pružaju Sigurni RNG-ovi, AES (uključujući XTS za diskove), RSA, ECC, potpisi, SHA-2 heš i izvođenje ključaPutem CNG-a, Bcrypt-a, NCrypt-a i DPAPI-ja, i sistem i aplikacije mogu upravljati ključevima i šifrirati podatke na standardiziran i hardverski ubrzan način gdje je to moguće.

Infrastruktura certifikata oslanja se na Microsoftov program Trusted Root, sa ažurirane liste i opozvani korijenski i međucertifikatiCertmgr.exe i MMC snap-in vam omogućavaju upravljanje certifikatima, CTL-ovima i CRL-ovima, a u poslovnim okruženjima, upis i obnavljanje mogu se automatizirati pomoću Active Directoryja i Intunea.

Sav softver koji se izvršava na sistemu (firmver, drajveri, Windows binarne datoteke i mnoge aplikacije) je validiran putem potpisi kodaIntegritet koda sprečava učitavanje drajvera kernela koji nisu potpisani ili odobreni od strane Programa za kompatibilnost hardvera sistema Windows, a u novijim verzijama je ojačan često ažuriranim listama blokova ranjivih drajvera.

Šifriranje i zaštita podataka: BitLocker, šifrirani diskovi i lični podaci

Windows 11 Pro integriše nekoliko slojeva zaštite podataka. Najpoznatiji je BitLocker, koji šifrira volumene pomoću AES-a u XTS ili CBC načinima rada sa 128 ili 256-bitnim ključevima. Može se primijeniti na sistemski disk, fiksne diskove s podacima i prenosive diskove (BitLocker To Go), štiteći od krađe ili gubitka opreme.

U standardnoj konfiguraciji, BitLocker se oslanja na TPM 2.0, UEFI Secure Boot, HSTI i druge provjere integritetaKljučevi za oporavak mogu se pohraniti u lične Microsoft račune, Azure AD/Microsoft Entra ID-ove ili sisteme upravljanja poput Intune-a. Verzija 24H2 poboljšava ekran za oporavak prije pokretanja prikazivanjem savjeta o računu na kojem je ključ sačuvan.

„Šifriranje uređaja“ nudi automatiziranije iskustvo za kompatibilne uređaje, omogućavanje BitLockera praktično bez intervencije korisnika i automatsko šifriranje sistemskog diska i fiksnih diskova nakon što se OOBE završi. 24H2 uklanja preduvjete kao što su DMA i Modern Standby, proširujući broj uređaja koji mogu automatski omogućiti ovo šifriranje.

Za okruženja gdje su performanse prioritet, Windows 11 Pro može iskoristiti prednosti hardverski šifrirani tvrdi diskovi (SED)U ovim diskovima, sam kontroler diska transparentno vrši potpuno šifriranje, s ključevima koji nikada ne napuštaju disk. BitLocker se integrira s ovim mogućnostima, rasterećujući CPU i smanjujući utjecaj na performanse.

Pored šifriranja na nivou diska, Windows 11 uključuje Šifriranje ličnih podatakaDizajnirano za zaštitu sadržaja za korisnike autentificirane pomoću Windows Hello for Business. Ključevi se sigurno pohranjuju u Hello kontejneru i otključavaju se nakon PIN-a ili biometrijske autentifikacije, što omogućava šifriranje na nivou datoteke ili mape, uključujući mape kao što su Dokumenti, Slike i Radna površina u novijim verzijama.

U području e-pošte, Windows 11 i nova aplikacija Outlook podržavaju šifriranje pomoću Šifriranje poruka putem Microsoft Purviewa, S/MIME-a i IRM-aomogućavajući samo primaocima s odgovarajućim certifikatima da čitaju poruke. Digitalni potpisi su također podržani kako bi se garantirao integritet i autentičnost e-poruka.

