คู่มือความปลอดภัยขั้นสูงสำหรับ Windows 11 Pro

หากคุณใช้ Windows 11 Pro เป็นประจำทุกวัน คอมพิวเตอร์ของคุณเป็นมากกว่าเครื่องมือทำงาน: มันคือศูนย์กลางที่ทุกสิ่งทุกอย่างหมุนรอบ ข้อมูลส่วนตัว ข้อมูลประจำตัว เอกสารสำคัญ และการเข้าถึงเครือข่ายของบริษัทของคุณในสภาพแวดล้อมที่อาชญากรไซเบอร์พัฒนาเทคนิคของตนไปอย่างรวดเร็วเท่ากับการพัฒนาของปัญญาประดิษฐ์ การปล่อยให้ความปลอดภัยเป็นเรื่องของโชคชะตาจึงไม่ใช่ทางเลือกอีกต่อไป

Windows 11 Pro ถูกสร้างขึ้นโดยมุ่งเน้นไปที่... การรักษาความปลอดภัยตั้งแต่ขั้นตอนการออกแบบและการเปิดใช้งานการรักษาความปลอดภัยโดยค่าเริ่มต้นด้วยการใช้ประโยชน์จากฮาร์ดแวร์ที่ทันสมัย ​​ระบบคลาวด์ของ Microsoft และชั้นการป้องกันตั้งแต่ระดับชิปไปจนถึงบริการออนไลน์ คู่มือขั้นสูงนี้ได้รวบรวมและจัดระเบียบทุกสิ่งที่แพลตฟอร์มนี้มีให้ (BitLocker, Credential Guard, SmartScreen, VBS, Intune, Entra ID, Defender for Endpoint และอื่นๆ อีกมากมาย) เพื่อให้คุณสามารถเสริมความแข็งแกร่งให้กับสภาพแวดล้อมของคุณได้สูงสุดโดยไม่ลดทอนความสามารถในการใช้งานหรือประสิทธิภาพ

การรักษาความปลอดภัยตั้งแต่เริ่มต้นใน Windows 11 Pro: รากฐาน ฮาร์ดแวร์ และชิปคลาวด์

ไมโครซอฟต์ได้เลือกใช้โมเดลใน Windows 11 Pro โดยที่ ความปลอดภัยไม่ใช่เพียงแค่หน้าที่อีกอย่างหนึ่ง แต่เป็นรากฐานของระบบโครงการ Secure Future Initiative (SFI) ระดมวิศวกรหลายหมื่นคนเพื่อมุ่งเน้นการเสริมสร้างความปลอดภัย ความเป็นส่วนตัว สถาปัตยกรรม และการควบคุมทางเทคนิค โดยอาศัยสัญญาณข้อมูลทางไกลหลายพันล้านรายการต่อวันในการตรวจจับรูปแบบการโจมตี การฉ้อโกง และกิจกรรมที่เป็นอันตราย

แนวทางนี้หมายความว่า Windows 11 Pro ต้องการและใช้ประโยชน์จากฮาร์ดแวร์ที่ทันสมัย: TPM 2.0, UEFI พร้อม Secure Boot, การรองรับเวอร์ชวลไลเซชัน และโปรเซสเซอร์ที่มีส่วนขยายด้านความปลอดภัยบนพื้นฐานนั้น คุณสมบัติต่างๆ เช่น ระบบรักษาความปลอดภัยแบบใช้เวอร์ชวลไลเซชัน (VBS), ความสมบูรณ์ของโค้ดที่ได้รับการปกป้องโดยไฮเปอร์ไวเซอร์ (HVCI), การป้องกัน DMA และพีซีที่มีแกนประมวลผลที่ปลอดภัย จึงถูกสร้างขึ้นเพื่อรองรับสถานการณ์ที่สำคัญที่สุด

อุปกรณ์รุ่นใหม่หลายชนิดได้รวมเอาโปรเซสเซอร์รักษาความปลอดภัยไว้ด้วย Microsoft Pluto ทำงานโดยตรงบน CPUวิธีนี้ช่วยลดช่องโหว่ด้านความปลอดภัยระหว่างชิปความปลอดภัยและโปรเซสเซอร์ จัดเก็บกุญแจและข้อมูลลับแยกต่างหาก และรับการอัปเดตเฟิร์มแวร์ผ่าน Windows Update ซึ่งจะช่วยเสริมความแข็งแกร่งของรากฐานความเชื่อมั่นด้านฮาร์ดแวร์และเปิดใช้งานความสามารถด้านความปลอดภัยในอนาคตโดยไม่จำเป็นต้องอัปเกรดฮาร์ดแวร์

วิสัยทัศน์ “จากชิปสู่คลาวด์” หมายความว่า Windows 11 Pro ไม่ได้อยู่แค่ที่อุปกรณ์ปลายทางเท่านั้นโปรแกรมนี้ผสานรวมกับบริการต่างๆ เช่น Windows 365, Microsoft Defender for Endpoint, Microsoft Entra ID และ Microsoft Intune เพื่อตรวจสอบสถานะของอุปกรณ์ บังคับใช้การเข้าถึงแบบมีเงื่อนไข ตรวจจับภัยคุกคามขั้นสูง และตอบสนองต่อเหตุการณ์ต่างๆ โดยอัตโนมัติ

ในองค์กรที่มีข้อกำหนดที่เข้มงวดมาก อุปกรณ์หลักที่ได้รับการปกป้องจะรวม UEFI Secure Boot, DRTM (Dynamic Root of Trust for Metering), การแยกโหมดการจัดการระบบ และการป้องกัน DMA เข้าด้วยกัน พร้อมทั้งเปิดใช้งาน VBS และ HVCI เป็นค่าเริ่มต้น ลดโอกาสการเกิดบูทคิท รูทคิท และการโจมตีเฟิร์มแวร์ให้น้อยที่สุด.

