Napredni varnostni vodnik za Windows 11 Pro

Če Windows 11 Pro uporabljate vsak dan, je vaš računalnik veliko več kot le delovno orodje: je središče, kjer se vse vrti. vaši podatki, poverilnice, kritični dokumenti in dostop do omrežja vašega podjetjaV okolju, kjer kibernetski kriminalci izboljšujejo svoje taktike z enako hitrostjo kot napredek umetne inteligence, prepuščanje varnosti naključju ni več možnost.

Windows 11 Pro se je rodil s poudarkom na varnost po zasnovi in ​​varnost omogočena privzetoTa napredni vodnik, ki izkorišča sodobno strojno opremo, Microsoftov oblak in plasti zaščite, od čipa do spletnih storitev, združuje in priročno reorganizira vse, kar ponuja platforma (BitLocker, Credential Guard, SmartScreen, VBS, Intune, Entra ID, Defender for Endpoint in še veliko več), tako da lahko svoje okolje maksimalno okrepite, ne da bi pri tem žrtvovali uporabnost ali zmogljivost.

Varnost že vgrajena v sistem Windows 11 Pro: temelji, strojna oprema in čip v oblaku

Microsoft se je v sistemu Windows 11 Pro odločil za model, kjer Varnost ni le še ena funkcija, temveč temelj sistemaPobuda za varno prihodnost (SFI) mobilizira več deset tisoč inženirjev, ki se osredotočajo na krepitev varnosti, zasebnosti, arhitekture in tehničnih kontrol, pri čemer se zanašajo na milijarde dnevnih telemetričnih signalov za odkrivanje vzorcev napadov, goljufij in zlonamernih dejavnosti.

Ta pristop pomeni, da Windows 11 Pro zahteva in izkorišča sodobno strojno opremo: TPM 2.0, UEFI z varnim zagonom, podpora za virtualizacijo in procesorji z varnostnimi razširitvamiNa tej podlagi so za najbolj kritične scenarije zgrajene funkcije, kot so varnost na osnovi virtualizacije (VBS), integriteta kode, zaščitena s hipervizorjem (HVCI), zaščita DMA in računalniki z zavarovanim jedrom.

Številne nove naprave imajo vgrajen tudi varnostni procesor Microsoft Pluton neposredno na procesorjuTo zmanjša površino za napad med varnostnim čipom in procesorjem, shrani ključe in skrivnosti ločeno ter prejema posodobitve vdelane programske opreme prek storitve Windows Update. To krepi zaupanje v strojno opremo in omogoča prihodnje varnostne zmogljivosti brez potrebe po nadgradnji strojne opreme.

Vizija »od čipa do oblaka« pomeni, da Windows 11 Pro ne ostane na končni točkiIntegrira se s storitvami, kot so Windows 365, Microsoft Defender for Endpoint, Microsoft Entra ID in Microsoft Intune, za preverjanje zdravja naprave, uveljavljanje pogojnega dostopa, zaznavanje naprednih groženj in samodejno odzivanje na incidente.

V organizacijah z zelo strogimi zahtevami zaščitena osnovna oprema združuje UEFI Secure Boot, DRTM (Dynamic Root of Trust for Metering), izolacijo načina upravljanja sistema in zaščito DMA, skupaj s privzeto omogočenimi VBS in HVCI. zmanjšanje možnosti napadov z bootkiti, rootkiti in vdelano programsko opremo..

Zanesljiv zagon, integriteta sistema in kriptografija

Postopek zagona v sistemu Windows 11 Pro je zasnovan tako, da vsaka faza preveri prejšnjo. UEFI Secure Boot preverja podpise vdelane programske opreme, zagonski nalagalnik in komponente pred operacijskim sistemomNato Trusted Boot preveri jedro, kritične gonilnike in morebitno zaščito pred zlonamerno programsko opremo v zgodnjem zagonu (ELAM). Če je bilo kaj spremenjeno, se postopek zagona blokira in, kjer je to mogoče, samodejno popravi.