Sigurnost mreže: SmartScreen, zaštita mreže, TLS, šifrirani DNS, Wi-Fi i VPN

Navigacija i komunikacije su jedni od preferiranih vektora napada. Microsoft Defender SmartScreen Analizira posjećene web stranice u potrazi za sumnjivim ponašanjem i upoređuje ih s dinamičkim listama phishing i zlonamjernih stranica. Ako otkrije nešto opasno, prikazuje istaknuta upozorenja prije nego što odobri pristup.

SmartScreen također prati preuzete datoteke i instalacijski programiSistem upoređuje ove datoteke sa katalozima poznatog zlonamjernog softvera i listama reputacije. Kada je izvršna datoteka opasna i nema dovoljnu reputaciju, sistem upozorava korisnika jasnim porukama kako bi mogao odlučiti hoće li je pokrenuti ili ne.

Sa poboljšanom zaštitom od phishinga, SmartScreen ide korak dalje i Detektira kada korisnik unese svoje Microsoft vjerodajnice na nepouzdanim aplikacijama ili web stranicamaOvo vas odmah upozorava kako bi se spriječila krađa lozinke u phishing napadima. Organizacije mogu konfigurirati ova obavještenja unutar Intunea.

Osim preglednika, Zaštita mreže proširuje ovu zaštitu na druge preglednike i proceseIntegriran s Defenderom za krajnje točke, omogućava vam definiranje indikatora kompromitiranja kako biste blokirali određene IP adrese i URL-ove, povezali se s Defenderom za aplikacije u oblaku kako biste zabranili neovlaštene aplikacije i primijenili filtriranje web sadržaja po kategorijama.

Što se tiče šifriranja prometa, Windows 11 Pro ga podrazumijevano omogućava. TLS 1.3, s podrškom za moderne šifre i uklanjanjem zastarjelih algoritamaAko bilo koji dio komunikacije ne podržava TLS 1.3, vraća se na TLS 1.2, a za komunikacije zasnovane na UDP-u koristi se DTLS 1.2. Ova konfiguracija smanjuje latenciju i poboljšava povjerljivost.

DNS klijent može koristiti DNS preko HTTPS-a (DoH) i DNS preko TLS-a (DoT)Ovo osigurava da su upiti imena šifrirani od posmatrača duž puta. Koristeći grupne politike i CSP, administratori mogu nametnuti upotrebu šifriranog DNS-a samo s pouzdanim resolverima ili ga onemogućiti u okruženjima koja se oslanjaju na inspekciju DNS-a u običnom tekstu.

U bežičnim mrežama, Windows 11 Pro podržava WPA3 u svojim Personal, Enterprise i Enterprise 192-bitnim režimima, zajedno sa OWE za šifrirane otvorene mrežeU mobilnim okruženjima, podrška za 5G i eSIM nudi međusobno autentificirane veze s akreditivima pohranjenim u sigurnim modulima, što komplicira napade presretanja.

Windows VPN platforma olakšava korištenje ugrađeni protokoli kao što su IKEv2 ili SSTP kao što je instaliranje UWP klijenata trećih strana iz Microsoft Store-a. Integrira se s Microsoft Entra ID-om, uvjetnim pristupom i višefaktorskom autentifikacijom, te omogućava podijeljene ili ekskluzivne profile tunela, automatsku aktivaciju na temelju mreža, aplikacija ili odredišta i centralizirano upravljanje putem Intunea.

Odbrana od zlonamjernog softvera: Microsoft Defender, smanjenje površine napada i zaštita sistema

Windows 11 Pro uključuje Microsoft Defender Antivirus kao zaštitni mehanizam sljedeće generacijeAktivan je prema zadanim postavkama, osim ako nije instaliran drugi antivirus. Kombinuje analizu u stvarnom vremenu, heuristiku, detekciju na osnovu ponašanja i zaštitu u oblaku s umjetnom inteligencijom i mašinskim učenjem kako bi identificirao nove prijetnje u sekundama.