การบูตที่เชื่อถือได้ ความสมบูรณ์ของระบบ และการเข้ารหัส

กระบวนการบูตใน Windows 11 Pro ถูกออกแบบมาให้แต่ละขั้นตอนตรวจสอบขั้นตอนก่อนหน้า UEFI Secure Boot จะตรวจสอบลายเซ็นเฟิร์มแวร์ บูตโหลดเดอร์ และส่วนประกอบก่อนระบบปฏิบัติการถัดไป Trusted Boot จะตรวจสอบเคอร์เนล ไดรเวอร์ที่สำคัญ และ Early Startup Antimalware (ELAM) หากพบว่ามีการแก้ไขดัดแปลงสิ่งใด ระบบจะบล็อกกระบวนการบูต และหากเป็นไปได้ จะทำการซ่อมแซมโดยอัตโนมัติ

ขณะเดียวกัน. วัดค่าแฮชของบันทึกการบูตและเหตุการณ์กระบวนการบูตใน TPMบันทึกเหล่านี้ใช้ในการตรวจสอบความถูกต้องจากระยะไกล (ตัวอย่างเช่น ด้วย Azure Attestation) เพื่อให้โซลูชันต่างๆ เช่น Intune และ Entra ID สามารถตรวจสอบได้ว่าคอมพิวเตอร์อยู่ในสถานะที่เชื่อถือได้หรือไม่ ก่อนที่จะอนุญาตให้เข้าถึงทรัพยากรที่ละเอียดอ่อนโดยใช้การเข้าถึงแบบมีเงื่อนไข

ชุดการเข้ารหัสของ Windows 11 Pro ได้รับการรับรองภายใต้มาตรฐาน FIPS 140 โดยมีโมดูลที่ให้การปกป้องข้อมูล ตัวสร้างเลขสุ่มที่ปลอดภัย, AES (รวมถึง XTS สำหรับดิสก์), RSA, ECC, ลายเซ็น, แฮช SHA-2 และการสร้างคีย์ด้วยการใช้ CNG, Bcrypt, NCrypt และ DPAPI ทั้งระบบและแอปพลิเคชันสามารถจัดการคีย์และเข้ารหัสข้อมูลได้อย่างเป็นมาตรฐานและเร่งความเร็วด้วยฮาร์ดแวร์เท่าที่จะเป็นไปได้

โครงสร้างพื้นฐานของใบรับรองอาศัยโปรแกรม Trusted Root ของ Microsoft โดยมี รายการอัปเดตและการเพิกถอนใบรับรองรากและใบรับรองระดับกลางCertmgr.exe และ MMC snap-in ช่วยให้คุณจัดการใบรับรอง CTL และ CRL ได้ และในสภาพแวดล้อมระดับองค์กร การลงทะเบียนและการต่ออายุสามารถทำได้โดยอัตโนมัติโดยใช้ Active Directory และ Intune

ซอฟต์แวร์ทั้งหมดที่ทำงานบนระบบ (เฟิร์มแวร์ ไดรเวอร์ ไฟล์ไบนารีของ Windows และแอปพลิเคชันจำนวนมาก) จะได้รับการตรวจสอบความถูกต้องผ่านทาง ลายเซ็นรหัสการตรวจสอบความสมบูรณ์ของโค้ดจะป้องกันการโหลดไดรเวอร์เคอร์เนลที่ไม่ได้รับการลงนามหรืออนุมัติโดยโปรแกรมความเข้ากันได้ของฮาร์ดแวร์ของ Windows และในเวอร์ชันล่าสุด จะมีการเสริมความแข็งแกร่งด้วยรายการบล็อกของไดรเวอร์ที่มีช่องโหว่ซึ่งได้รับการอัปเดตอย่างสม่ำเสมอ

การเข้ารหัสและการปกป้องข้อมูล: BitLocker, ดิสก์ที่เข้ารหัส และข้อมูลส่วนบุคคล

Windows 11 Pro ผสานรวมการปกป้องข้อมูลหลายชั้น ชั้นที่รู้จักกันดีที่สุดคือ BitLocker คือโปรแกรมที่เข้ารหัสไดรฟ์ด้วย AES ในโหมด XTS หรือ CBC ใช้คีย์ 128 หรือ 256 บิต สามารถใช้ได้กับดิสก์ระบบ ไดรฟ์ข้อมูลแบบถาวร และไดรฟ์แบบถอดได้ (BitLocker To Go) เพื่อป้องกันการโจรกรรมหรือสูญหายของอุปกรณ์

ในการตั้งค่ามาตรฐาน BitLocker อาศัย... TPM 2.0, UEFI Secure Boot, HSTI และการตรวจสอบความสมบูรณ์อื่นๆสามารถจัดเก็บคีย์กู้คืนไว้ในบัญชี Microsoft ส่วนบุคคล, Azure AD/Microsoft Entra ID หรือระบบจัดการ เช่น Intune ได้ เวอร์ชัน 24H2 ปรับปรุงหน้าจอกู้คืนก่อนบูตโดยแสดงคำแนะนำเกี่ยวกับบัญชีที่บันทึกคีย์ไว้

“การเข้ารหัสอุปกรณ์” มอบประสบการณ์การใช้งานที่เป็นอัตโนมัติมากขึ้นสำหรับอุปกรณ์ที่รองรับ เปิดใช้งาน BitLocker โดยแทบไม่ต้องมีการแทรกแซงจากผู้ใช้ และเข้ารหัสไดรฟ์ระบบและไดรฟ์ถาวรโดยอัตโนมัติเมื่อการตั้งค่าเริ่มต้นเสร็จสมบูรณ์ 24H2 ขจัดข้อกำหนดเบื้องต้นต่างๆ เช่น DMA และ Modern Standby ทำให้จำนวนอุปกรณ์ที่สามารถเปิดใช้งานการเข้ารหัสนี้โดยอัตโนมัติเพิ่มขึ้น