Hkrati je Izmerjene zgoščene vrednosti zagonskih dnevnikov in dogodki zagonskih procesov v TPMTi zapisi se uporabljajo pri oddaljenem preverjanju (na primer z Azure Attestation), tako da lahko rešitve, kot sta Intune in Entra ID, ugotovijo, ali je računalnik v zaupanja vrednem stanju, preden odobrijo dostop do občutljivih virov z uporabo pogojnega dostopa.

Kriptografski sklad sistema Windows 11 Pro je certificiran v skladu s standardom FIPS 140 in ponuja module, ki zagotavljajo Varni generatorji slučajnih številk (RNG), AES (vključno z XTS za diske), RSA, ECC, podpisi, zgoščena vrednost SHA-2 in izpeljava ključevS pomočjo CNG, Bcrypt, NCrypt in DPAPI lahko tako sistem kot aplikacije upravljajo ključe in šifrirajo podatke na standardiziran in strojno pospešen način, kjer je to mogoče.

Infrastruktura potrdil se zanaša na Microsoftov program Trusted Root, pri čemer posodobljeni seznami in preklici korenskih in vmesnih potrdilCertmgr.exe in snap-in MMC omogočata upravljanje potrdil, seznamov CTL in CRL, v podjetniških okoljih pa je mogoče vpis in podaljšanje avtomatizirati z uporabo imenika Active Directory in storitve Intune.

Vsa programska oprema, ki se izvaja v sistemu (vdelana programska oprema, gonilniki, binarne datoteke sistema Windows in številne aplikacije), je preverjena prek podpisi kodeCelovitost kode preprečuje nalaganje gonilnikov jedra, ki jih program za združljivost strojne opreme sistema Windows ni podpisal ali odobril, v novejših različicah pa je okrepljena s pogosto posodobljenimi seznami ranljivih gonilnikov.

Šifriranje in zaščita podatkov: BitLocker, šifrirani diski in osebni podatki

Windows 11 Pro združuje več plasti zaščite podatkov. Najbolj znana je BitLocker, ki šifrira nosilce podatkov z AES v načinih XTS ali CBC s 128- ali 256-bitnimi ključi. Uporablja se lahko za sistemski disk, fiksne podatkovne pogone in odstranljive pogone (BitLocker To Go) ter ščiti pred krajo ali izgubo opreme.

V standardni konfiguraciji se BitLocker zanaša na TPM 2.0, UEFI Secure Boot, HSTI in druga preverjanja integriteteKljuče za obnovitev je mogoče shraniti v osebnih Microsoftovih računih, ID-jih Azure AD/Microsoft Entra ali sistemih za upravljanje, kot je Intune. Različica 24H2 izboljšuje zaslon za obnovitev pred zagonom s prikazom namigov o računu, kjer je ključ shranjen.

»Šifriranje naprave« ponuja bolj avtomatizirano izkušnjo za združljive naprave, omogočanje BitLockerja praktično brez posredovanja uporabnika in samodejno šifriranje sistemskega pogona in fiksnih pogonov po končanem zagonu sistema (OOBE). 24H2 odpravlja predpogoje, kot sta DMA in Modern Standby, s čimer se širi število naprav, ki lahko samodejno omogočijo to šifriranje.

V okoljih, kjer je zmogljivost prednostna naloga, lahko Windows 11 Pro izkoristi prednosti strojno šifrirani trdi diski (SED)V teh pogonih krmilnik diska sam izvaja popolno šifriranje pregledno, s ključi, ki nikoli ne zapustijo pogona. BitLocker se integrira s temi zmogljivostmi, razbremeni procesor in zmanjša vpliv na zmogljivost.

Poleg šifriranja na ravni diska Windows 11 vključuje Šifriranje osebnih podatkovZasnovan za zaščito vsebine za uporabnike, ki so overjeni s programom Windows Hello za podjetja. Ključi so varno shranjeni v vsebniku Hello in odklenjeni ob overjanju s PIN-om ali biometričnim preverjanjem pristnosti, kar omogoča šifriranje na ravni datotek ali map, vključno z mapami, kot so Dokumenti, Slike in Namizje v novejših različicah.