Ovu zaštitu dopunjuje i zaštita od neovlaštenih promjenaOvo sprečava zlonamjerni softver ili druge korisnike da onemoguće zaštitu u realnom vremenu, praćenje ponašanja, zaštitu u oblaku ili da izbrišu ažuriranja potpisa i modificiraju izuzeća. Sve ovo izuzetno otežava ransomware-u da onemoguće odbranu prije šifriranja podataka.

u Pravila smanjenja površine napada (ASR) Omogućavaju blokiranje tipičnih ponašanja napada: obfusiranih skripti, makroa koji pozivaju Win32 API, izvršnih datoteka koje preuzimaju druge binarne datoteke itd. Ova pravila su posebno korisna za usporavanje početnih akcija nakon iskorištavanja ranjivosti u Officeu, preglednicima ili aplikacijama.

El kontrolirani pristup folderima Štiti kritične direktorije kao što su Dokumenti, Slike i Preuzimanja, dozvoljavajući samo pouzdanim aplikacijama da mijenjaju njihov sadržaj. To je direktna protumjera protiv ransomwarea, jer blokira pisanje u ove direktorije od strane nepoznatih ili sumnjivih procesa.

Funkcionalnost Zaštita od ranjivosti Primjenjuje ublažavanja na sistemske procese i aplikacije, kao što su poboljšani DEP, ASLR, stroga validacija steka itd. Može se konfigurirati putem politika, pilotirati u režimu revizije i distribuirati na više računara putem Intune-a ili GPO-a, s detaljnim izvještavanjem kada se kombinuje sa Defender for Endpoint.

Kontrola aplikacija, izolacija i sigurno izvršavanje

Aplikacije su problem koji se ponavlja kao vektor napada. Windows 11 Pro uključuje nekoliko slojeva kako bi se osiguralo da Izvršava se samo pouzdani kod. A ako nešto bude kompromitirano, utjecaj je minimiziran. Smart App Control blokira nepotpisane ili nereferirane aplikacije, nepoznate skripte i makroe, koristeći AI modele i upravljanje reputacijom u oblaku.

U upravljanim okruženjima, Kontrola aplikacija za poslovanje (evolucija starog Windows Defender Application Control-a) i AppLocker pružaju mnogo detaljniju kontrolu nad tim koje su binarne datoteke, skripte, upravljački programi ili MSIX paketi dozvoljeni. Intune pojednostavljuje kreiranje, implementaciju i održavanje ovih politika, uključujući automatsko prepoznavanje upravljanih instalatora.

Da bi dodatno ojačao jezgro, Windows održava lista blokiranih ranjivih drajvera Ovo sprečava učitavanje verzija drajvera za koje se zna da omogućavaju eskalaciju privilegija ili zaobilaženje sigurnosti. Ovo dopunjuje zahtjev za potpisom, sprečavajući iskorištavanje grešaka u legitimnim, ali zastarjelim drajverima.

Izolacija Win32 aplikacija oslanja se na AppContainere i manifeste mogućnosti, stvarajući procese niskog integriteta s ograničenim pristupom resursima i API-jima. Alati kao što su Profiler mogućnosti aplikacije (ACP) Omogućavaju da se aplikacija pokreće u "režimu učenja" kako bi se identificirale potrebne mogućnosti prije prisilne izolacije.

Za testiranje nepouzdanog softvera ili analizu sumnjivih datoteka, Windows Sandbox Nudi lagano desktop okruženje zasnovano na istoj Hyper-V virtualizaciji. Sve instalirano unutar sandboxa nestaje kada se zatvori, ne ostavljajući traga na host sistemu.

Nadalje, UWP aplikacije i mnoge moderne komponente rade u kontejnerima aplikacija koji ograničavaju pristup datotečnom sistemu, registru i mreži, što otežava kompromitovanju aplikacije da rezultira potpunom kontrolom nad uređajem.