สำหรับสภาพแวดล้อมที่ให้ความสำคัญกับประสิทธิภาพ Windows 11 Pro สามารถใช้ประโยชน์จากสิ่งต่อไปนี้ได้ ฮาร์ดไดรฟ์เข้ารหัสฮาร์ดแวร์ (SED)ในไดรฟ์เหล่านี้ ตัวควบคุมดิสก์จะทำการเข้ารหัสแบบเต็มรูปแบบโดยอัตโนมัติ ด้วยคีย์ที่ไม่เคยออกจากไดรฟ์ BitLocker ผสานรวมเข้ากับความสามารถเหล่านี้ ช่วยลดภาระงานของ CPU และลดผลกระทบต่อประสิทธิภาพการทำงาน

นอกเหนือจากการเข้ารหัสระดับดิสก์แล้ว Windows 11 ยังมีคุณสมบัติอื่นๆ อีกด้วย การเข้ารหัสข้อมูลส่วนบุคคลออกแบบมาเพื่อปกป้องเนื้อหาสำหรับผู้ใช้ที่ยืนยันตัวตนด้วย Windows Hello for Business คีย์จะถูกจัดเก็บอย่างปลอดภัยในคอนเทนเนอร์ Hello และปลดล็อกเมื่อยืนยันตัวตนด้วย PIN หรือไบโอเมตริก ทำให้สามารถเข้ารหัสในระดับไฟล์หรือโฟลเดอร์ได้ รวมถึงโฟลเดอร์ต่างๆ เช่น เอกสาร รูปภาพ และเดสก์ท็อป ในเวอร์ชันล่าสุด

ในด้านอีเมล Windows 11 และแอป Outlook เวอร์ชันใหม่รองรับการเข้ารหัสโดยใช้ การเข้ารหัสข้อความ Microsoft Purview, S/MIME และ IRMอนุญาตเฉพาะผู้รับที่มีใบรับรองที่เหมาะสมเท่านั้นที่จะสามารถอ่านข้อความได้ นอกจากนี้ยังรองรับลายเซ็นดิจิทัลเพื่อรับประกันความสมบูรณ์และความถูกต้องของอีเมลด้วย

ความปลอดภัยของเครือข่าย: SmartScreen, การป้องกันเครือข่าย, TLS, DNS ที่เข้ารหัส, Wi-Fi และ VPN

การนำทางและการสื่อสารเป็นหนึ่งในช่องทางโจมตีที่นิยมใช้มากที่สุด ไมโครซอฟต์ ดีเฟนเดอร์ สมาร์ทสกรีน ระบบจะวิเคราะห์หน้าเว็บที่เข้าชมเพื่อหาพฤติกรรมที่น่าสงสัย และเปรียบเทียบกับรายการเว็บไซต์ฟิชชิ่งและมัลแวร์แบบไดนามิก หากตรวจพบสิ่งที่เป็นอันตราย ระบบจะแสดงคำเตือนที่เด่นชัดก่อนที่จะอนุญาตให้เข้าถึงได้

SmartScreen ยังตรวจสอบสิ่งต่างๆ ต่อไปนี้ด้วย ไฟล์ที่ดาวน์โหลดและโปรแกรมติดตั้งระบบจะเปรียบเทียบไฟล์เหล่านี้กับแคตตาล็อกของมัลแวร์ที่รู้จักและรายการความน่าเชื่อถือ เมื่อไฟล์ปฏิบัติการเป็นอันตรายและขาดความน่าเชื่อถือที่เพียงพอ ระบบจะแจ้งเตือนผู้ใช้ด้วยข้อความที่ชัดเจน เพื่อให้ผู้ใช้สามารถตัดสินใจได้ว่าจะเรียกใช้ไฟล์นั้นหรือไม่

ด้วยการป้องกันฟิชชิ่งที่ได้รับการปรับปรุง SmartScreen จึงก้าวไปอีกขั้นและ ตรวจจับเมื่อผู้ใช้ป้อนข้อมูลประจำตัวของ Microsoft ในแอปพลิเคชันหรือเว็บไซต์ที่ไม่น่าเชื่อถือระบบจะแจ้งเตือนคุณทันทีเพื่อป้องกันการขโมยรหัสผ่านในการโจมตีแบบฟิชชิ่ง องค์กรต่างๆ สามารถกำหนดค่าการแจ้งเตือนเหล่านี้ได้จากภายใน Intune

นอกเหนือจากเบราว์เซอร์แล้ว การป้องกันเครือข่ายขยายการป้องกันเหล่านี้ไปยังเบราว์เซอร์และกระบวนการอื่นๆเมื่อผสานรวมเข้ากับ Defender for Endpoint แล้ว จะช่วยให้คุณกำหนดตัวบ่งชี้การบุกรุกเพื่อบล็อก IP และ URL ที่เฉพาะเจาะจง เชื่อมต่อกับ Defender for Cloud Apps เพื่อแบนแอปพลิเคชันที่ไม่ได้รับอนุญาต และใช้การกรองเนื้อหาเว็บตามหมวดหมู่ได้

สำหรับเรื่องการเข้ารหัสข้อมูลนั้น Windows 11 Pro เปิดใช้งานโดยค่าเริ่มต้นอยู่แล้ว TLS 1.3 รองรับชุดการเข้ารหัสที่ทันสมัยและกำจัดอัลกอริทึมที่ล้าสมัยออกไปหากส่วนใดส่วนหนึ่งของการสื่อสารไม่รองรับ TLS 1.3 ระบบจะเปลี่ยนไปใช้ TLS 1.2 และสำหรับการสื่อสารที่ใช้ UDP จะใช้ DTLS 1.2 การกำหนดค่านี้ช่วยลดความหน่วงและเพิ่มความลับของข้อมูล