Na področju e-pošte Windows 11 in nova aplikacija Outlook podpirata šifriranje z uporabo Šifriranje sporočil Microsoft Purview, S/MIME in IRMbranje sporočil je dovoljeno le prejemnikom z ustreznimi potrdili. Podprti so tudi digitalni podpisi, ki zagotavljajo celovitost in pristnost e-poštnih sporočil.

Omrežna varnost: SmartScreen, omrežna zaščita, TLS, šifriran DNS, Wi-Fi in VPN

Navigacija in komunikacije sta eden najprimernejših vektorjev napada. Microsoft Defender SmartScreen Analizira obiskane spletne strani za sumljivo vedenje in jih primerja z dinamičnimi seznami spletnih mest za lažno predstavljanje in zlonamerno programsko opremo. Če zazna kaj nevarnega, pred odobritvijo dostopa prikaže vidna opozorila.

SmartScreen spremlja tudi prenesene datoteke in namestitveni programiSistem primerja te datoteke s katalogi znane zlonamerne programske opreme in seznami ugleda. Ko je izvedljiva datoteka nevarna in nima zadostnega ugleda, sistem uporabnika opozori z jasnimi sporočili, da se lahko odloči, ali jo bo zagnal ali ne.

Z izboljšano zaščito pred lažnim predstavljanjem gre SmartScreen še korak dlje in Zazna, kdaj uporabnik vnese svoje Microsoftove poverilnice v nezaupanja vrednih aplikacijah ali spletnih mestihTo vas takoj opozori, da preprečite krajo gesla pri napadih lažnega predstavljanja. Organizacije lahko ta obvestila konfigurirajo v storitvi Intune.

Poleg brskalnika, Zaščita omrežja razširja to zaščito na druge brskalnike in proceseIntegriran z Defender for Endpoint vam omogoča, da določite indikatorje ogrožanja za blokiranje določenih IP-jev in URL-jev, se povežete z Defender for Cloud Apps za prepoved nepooblaščenih aplikacij in uporabite filtriranje spletne vsebine po kategorijah.

Kar zadeva šifriranje prometa, ga Windows 11 Pro privzeto omogoča. TLS 1.3 s podporo za sodobne šifrirne pakete in odstranitvijo zastarelih algoritmovČe kateri koli del komunikacije ne podpira TLS 1.3, se vrne na TLS 1.2, za komunikacijo na osnovi UDP pa se uporabi DTLS 1.2. Ta konfiguracija zmanjša zakasnitev in izboljša zaupnost.

DNS odjemalec lahko uporablja DNS prek HTTPS (DoH) in DNS prek TLS (DoT)To zagotavlja, da so poizvedbe po imenih šifrirane pred opazovalci vzdolž poti. Z uporabo skupinskega pravilnika in CSP lahko skrbniki uveljavijo uporabo šifriranega DNS-a samo z zaupanja vrednimi razreševalniki ali pa ga onemogočijo v okoljih, ki se zanašajo na pregled DNS-a v navadnem besedilu.

V brezžičnih omrežjih Windows 11 Pro podpira WPA3 v načinih Personal, Enterprise in Enterprise 192-bit, skupaj z OWE za šifrirana odprta omrežjaV mobilnih okoljih podpora za 5G in eSIM ponuja medsebojno overjene povezave s poverilnicami, shranjenimi v varnih modulih, kar otežuje napade prestrezanja.

Platforma Windows VPN omogoča enostavno uporabo vgrajeni protokoli, kot sta IKEv2 ali SSTP na primer namestitev odjemalcev UWP drugih ponudnikov iz trgovine Microsoft Store. Integrira se z Microsoft Entra ID, pogojnim dostopom in večfaktorsko avtentikacijo ter omogoča deljene ali izključne profile predorov, samodejno aktivacijo na podlagi omrežij, aplikacij ali ciljev in centralizirano upravljanje prek storitve Intune.

Zaščita pred zlonamerno programsko opremo: Microsoft Defender, zmanjšanje površine napadov in zaščita sistema

Windows 11 Pro vključuje Microsoft Defender Antivirus kot zaščitni mehanizem naslednje generacijePrivzeto je aktiven, razen če je nameščen drug protivirusni program. Združuje analizo v realnem času, hevristiko, zaznavanje na podlagi vedenja in zaščito v oblaku z umetno inteligenco in strojnim učenjem, da v nekaj sekundah prepozna nove grožnje.