Zaštita identiteta: Windows Hello, lozinke, Credential Guard i tokeni

U većini trenutnih napada, glavna meta više nije oprema, već identitet korisnikaWindows 11 Pro jača ovaj front sa Windows Hello i Windows Hello for business, koji zamjenjuju tradicionalnu lozinku PIN-baziranom ili biometrijskom (licem ili otiskom prsta) autentifikacijom koju podržava TPM i kompatibilna je sa FIDO2/WebAuthn standardima.

PIN za Windows Hello je povezan s uređajem i nikada ne napušta računar; kada se korisnik autentifikuje, asimetrični ključevi pohranjeni u TPM-u se otključavaju i koriste za potpisivanje izazova za autentifikaciju. Čak i ako napadač ukrade PIN, bez uređaja ne može ništa učiniti s njim.U 24/2, čak i na uređajima bez biometrije, Hello akreditivi su izolovani pomoću VBS-a kako bi se oduprli napadima na administratorskom nivou.

u pristupni ključevi Oni predstavljaju sljedeći korak: jedinstvene kriptografske tajne, pohranjene na uređajima (računarima, mobilnim telefonima, FIDO2 ključevima) koje omogućavaju prijave otporne na phishing na kompatibilne usluge, bez potrebe za korisničkim imenom i lozinkom. Windows 11 Pro vam omogućava da kreirate i upravljate lozinkama iz postavki računa, koristeći Hello, vanjske ključeve ili čak vaš mobilni uređaj.

U korporativnim okruženjima, Windows Zdravo za posao Hello se integrira s Active Directoryjem i Microsoft Entra ID-om, pružajući SSO lokalnim i cloud resursima. Može se osigurati korištenjem privremenih pristupnih ključeva, postojeće višefaktorske autentifikacije ili lozinki, te podržava hibridne modele (Kerberos u oblaku) koji znatno pojednostavljuju mješovita implementacije.

Credential Guard koristi VBS za izolirati tajne Active Directoryja i izvedene vjerodajnice u odvojenom LSA procesu nedostupnom ostatku sistema. Ovo uveliko ometa napade tipa "credential dump", "pass-the-hash" ili "pass-the-ticket". Remote Credential Guard primjenjuje isti pristup na sesije udaljene radne površine, sprječavajući slanje akreditiva ciljnom računaru.

La dodatna LSA zaštita Osigurava da se samo potpisan i pouzdan kod prenosi lokalnom sigurnosnom autoritetu, smanjujući mogućnost ubrizgavanja koda. Omogućen je prema zadanim postavkama u Windowsu 11, a u 24H2 je proširen na više scenarija, uvijek poštujući utvrđene korporativne politike.

Zaštita tokena, sa svoje strane, pokušava kriptografski povezati Entra ID pristupne tokene s određenim uređajemDakle, čak i ako je token ukraden, njegova ponovna upotreba na drugom uređaju može biti blokirana politikama uvjetnog pristupa koje zahtijevaju dokaz vlasništva nad uređajem.

Zaštitni zid, kontrola pristupa, politike i osnovne sigurnosne linije

El Windows zaštitni zid To je ključna komponenta modela dubinske odbrane. Nudi dvosmjerno filtriranje po programu, portu, IP adresi, mrežnom profilu i još mnogo čemu, te se integrira s IPsecom kako bi uspostavio autentificiranu i, opcionalno, end-to-end šifriranu komunikaciju. U Windowsu 11, njegovo ponašanje i evidentiranje su poboljšani kako bi se olakšala revizija i rješavanje problema.

Pružatelj usluga konfiguracije zaštitnog zida (CSP) omogućava Intune i druga MDM rješenja atomski primijeniti skupove pravilaAko pravilo ne uspije, cijeli blok se poništava kako bi se izbjegle djelomično primijenjene konfiguracije koje bi mogle stvoriti praznine.