ไคลเอนต์ DNS สามารถใช้งานได้ DNS over HTTPS (DoH) และ DNS over TLS (DoT)วิธีนี้ช่วยให้มั่นใจได้ว่าการสอบถามชื่อจะถูกเข้ารหัสจากผู้สังเกตการณ์ตลอดเส้นทาง ผู้ดูแลระบบสามารถใช้ Group Policy และ CSP เพื่อบังคับใช้การเข้ารหัส DNS เฉพาะกับตัวแก้ไขที่เชื่อถือได้ หรือปิดใช้งานในสภาพแวดล้อมที่ต้องอาศัยการตรวจสอบ DNS แบบข้อความธรรมดา

ในเครือข่ายไร้สาย Windows 11 Pro รองรับ WPA3 ในโหมด Personal, Enterprise และ Enterprise 192-bit พร้อมด้วย OWE สำหรับเครือข่ายเปิดที่เข้ารหัสในสภาพแวดล้อมการใช้งานอุปกรณ์เคลื่อนที่ การรองรับ 5G และ eSIM ช่วยให้การเชื่อมต่อมีการตรวจสอบความถูกต้องร่วมกัน โดยข้อมูลประจำตัวจะถูกจัดเก็บไว้ในโมดูลที่ปลอดภัย ซึ่งทำให้การโจมตีโดยการดักฟังทำได้ยากขึ้น

แพลตฟอร์ม VPN สำหรับ Windows ทำให้การใช้งานง่ายขึ้น โปรโตคอลในตัว เช่น IKEv2 หรือ SSTP เช่น การติดตั้งแอปพลิเคชันไคลเอ็นต์ UWP จากผู้ให้บริการภายนอกผ่าน Microsoft Store ระบบนี้ทำงานร่วมกับ Microsoft Entra ID, การเข้าถึงแบบมีเงื่อนไข และการตรวจสอบสิทธิ์แบบหลายปัจจัย อีกทั้งยังอนุญาตให้สร้างโปรไฟล์การเชื่อมต่อแบบแยกส่วนหรือแบบเฉพาะเจาะจง การเปิดใช้งานอัตโนมัติตามเครือข่าย แอปพลิเคชัน หรือปลายทาง และการจัดการแบบรวมศูนย์ผ่าน Intune

การป้องกันมัลแวร์: Microsoft Defender, การลดพื้นที่เสี่ยงต่อการโจมตี และการปกป้องระบบ

Windows 11 Pro ประกอบด้วย Microsoft Defender Antivirus คือเครื่องมือป้องกันรุ่นใหม่โดยปกติแล้วโปรแกรมนี้จะทำงานโดยอัตโนมัติ เว้นแต่จะมีการติดตั้งโปรแกรมป้องกันไวรัสอื่นไว้ โปรแกรมนี้ผสานรวมการวิเคราะห์แบบเรียลไทม์ การวิเคราะห์เชิงพฤติกรรม การตรวจจับตามพฤติกรรม และการป้องกันบนคลาวด์ เข้ากับปัญญาประดิษฐ์และการเรียนรู้ของเครื่อง เพื่อระบุภัยคุกคามใหม่ ๆ ได้ในเวลาเพียงไม่กี่วินาที

การป้องกันนี้ได้รับการเสริมด้วย การป้องกันการดัดแปลงวิธีนี้จะป้องกันไม่ให้มัลแวร์หรือผู้ใช้รายอื่นปิดใช้งานการป้องกันแบบเรียลไทม์ การตรวจสอบพฤติกรรม การป้องกันบนคลาวด์ หรือลบการอัปเดตลายเซ็นและแก้ไขการยกเว้น ซึ่งทั้งหมดนี้ทำให้แรนซัมแวร์ปิดใช้งานระบบป้องกันได้ยากมากก่อนที่จะเข้ารหัสข้อมูล

ลา กฎการลดพื้นที่โจมตี (ASR) กฎเหล่านี้ช่วยบล็อกพฤติกรรมการโจมตีทั่วไป เช่น สคริปต์ที่เข้ารหัสลับ มาโครที่เรียกใช้ Win32 API ไฟล์ปฏิบัติการที่ดาวน์โหลดไฟล์ไบนารีอื่นๆ เป็นต้น กฎเหล่านี้มีประโยชน์อย่างยิ่งในการชะลอการดำเนินการเบื้องต้นหลังจากที่ช่องโหว่ใน Office เบราว์เซอร์ หรือแอปพลิเคชันถูกโจมตี

El ควบคุมการเข้าถึงโฟลเดอร์ มันปกป้องไดเร็กทอรีที่สำคัญ เช่น เอกสาร รูปภาพ และดาวน์โหลด โดยอนุญาตเฉพาะแอปพลิเคชันที่เชื่อถือได้เท่านั้นที่จะแก้ไขเนื้อหาได้ นับเป็นมาตรการตอบโต้โดยตรงต่อแรนซัมแวร์ เนื่องจากมันบล็อกการเขียนลงในไดเร็กทอรีเหล่านี้โดยกระบวนการที่ไม่รู้จักหรือน่าสงสัย

การทำงานของ การป้องกันช่องโหว่ ระบบนี้ใช้มาตรการบรรเทาผลกระทบกับกระบวนการและแอปพลิเคชันของระบบ เช่น DEP ที่ได้รับการปรับปรุง, ASLR, การตรวจสอบความถูกต้องของสแต็กอย่างเข้มงวด เป็นต้น สามารถกำหนดค่าได้ด้วยนโยบาย ทดลองใช้ในโหมดตรวจสอบ และกระจายไปยังคอมพิวเตอร์หลายเครื่องผ่าน Intune หรือ GPO พร้อมรายงานโดยละเอียดเมื่อใช้งานร่วมกับ Defender for Endpoint