To zaščito dopolnjujejo zaščita pred nedovoljenim posegomTo preprečuje zlonamerni programski opremi ali drugim uporabnikom, da bi onemogočili zaščito v realnem času, spremljanje vedenja, zaščito v oblaku ali izbrisali posodobitve podpisov in spremenili izključitve. Zaradi vsega tega izsiljevalska programska oprema izjemno težko onemogoči obrambo pred šifriranjem podatkov.

The Pravila za zmanjšanje napadalne površine (ASR) Omogočajo blokiranje tipičnih vedenj napadov: zakritih skriptov, makrov, ki kličejo Win32 API, izvedljivih datotek, ki prenašajo druge binarne datoteke itd. Ta pravila so še posebej uporabna za upočasnitev začetnih dejanj po izkoriščanju ranljivosti v sistemu Office, brskalnikih ali aplikacijah.

El nadzorovan dostop do map Ščiti kritične mape, kot so Dokumenti, Slike in Prenosi, ter dovoljuje spreminjanje njihove vsebine le zaupanja vrednim aplikacijam. Je neposreden protiukrep proti izsiljevalski programski opremi, saj blokira pisanje v te mape s strani neznanih ali sumljivih procesov.

Funkcionalnost Zaščita pred ranljivostmi Uporablja blažilne ukrepe za sistemske procese in aplikacije, kot so izboljšan DEP, ASLR, strogo preverjanje sklada itd. Konfigurira se lahko s pravilnikom, pilotno se izvaja v načinu revizije in se distribuira več računalnikom prek Intune ali GPO, s podrobnim poročanjem v kombinaciji z Defender for Endpoint.

Nadzor aplikacij, izolacija in varno izvajanje

Aplikacije so ponavljajoča se težava kot vektor napadov. Windows 11 Pro vključuje več plasti, ki zagotavljajo, da Izvaja se samo zaupanja vredna koda. In če je kaj ogroženo, je vpliv čim manjši. Smart App Control blokira nepodpisane ali neuveljavljene aplikacije, neznane skripte in makre z uporabo modelov umetne inteligence in upravljanja ugleda v oblaku.

V upravljanih okoljih, Nadzor aplikacij za podjetja (razvoj starega nadzora aplikacij Windows Defender) in AppLocker zagotavljata veliko bolj natančen nadzor nad tem, katere binarne datoteke, skripti, gonilniki ali paketi MSIX so dovoljeni. Intune poenostavlja ustvarjanje, uvajanje in vzdrževanje teh pravilnikov, vključno s samodejnim prepoznavanjem upravljanih namestitvenih programov.

Za nadaljnjo okrepitev jedra Windows vzdržuje seznam blokiranih ranljivih gonilnikov To preprečuje nalaganje različic gonilnikov, za katere je znano, da omogočajo povečevanje privilegijev ali varnostne obhode. To dopolnjuje zahtevo po podpisu in preprečuje izkoriščanje hroščev v legitimnih, a zastarelih gonilnikih.

Izolacija aplikacij Win32 se zanaša na AppContainers in manifeste zmogljivosti, kar ustvarja procese z nizko integriteto in omejenim dostopom do virov in API-jev. Orodja, kot so Profiler zmogljivosti aplikacije (ACP) Omogočajo, da se aplikacija izvaja v "načinu učenja", da se pred vsiljenjem izolacije prepoznajo potrebne zmogljivosti.

Za testiranje nezanesljive programske opreme ali analizo sumljivih datotek, Windows Sandbox Ponuja lahko namizno okolje, ki temelji na isti virtualizaciji Hyper-V. Vse, kar je nameščeno v peskovniku, izgine, ko ga zaprete, in na gostiteljskem sistemu ne pusti sledi.