Što se tiče autorizacije, Windows se oslanja na Liste kontrole pristupa (ACL) i SACL-ovi za reviziju pristupaOvo omogućava preciznu implementaciju principa najmanjih privilegija, evidentiranje pokušaja pristupa osjetljivim resursima i otkrivanje anomalnog ponašanja. Zadane politike zaključavanja računa su ojačane kako bi se suzbili napadi grubom silom (posebno putem RDP-a).

Sigurnosne i revizorske politike mogu se definirati grupnim politikama ili CSP-om, nakon identifikacije kritičnih resursa, događaja koji se trebaju evidentirati te troškova skladištenja i analize. Dobra strategija revizije je ključna za otkrivanje pokušaja upada i lateralnih kretanja prije nego što bude prekasno.

Microsoftove sigurnosne osnove za Windows 11 nude skupove preporučenih konfiguracija (BitLocker, SmartScreen, VBS, zaštitni zid, lozinke, zaključavanje računa itd.) upakovane za jednostavnu primjenu iz Intunea ili objekata grupnih politika (GPO). One služe kao solidna početna tačka, koja se zatim može prilagoditi specifičnim potrebama svake organizacije.

Moderno upravljanje: Microsoft Entra ID, Intune, atestacija i LAPS

Kombinacija Windows 11 Pro, Microsoft Entra ID-a i Microsoft Intune-a omogućava usvajanje modela upravljanje uređajima u oblakuIdealan za hibridne i udaljene scenarije rada, Entra ID pruža identitet, SSO, MFA i uvjetni pristup, dok Intune upravlja konfiguracijom, aplikacijama, usklađenošću i zaštitom podataka.

Uređaji se mogu direktno pridružiti Entra ID-u ili se registrovati uz zadržavanje svoje lične prirode (BYOD). U oba slučaja Akreditivi su povezani s uređajem a politike uvjetnog pristupa mogu zahtijevati kompatibilne, šifrirane i uređaje bez zlonamjernog softvera za pristup korporativnim resursima.

La potvrda o registraciji Povezuje Intune certifikate za upis i pristupa hardveru uređaja putem TPM-a, sprječavajući njihovo kopiranje na neupravljane uređaje. Azure Attestation se zatim koristi za validaciju sigurnosnog statusa (pokretanje, VBS, Credential Guard, itd.) prije nego što Intune označi uređaj kao usklađen.

Windows LAPS (Local Administrator Password Solution) integriran u operativni sistem automatizira rotacija i sigurno pohranjivanje lozinki lokalnih administratorskih računa u okruženjima povezanim s Entra ili Active Directory. 24H2 uključuje poboljšanja kao što su generiranje lozinki koje ljudi mogu čitati, automatsko kreiranje upravljanih računa i otkrivanje vraćanja slike.

Za primjenu i recikliranje opreme u velikim razmjerima, Windows Autopilot Omogućava uređaju da ide direktno od proizvođača originalne opreme do korisnika, pridruži se Entri ili hibridnom Active Directoryju, prijavi se u Intune i prima profile, aplikacije i politike bez potrebe da IT tim dodiruje mašinu. Autopilot Reset također ubrzava preraspodjelu uređaja ili njihov oporavak nakon incidenata.

Windows Update for Business i Windows Autopatch automatiziraju distribuciju sigurnosnih ažuriranja, funkcija i upravljačkih programa. omogućavanje prstenova za raspoređivanje i prethodno testiranjeHotpatch smanjuje broj ponovnih pokretanja potrebnih za primjenu kritičnih zakrpa, donoseći korisnicima ono što je naučeno u Azureu u vezi s ažuriranjima s malim utjecajem.

OneDrive, sigurno štampanje i zaštita informacija

Zaštita podataka ne završava na uređaju. OneDrive za posao ili školu i OneDrive za ličnu upotrebu nude šifrirano pohranjivanje u tranzitu (TLS) i u stanju mirovanja (AES-256 po datoteci)s ključevima zaštićenim u Azure Key Vaultu. Ovo olakšava pravljenje sigurnosnih kopija važnih mapa i oporavak od napada ransomwarea putem verzija i vraćanja datoteka.