การควบคุมแอปพลิเคชัน การแยกส่วน และการดำเนินการที่ปลอดภัย

แอปพลิเคชันเป็นช่องโหว่ที่มักเกิดปัญหาอยู่บ่อยครั้ง Windows 11 Pro ได้รวมเอาหลายชั้นไว้เพื่อให้มั่นใจได้ว่า... เฉพาะโค้ดที่เชื่อถือได้เท่านั้นที่จะถูกเรียกใช้งาน และหากมีสิ่งใดถูกบุกรุก ผลกระทบก็จะลดลงเหลือน้อยที่สุด Smart App Control จะบล็อกแอปที่ไม่ได้ลงนามหรือไม่มีชื่อเสียง สคริปต์ที่ไม่รู้จัก และมาโคร โดยใช้โมเดล AI และการจัดการชื่อเสียงบนคลาวด์

ในสภาพแวดล้อมที่มีการจัดการ การควบคุมแอพสำหรับธุรกิจ (ซึ่งเป็นการพัฒนาต่อยอดจาก Windows Defender Application Control เดิม) และ AppLocker ช่วยให้ควบคุมได้ละเอียดมากขึ้นว่าไฟล์ไบนารี สคริปต์ ไดรเวอร์ หรือแพ็กเกจ MSIX ใดบ้างที่ได้รับอนุญาต Intune ช่วยลดความซับซ้อนในการสร้าง การปรับใช้ และการบำรุงรักษานโยบายเหล่านี้ รวมถึงการจดจำตัวติดตั้งแบบจัดการโดยอัตโนมัติ

เพื่อเสริมความแข็งแกร่งให้กับระบบหลัก ระบบปฏิบัติการ Windows จึงรักษาไว้ซึ่ง... รายการบล็อกผู้ขับขี่ที่มีช่องโหว่ วิธีนี้จะป้องกันการโหลดไดรเวอร์เวอร์ชันที่ทราบว่าอนุญาตให้มีการยกระดับสิทธิ์หรือการหลีกเลี่ยงระบบรักษาความปลอดภัย ซึ่งเป็นการเสริมข้อกำหนดด้านลายเซ็น โดยป้องกันการใช้ประโยชน์จากข้อบกพร่องในไดรเวอร์ที่ถูกต้องแต่ล้าสมัย

การแยกแอปพลิเคชัน Win32 อาศัย AppContainers และ capability manifests ซึ่งสร้างกระบวนการที่มีความสมบูรณ์ต่ำและเข้าถึงทรัพยากรและ API ได้จำกัด เครื่องมือต่างๆ เช่น เครื่องมือวิเคราะห์ความสามารถของแอปพลิเคชัน (ACP) พวกเขาอนุญาตให้แอปพลิเคชันทำงานใน "โหมดการเรียนรู้" เพื่อระบุความสามารถที่จำเป็นก่อนที่จะบังคับให้เกิดการแยกส่วน

สำหรับการทดสอบซอฟต์แวร์ที่ไม่น่าเชื่อถือ หรือการวิเคราะห์ไฟล์ที่น่าสงสัย Windows Sandbox โปรแกรมนี้มีสภาพแวดล้อมเดสก์ท็อปน้ำหนักเบาที่ใช้ระบบเวอร์ชวลไลเซชัน Hyper-V เช่นเดียวกับระบบอื่นๆ ทุกอย่างที่ติดตั้งภายในแซนด์บ็อกซ์จะหายไปเมื่อปิดแซนด์บ็อกซ์ โดยไม่ทิ้งร่องรอยใดๆ บนระบบโฮสต์

นอกจากนี้ แอป UWP และส่วนประกอบสมัยใหม่จำนวนมากทำงานในคอนเทนเนอร์แอปพลิเคชันซึ่งจำกัดการเข้าถึงระบบไฟล์ รีจิสทรี และเครือข่าย ทำให้ยากที่แอปจะถูกโจมตีจนสามารถควบคุมอุปกรณ์ได้อย่างสมบูรณ์

การปกป้องข้อมูลส่วนบุคคล: Windows Hello, รหัสผ่าน, Credential Guard และโทเค็น

ในการโจมตีส่วนใหญ่ในปัจจุบัน เป้าหมายหลักไม่ใช่ตัวอุปกรณ์อีกต่อไป แต่เป็น... ข้อมูลประจำตัวผู้ใช้Windows 11 Pro เสริมความแข็งแกร่งในด้านนี้ด้วย Windows Hello และ Windows Hello สำหรับธุรกิจ ซึ่งแทนที่รหัสผ่านแบบเดิมด้วยการตรวจสอบสิทธิ์แบบใช้ PIN หรือไบโอเมตริก (ใบหน้าหรือลายนิ้วมือ) ที่รองรับโดย TPM และเข้ากันได้กับมาตรฐาน FIDO2/WebAuthn

รหัส PIN ของ Windows Hello นั้นเชื่อมโยงกับอุปกรณ์และจะไม่ถูกส่งออกจากคอมพิวเตอร์ เมื่อผู้ใช้ยืนยันตัวตนแล้ว คีย์แบบอสมมาตรที่จัดเก็บไว้ใน TPM จะถูกปลดล็อกและนำมาใช้ในการลงนามในคำท้าการยืนยันตัวตน ถึงแม้ผู้โจมตีจะขโมยรหัส PIN ไปได้ แต่หากไม่มีอุปกรณ์นั้น พวกเขาก็ไม่สามารถทำอะไรกับมันได้ใน 24H2 แม้แต่ในอุปกรณ์ที่ไม่มีระบบไบโอเมตริก ข้อมูลประจำตัว Hello ก็จะถูกแยกออกโดยใช้ VBS เพื่อป้องกันการโจมตีในระดับผู้ดูแลระบบ