Poleg tega se aplikacije UWP in številne sodobne komponente izvajajo v vsebnikih aplikacij, ki omejujejo dostop do datotečnega sistema, registra in omrežja, zaradi česar je težko, da bi vdor v aplikacijo povzročil popoln nadzor nad napravo.

Zaščita identitete: Windows Hello, gesla, Credential Guard in žetoni

V večini trenutnih napadov glavna tarča ni več oprema, temveč identiteta uporabnikaWindows 11 Pro to področje krepi s funkcijama Windows Hello in Windows Hello for business, ki tradicionalno geslo nadomeščata z overjanjem na podlagi PIN-a ali biometričnim preverjanjem pristnosti (obraz ali prstni odtis), ki ga podpira TPM in je združljiv s standardi FIDO2/WebAuthn.

PIN za Windows Hello je povezan z napravo in nikoli ne zapusti računalnika; ko uporabnik preveri pristnost, se asimetrični ključi, shranjeni v TPM, odklenejo in uporabijo za podpisovanje izzivov za preverjanje pristnosti. Tudi če napadalec ukrade PIN, brez naprave z njim ne more storiti ničesar.V 24 urah po 2 urah, tudi na napravah brez biometričnih podatkov, so poverilnice Hello izolirane z uporabo VBS za preprečevanje napadov na ravni skrbnika.

The ključi Predstavljajo naslednji korak: edinstvene kriptografske skrivnosti, shranjene v napravah (osebnih računalnikih, mobilnih telefonih, ključih FIDO2), ki omogočajo prijave v združljive storitve, odporne na lažno predstavljanje, brez potrebe po uporabniškem imenu in geslu. Windows 11 Pro vam omogoča ustvarjanje in upravljanje gesel iz nastavitev računa, z uporabo funkcije Hello, zunanjih ključev ali celo mobilne naprave.

V korporativnih okoljih, Windows Hello for business Hello se integrira z Active Directory in Microsoft Entra ID ter zagotavlja enotno prijavo (SSO) za lokalne in oblačne vire. Omogočiti ga je mogoče z začasnimi dostopnimi ključi, obstoječo večfaktorsko avtentikacijo ali gesli ter podpira hibridne modele (Kerberos v oblaku), ki močno poenostavijo mešane uvedbe.

Credential Guard uporablja VBS za izolirajte skrivnosti imenika Active Directory in izpeljane poverilnice v ločenem procesu LSA, ki ni dostopen preostalemu sistemu. To močno ovira napade tipa »izpis poverilnic«, »predaj zgoščene vrednosti« ali »predaj vstopnice«. Remote Credential Guard uporablja enak pristop za seje oddaljenega namizja in preprečuje pošiljanje poverilnic ciljnemu računalniku.

La dodatna zaščita LSA Zagotavlja, da se lokalnemu varnostnemu organu naloži samo podpisana in zaupanja vredna koda, kar zmanjšuje možnost vbrizgavanja kode. V sistemu Windows 11 je privzeto omogočen, v različici 24H2 pa je razširjen na več scenarijev, pri čemer vedno spoštuje ustaljene poslovne politike.

Zaščita žetonov pa poskuša kriptografsko povežite dostopne žetone Entra ID z določeno napravoTako lahko tudi če je žeton ukraden, njegovo ponovno uporabo na drugi napravi blokirajo pravilniki pogojnega dostopa, ki zahtevajo dokazilo o lastništvu naprave.

Požarni zid, nadzor dostopa, pravilniki in varnostne osnove

El Požarni zid de Windows Je ključna komponenta modela obrambe v globino. Ponuja dvosmerno filtriranje po programu, vratih, naslovu IP, omrežnem profilu in drugih dejavnikih ter se integrira z IPsec za vzpostavitev overjene in po izbiri šifrirane komunikacije od konca do konca. V sistemu Windows 11 sta bila njegovo delovanje in beleženje izboljšana za lažje revidiranje in odpravljanje težav.

Ponudnik storitev konfiguracije požarnega zidu (CSP) omogoča Intune in druge rešitve MDM atomsko uporablja nabore pravilČe pravilo ne uspe, se celoten blok razveljavi, da se prepreči delno uporabljene konfiguracije, ki bi lahko povzročile vrzeli.