Lični trezor dodaje dodatni sloj OneDrive Personal-u, zahtijevajući drugi faktor autentifikacije za pristup najosjetljivijim datotekamaPosebno je koristan za digitalne kopije važnih ličnih ili profesionalnih dokumenata.

U oblasti štampanja, Universal Print premješta logiku štampanja u oblak, eliminirajući lokalne servere za štampanje i drajvere instalirane na klijentima. Svaki štampač se registruje kao uređaj u Entra ID-u i autentifikuje se koristeći vlastiti certifikat., što omogućava model nultog povjerenja u kojem korisnici i uređaji više ne moraju biti na istoj mreži kao i štampači.

Windows 11 također predstavlja Sigurno štampanje u Windowsu, fokusiran na moderan, konzistentan stek za štampanje bez tradicionalnih drajvera, smanjujući površinu napada koja je historijski povezana s ranjivostima u modelima drajvera za štampanje.

Privatnost, telemetrija i korisničke kontrole

Pored sigurnosti, Windows 11 Pro uključuje brojne Kontrole privatnosti dostupne iz PostavkiLokacija, kamera, mikrofon, kontakti, historija poziva, dozvole za korištenje resursa itd. Historija korištenja aplikacija prikazuje koje su aplikacije pristupale kojim resursima u posljednjih sedam dana, što pomaže u otkrivanju neobičnog ponašanja.

Sistemska paleta prikazuje ikone vidljive kada se koristi kamera ili mikrofon, sa kontekstualne informacije o tome koja ih aplikacija koristiAplikacije se mogu integrirati s API-jima za brzo isključivanje zvuka kako bi se spriječilo slučajno curenje zvuka na sastancima ili snimkama.

Korisnici mogu pregledavati i upravljati svojim podacima u Microsoftova nadzorna tabla privatnostiTo uključuje izvoz i brisanje podataka, kao i pregled Izvještaja o privatnosti za Windows kako bi se bolje razumjelo koji se podaci prikupljaju i u koju svrhu. U okruženjima koja moraju biti u skladu s GDPR-om, postoji postavka da organizacija bude "kontrolor podataka" dijagnostičkih podataka za Windows.

Microsoftov lični račun (MSA) centralizuje pretplate, uređaje, sigurnost i privatnost te nudi mogućnost da Koristite Windows Hello ili Microsoft Authenticator bez lozinkeFunkcije poput "Pronađi moj uređaj" pomažu u lociranju, zaključavanju ili brisanju izgubljene ili ukradene opreme, smanjujući izloženost u slučaju fizičkog gubitka.

Konačno, integracija sa Rđa u dijelovima jezgra i sigurnosnim komponentama Ovo odražava Microsoftovu posvećenost jezicima koji smanjuju memorijske ranjivosti, jedan od najčešćih izvora kritičnih propusta. Ovo, u kombinaciji s programima za otkrivanje grešaka, MORSE timom i Windows Insiderom, stvara kontinuirani ciklus ranog otkrivanja i ispravljanja grešaka.

Sa cijelom ovom mrežom slojeva - od TPM-a, Plutona, VBS-a i BitLockera, preko SmartScreen-a, Defendera, Firewall-a i App Control-a, do Entra ID-a, Intune-a, OneDrive-a i Universal Print-a - Windows 11 Pro nudi platforma sposobna da se odupre modernim prijetnjama ako je inteligentno konfigurisanaKombinovanje integrisanih zaštita, primena osnovnih nivoa, periodično pregledanje sigurnosnog statusa i obuka korisnika o dobrim praksama je ono što transformiše tu tehničku bazu u zaista robusno okruženje za rad sa mirom.