ลา รหัสผ่าน สิ่งเหล่านี้แสดงถึงก้าวต่อไป: รหัสลับการเข้ารหัสที่ไม่ซ้ำใคร ซึ่งจัดเก็บไว้ในอุปกรณ์ต่างๆ (พีซี โทรศัพท์มือถือ คีย์ FIDO2) ที่ช่วยให้การเข้าสู่ระบบบริการที่เข้ากันได้ปลอดภัยจากการหลอกลวง โดยไม่จำเป็นต้องใช้ชื่อผู้ใช้และรหัสผ่าน Windows 11 Pro อนุญาตให้คุณสร้างและจัดการรหัสผ่านได้จากการตั้งค่าบัญชี โดยใช้ Hello คีย์ภายนอก หรือแม้แต่จากอุปกรณ์มือถือของคุณ

ในสภาพแวดล้อมขององค์กร Windows Hello สำหรับธุรกิจ Hello ผสานรวมกับ Active Directory และ Microsoft Entra ID ทำให้สามารถใช้งาน SSO ได้ทั้งในองค์กรและบนคลาวด์ สามารถตั้งค่าได้โดยใช้คีย์การเข้าถึงชั่วคราว การตรวจสอบสิทธิ์แบบหลายปัจจัยที่มีอยู่ หรือรหัสผ่าน และรองรับโมเดลแบบไฮบริด (Kerberos บนคลาวด์) ซึ่งช่วยลดความซับซ้อนในการใช้งานแบบผสมผสานได้อย่างมาก

Credential Guard ใช้ VBS เพื่อ แยกข้อมูลลับของ Active Directory และข้อมูลประจำตัวที่ได้มาออกจากกัน ในกระบวนการ LSA แยกต่างหากที่ไม่สามารถเข้าถึงได้จากส่วนที่เหลือของระบบ ซึ่งจะขัดขวางการโจมตีแบบดัมพ์ข้อมูลประจำตัว การโจมตีแบบส่งผ่านแฮช หรือการโจมตีแบบส่งผ่านตั๋วได้อย่างมาก Remote Credential Guard ใช้แนวทางเดียวกันนี้กับเซสชันเดสก์ท็อประยะไกล เพื่อป้องกันไม่ให้ข้อมูลประจำตัวถูกส่งไปยังคอมพิวเตอร์เป้าหมาย

La การป้องกัน LSA เพิ่มเติม ระบบนี้รับประกันว่าจะมีเพียงโค้ดที่ลงนามและเชื่อถือได้เท่านั้นที่จะถูกอัปโหลดไปยังหน่วยงานรักษาความปลอดภัยในเครื่อง ลดโอกาสการแทรกโค้ด โดยค่าเริ่มต้นจะเปิดใช้งานใน Windows 11 และในเวอร์ชัน 24H2 ได้ขยายไปสู่สถานการณ์ต่างๆ มากขึ้น โดยยังคงเคารพนโยบายขององค์กรที่กำหนดไว้เสมอ

ในส่วนของการปกป้องโทเค็นนั้น พยายามที่จะ... เชื่อมโยงโทเค็นการเข้าถึง Entra ID กับอุปกรณ์เฉพาะโดยใช้การเข้ารหัสลับดังนั้น แม้ว่าโทเค็นจะถูกขโมย การนำไปใช้ซ้ำบนอุปกรณ์อื่นก็สามารถถูกบล็อกได้ด้วยนโยบายการเข้าถึงแบบมีเงื่อนไข ซึ่งกำหนดให้ต้องมีหลักฐานแสดงความเป็นเจ้าของอุปกรณ์นั้น

ไฟร์วอลล์ การควบคุมการเข้าถึง นโยบาย และมาตรฐานความปลอดภัยขั้นพื้นฐาน

El ไฟร์วอลล์ของ Windows เป็นส่วนประกอบสำคัญของโมเดลการป้องกันเชิงลึก โดยมีคุณสมบัติการกรองแบบสองทิศทางตามโปรแกรม พอร์ต ที่อยู่ IP โปรไฟล์เครือข่าย และอื่นๆ และทำงานร่วมกับ IPsec เพื่อสร้างการสื่อสารที่ได้รับการตรวจสอบสิทธิ์ และอาจเข้ารหัสแบบ end-to-end ได้ ใน Windows 11 พฤติกรรมและการบันทึกข้อมูลได้รับการปรับปรุงเพื่ออำนวยความสะดวกในการตรวจสอบและแก้ไขปัญหา

ผู้ให้บริการการกำหนดค่าไฟร์วอลล์ (CSP) ช่วยให้สามารถใช้งาน Inune และโซลูชัน MDM อื่นๆ ได้ นำชุดกฎมาใช้แบบอะตอมิกหากกฎข้อใดล้มเหลว ระบบจะยกเลิกการตั้งค่าทั้งหมดในบล็อกนั้น เพื่อหลีกเลี่ยงการตั้งค่าที่ไม่สมบูรณ์ซึ่งอาจทำให้เกิดช่องโหว่ได้

ในแง่ของการอนุญาตสิทธิ์ ระบบปฏิบัติการ Windows อาศัย... รายการควบคุมการเข้าถึง (ACL) และ SACL สำหรับการตรวจสอบการเข้าถึงこれによりสามารถนำหลักการให้สิทธิ์ขั้นต่ำสุดมาใช้ได้อย่างแม่นยำ บันทึกการพยายามเข้าถึงทรัพยากรที่สำคัญ และตรวจจับพฤติกรรมที่ผิดปกติได้ นโยบายการล็อกบัญชีเริ่มต้นได้รับการปรับปรุงให้เข้มงวดขึ้นเพื่อยับยั้งการโจมตีแบบเดาแบบสุ่ม (โดยเฉพาะผ่าน RDP)

นโยบายด้านความปลอดภัยและการตรวจสอบสามารถกำหนดได้โดยใช้ Group Policy หรือ CSP หลังจากระบุทรัพยากรที่สำคัญ เหตุการณ์ที่จะต้องบันทึก และต้นทุนในการจัดเก็บและวิเคราะห์แล้ว กลยุทธ์การตรวจสอบที่ดีเป็นกุญแจสำคัญในการเปิดเผยความพยายามในการบุกรุกและการเคลื่อนย้ายข้อมูลในแนวนอน ก่อนที่จะสายเกินไป.