Kar zadeva avtorizacijo, se Windows zanaša na Seznami za nadzor dostopa (ACL) in SACL za nadzor dostopaTo omogoča natančno izvajanje načela najmanjših privilegijev, beleženje poskusov dostopa do občutljivih virov in zaznavanje nenavadnega vedenja. Privzete politike zaklepanja računov so bile okrepljene, da bi omejile napade z grobo silo (zlasti prek RDP).

Varnostne in revizijske politike je mogoče opredeliti s skupinsko politiko ali ponudnikom kriptovalut (CSP), po tem ko se določijo kritični viri, dogodki, ki jih je treba beležiti, ter stroški shranjevanja in analize. Dobra strategija revizije je ključna za odkrivanje poskusov vdorov in stranskih gibanj preden bo prepozno.

Microsoftovi varnostni paketi za Windows 11 ponujajo nabore priporočenih konfiguracij (BitLocker, SmartScreen, VBS, požarni zid, gesla, zaklepanje računa itd.), ki so pakirani za enostavno uporabo iz Intune ali objektov skupinskih pravilnikov (GPO). Služijo kot trdno izhodišče, ki ga je nato mogoče prilagoditi specifičnim potrebam posamezne organizacije.

Sodobno upravljanje: Microsoft Entra ID, Intune, potrjevanje in LAPS

Kombinacija sistema Windows 11 Pro, Microsoft Entra ID in Microsoft Intune omogoča uporabo modela upravljanje naprav v oblakuEntra ID je idealen za hibridne in oddaljene scenarije dela, saj zagotavlja identiteto, enotno prijavo (SSO), večfaktorsko preverjanje autentičnosti (MFA) in pogojni dostop, medtem ko Intune upravlja konfiguracijo, aplikacije, skladnost s predpisi in zaščito podatkov.

Naprave se lahko neposredno pridružijo Entra ID ali pa se registrirajo, pri čemer ohranijo svojo osebno naravo (BYOD). V obeh primerih Poverilnice so povezane z napravo in pravilniki pogojnega dostopa lahko zahtevajo združljive, šifrirane in pred zlonamerno programsko opremo zaščitene naprave za dostop do poslovnih virov.

La potrdilo o registraciji Poveže potrdila o vpisu v Intune in dostopa do strojne opreme naprave prek TPM-ja, kar preprečuje njihovo kopiranje v neupravljane naprave. Azure Attestation se nato uporabi za preverjanje varnostnega stanja (zagon, VBS, Credential Guard itd.), preden Intune napravo označi kot skladno.

Windows LAPS (Local Administrator Password Solution), integriran v operacijski sistem, avtomatizira rotacija in varno shranjevanje gesel za lokalne skrbniške račune v okoljih, povezanih z Entro ali Active Directory. 24H2 vključuje izboljšave, kot so generiranje berljivih gesel, samodejno ustvarjanje upravljanih računov in zaznavanje razveljavitve slike.

Za uporabo in recikliranje opreme v velikem obsegu, Windows Autopilot Omogoča, da naprava od proizvajalca originalne opreme (OEM) neposredno preide do uporabnika, se pridruži storitvi Entra ali hibridnemu imeniku Active Directory, se vpiše v Intune in prejema profile, aplikacije in pravilnike, ne da bi se moral oddelek IT dotakniti naprave. Samodejna ponastavitev pospeši tudi ponovno dodelitev naprav ali njihovo obnovitev po incidentih.

Windows Update za podjetja in Windows Autopatch avtomatizirata distribucijo varnostnih posodobitev, funkcij in gonilnikov. omogočanje namestitvenih obročev in predhodnega testiranjaHotpatch zmanjša število ponovnih zagonov, potrebnih za namestitev kritičnih popravkov, s čimer strankam ponudi izkušnje, pridobljene v Azureju glede posodobitev z majhnim vplivom na okolje.