มาตรฐานความปลอดภัยของ Windows 11 จาก Microsoft นำเสนอชุดการตั้งค่าที่แนะนำ (BitLocker, SmartScreen, VBS, ไฟร์วอลล์, รหัสผ่าน, การล็อกบัญชี ฯลฯ) ซึ่งจัดเป็นแพ็กเกจเพื่อให้ใช้งานได้ง่ายจาก Intune หรือ Group Policy Objects (GPOs) โดยทำหน้าที่เป็นจุดเริ่มต้นที่มั่นคง ซึ่งสามารถปรับเปลี่ยนให้เข้ากับความต้องการเฉพาะของแต่ละองค์กรได้

การจัดการสมัยใหม่: Microsoft Entra ID, Intune, การรับรอง และ LAPS

การผสมผสานระหว่าง Windows 11 Pro, Microsoft Entra ID และ Microsoft Intune ทำให้สามารถนำรูปแบบการใช้งานแบบต่างๆ มาใช้ได้ การจัดการอุปกรณ์แบบคลาวด์เนทีฟEntra ID เหมาะอย่างยิ่งสำหรับสถานการณ์การทำงานแบบไฮบริดและการทำงานระยะไกล โดยให้การยืนยันตัวตน การเข้าสู่ระบบแบบ Single Sign-On (SSO) การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) และการเข้าถึงแบบมีเงื่อนไข ในขณะที่ Intune จัดการการกำหนดค่า แอปพลิเคชัน การปฏิบัติตามข้อกำหนด และการปกป้องข้อมูล

อุปกรณ์ต่างๆ สามารถเข้าร่วม Entra ID ได้โดยตรง หรือลงทะเบียนโดยยังคงรักษาความเป็นอุปกรณ์ส่วนตัวของตนเอง (BYOD) ไว้ ในทั้งสองกรณี ข้อมูลประจำตัวเชื่อมโยงกับอุปกรณ์แล้ว และนโยบายการเข้าถึงแบบมีเงื่อนไขอาจกำหนดให้ต้องใช้อุปกรณ์ที่เข้ากันได้ เข้ารหัส และปราศจากมัลแวร์ในการเข้าถึงทรัพยากรขององค์กร

La การรับรองการลงทะเบียน ระบบจะเชื่อมโยงใบรับรองการลงทะเบียน Intune และเข้าถึงฮาร์ดแวร์ของอุปกรณ์ผ่าน TPM เพื่อป้องกันไม่ให้มีการคัดลอกไปยังอุปกรณ์ที่ไม่ได้รับการจัดการ จากนั้นจะใช้ Azure Attestation เพื่อตรวจสอบสถานะความปลอดภัย (การบูต, VBS, Credential Guard เป็นต้น) ก่อนที่ Intune จะระบุว่าอุปกรณ์นั้นเป็นไปตามข้อกำหนด

ระบบ LAPS (Local Administrator Password Solution) ของ Windows ซึ่งรวมอยู่ในระบบปฏิบัติการ จะช่วยดำเนินการโดยอัตโนมัติ การหมุนเวียนและการจัดเก็บรหัสผ่านบัญชีผู้ดูแลระบบในเครื่องอย่างปลอดภัย ในสภาพแวดล้อมที่เชื่อมโยงกับ Entra หรือ Active Directory เวอร์ชัน 24H2 ได้รวมเอาการปรับปรุงต่างๆ เช่น การสร้างรหัสผ่านที่อ่านง่าย การสร้างบัญชีผู้ใช้แบบอัตโนมัติ และการตรวจจับการย้อนกลับของรูปภาพ

เพื่อนำอุปกรณ์ไปใช้งานและรีไซเคิลในวงกว้าง Autopilot ของ Windows ฟังก์ชันนี้ช่วยให้สามารถส่งมอบอุปกรณ์จากผู้ผลิตไปยังผู้ใช้ได้โดยตรง เข้าร่วม Entra หรือ Active Directory แบบไฮบริด ลงทะเบียนใน Intune และรับโปรไฟล์ แอปพลิเคชัน และนโยบายต่างๆ ได้โดยที่ฝ่ายไอทีไม่ต้องเข้าไปยุ่งเกี่ยวกับเครื่องเลย นอกจากนี้ Autopilot Reset ยังช่วยเร่งกระบวนการกำหนดอุปกรณ์ใหม่หรือการกู้คืนอุปกรณ์หลังเกิดเหตุการณ์ต่างๆ อีกด้วย

Windows Update for Business และ Windows Autopatch ช่วยทำให้การแจกจ่ายการอัปเดตด้านความปลอดภัย ฟีเจอร์ และไดรเวอร์เป็นไปโดยอัตโนมัติ อนุญาตให้มีการติดตั้งวงแหวนและการทดสอบเบื้องต้นHotpatch ช่วยลดจำนวนการรีสตาร์ทที่จำเป็นในการติดตั้งแพทช์ที่สำคัญ ซึ่งเป็นการนำสิ่งที่ได้เรียนรู้จาก Azure เกี่ยวกับการอัปเดตที่มีผลกระทบต่ำมาสู่ลูกค้า