OneDrive, varno tiskanje in zaščita informacij

Varstvo podatkov se ne konča pri napravi. Ponujata OneDrive za delo ali šolo in OneDrive za osebno uporabo. šifrirano shranjevanje med prenosom (TLS) in v stanju mirovanja (AES-256 na datoteko)s ključi, zaščitenimi v Azure Key Vault. To omogoča enostavno varnostno kopiranje pomembnih map in okrevanje po napadih izsiljevalske programske opreme z različicami in obnovitvijo datotek.

Osebni trezor doda dodatno plast storitvi OneDrive Personal, ki zahteva drugi faktor preverjanja pristnosti za dostop do najbolj občutljivih datotekŠe posebej je uporaben za digitalne kopije pomembnih osebnih ali poklicnih dokumentov.

Na področju tiskanja Universal Print logiko tiskanja preseli v oblak, s čimer odpravi lokalne tiskalniške strežnike in gonilnike, nameščene na odjemalcih. Vsak tiskalnik se registrira kot naprava v Entra ID in se overi z lastnim potrdilom., kar omogoča model ničelnega zaupanja, pri katerem uporabniki in naprave niso več dolžni biti v istem omrežju kot tiskalniki.

Windows 11 uvaja tudi Varno tiskanje v sistemu Windows, osredotočen na sodoben, dosleden sklad za tiskanje brez tradicionalnih gonilnikov, s čimer se je zmanjšala površina za napade, ki je bila zgodovinsko povezana z ranljivostmi v modelih gonilnikov tiskalnikov.

Zasebnost, telemetrija in uporabniški nadzor

Poleg varnosti Windows 11 Pro vključuje številne Nadzor zasebnosti, dostopen v nastavitvahLokacija, kamera, mikrofon, stiki, zgodovina klicev, dovoljenja za uporabo virov itd. Zgodovina uporabe aplikacij prikazuje, katere aplikacije so v zadnjih sedmih dneh dostopale do katerih virov, kar pomaga pri zaznavanju nenavadnega vedenja.

V sistemski vrstici so prikazane ikone, ki so vidne, ko je kamera ali mikrofon v uporabi, z kontekstualne informacije o tem, katera aplikacija jih uporabljaAplikacije je mogoče integrirati s hitrimi API-ji za utišanje, da se prepreči nenamerno uhajanje zvoka na sestankih ali posnetkih.

Uporabniki si lahko ogledajo in upravljajo svoje podatke v Microsoftova nadzorna plošča zasebnostiTo vključuje izvoz in brisanje podatkov ter pregled poročila o zasebnosti sistema Windows za boljše razumevanje, kateri podatki se zbirajo in za kakšen namen. V okoljih, ki morajo biti skladna s Splošno uredbo o varstvu podatkov (GDPR), obstaja nastavitev, da je organizacija »upravljavec podatkov« diagnostičnih podatkov sistema Windows.

Microsoftov osebni račun (MSA) centralizira naročnine, naprave, varnost in zasebnost ter ponuja možnost Z uporabo sistema Windows Hello ali Microsoft Authenticator se izognite gesluFunkcije, kot je »Najdi mojo napravo«, pomagajo najti, zakleniti ali izbrisati izgubljeno ali ukradeno opremo, kar zmanjša izpostavljenost v primeru fizične izgube.

Končno, integracija z Rja v delih jedra in varnostnih komponentah To odraža Microsoftovo zavezanost jezikom, ki zmanjšujejo ranljivosti pomnilnika, ki so eden najpogostejših virov kritičnih izkoriščanj. To v kombinaciji s programi za odkrivanje napak, ekipo MORSE in programom Windows Insider ustvarja neprekinjen cikel zgodnjega odkrivanja in odpravljanja napak.

S celotno mrežo plasti – od TPM, Pluton, VBS in BitLocker, prek SmartScreen, Defender, požarnega zidu in nadzora aplikacij do Entra ID, Intune, OneDrive in Universal Print – Windows 11 Pro ponuja platforma, ki se ob pametni konfiguraciji lahko upre sodobnim grožnjamZdruževanje integriranih zaščit, uporaba osnovnih vrednosti, redno pregledovanje varnostnega stanja in usposabljanje uporabnikov o dobrih praksah je tisto, kar to tehnično osnovo spremeni v resnično robustno okolje za brezskrbno delo.