OneDrive, การพิมพ์ที่ปลอดภัย และการปกป้องข้อมูล

การปกป้องข้อมูลไม่ได้สิ้นสุดแค่ที่ตัวอุปกรณ์ OneDrive สำหรับการทำงานหรือการเรียน และ OneDrive สำหรับการใช้งานส่วนตัว มีคุณสมบัติเพิ่มเติมดังนี้ การจัดเก็บข้อมูลที่เข้ารหัสทั้งในระหว่างการส่ง (TLS) และขณะจัดเก็บ (AES-256 ต่อไฟล์)โดยใช้คีย์ที่ได้รับการปกป้องใน Azure Key Vault ทำให้ง่ายต่อการสำรองข้อมูลโฟลเดอร์สำคัญและกู้คืนจากการโจมตีของแรนซัมแวร์ผ่านการจัดการเวอร์ชันและการกู้คืนไฟล์

Personal Vault เพิ่มเลเยอร์พิเศษให้กับ OneDrive Personal ซึ่งต้องมีการตั้งค่าเพิ่มเติม ปัจจัยการตรวจสอบสิทธิ์ขั้นที่สองเพื่อเข้าถึงไฟล์ที่มีความละเอียดอ่อนที่สุดมีประโยชน์อย่างยิ่งสำหรับการสร้างสำเนาดิจิทัลของเอกสารสำคัญส่วนบุคคลหรือเอกสารทางวิชาชีพ

ในด้านการพิมพ์ Universal Print ย้ายตรรกะการพิมพ์ไปยังระบบคลาวด์ ทำให้ไม่จำเป็นต้องใช้เซิร์ฟเวอร์การพิมพ์ในพื้นที่และไดรเวอร์ที่ติดตั้งบนเครื่องลูกข่ายอีกต่อไป เครื่องพิมพ์แต่ละเครื่องจะลงทะเบียนเป็นอุปกรณ์ใน Entra ID และตรวจสอบสิทธิ์โดยใช้ใบรับรองของตนเองซึ่งเป็นการสนับสนุนโมเดล Zero Trust ที่ผู้ใช้และอุปกรณ์ไม่จำเป็นต้องอยู่ในเครือข่ายเดียวกันกับเครื่องพิมพ์อีกต่อไป

นอกจากนี้ Windows 11 ยังแนะนำคุณสมบัติใหม่ๆ อีกด้วย การพิมพ์ที่ปลอดภัยของ Windowsโดยมุ่งเน้นที่ระบบการพิมพ์ที่ทันสมัยและสม่ำเสมอโดยไม่ต้องใช้ไดรเวอร์แบบดั้งเดิม ซึ่งช่วยลดพื้นที่เสี่ยงต่อการโจมตีที่เคยเกิดขึ้นจากช่องโหว่ในโมเดลไดรเวอร์การพิมพ์

ความเป็นส่วนตัว การส่งข้อมูลทางไกล และการควบคุมของผู้ใช้

นอกเหนือจากด้านความปลอดภัยแล้ว Windows 11 Pro ยังมีคุณสมบัติอื่นๆ อีกมากมาย สามารถเข้าถึงการตั้งค่าความเป็นส่วนตัวได้จากเมนูการตั้งค่าสิทธิ์การเข้าถึงข้อมูลต่างๆ เช่น ตำแหน่งที่ตั้ง กล้อง ไมโครโฟน รายชื่อติดต่อ ประวัติการโทร การใช้งานทรัพยากร ฯลฯ ประวัติการใช้งานแอปจะแสดงให้เห็นว่าแอปใดเข้าถึงทรัพยากรใดบ้างในช่วงเจ็ดวันที่ผ่านมา ซึ่งช่วยในการตรวจจับพฤติกรรมที่ผิดปกติ

แถบระบบจะแสดงไอคอนที่มองเห็นได้เมื่อกล้องหรือไมโครโฟนกำลังใช้งานอยู่ ข้อมูลบริบทเกี่ยวกับแอปพลิเคชันใดที่กำลังใช้งานอยู่แอปพลิเคชันต่างๆ สามารถผสานรวมกับ API ปิดเสียงด่วนเพื่อป้องกันการรั่วไหลโดยไม่ตั้งใจระหว่างการประชุมหรือการบันทึก

ผู้ใช้สามารถดูและจัดการข้อมูลของตนได้ใน แดชบอร์ดความเป็นส่วนตัวของ Microsoftซึ่งรวมถึงการส่งออกและลบข้อมูล ตลอดจนการตรวจสอบรายงานความเป็นส่วนตัวของ Windows เพื่อทำความเข้าใจให้ดียิ่งขึ้นว่ามีการเก็บรวบรวมข้อมูลอะไรบ้างและเพื่อวัตถุประสงค์ใด ในสภาพแวดล้อมที่ต้องปฏิบัติตาม GDPR จะมีการตั้งค่าให้องค์กรเป็น "ผู้ควบคุมข้อมูล" ของข้อมูลการวินิจฉัยของ Windows

บัญชี Microsoft Personal Account (MSA) รวบรวมการสมัครใช้งาน อุปกรณ์ ความปลอดภัย และความเป็นส่วนตัวไว้ในที่เดียว และมอบความสามารถในการ เข้าสู่ระบบโดยไม่ต้องใช้รหัสผ่านโดยใช้ Windows Hello หรือ Microsoft Authenticatorฟังก์ชันต่างๆ เช่น "ค้นหาอุปกรณ์ของฉัน" ช่วยค้นหา ล็อก หรือลบข้อมูลอุปกรณ์ที่สูญหายหรือถูกขโมย ลดความเสี่ยงในกรณีที่อุปกรณ์สูญหาย

สุดท้าย การบูรณาการกับ มีการใช้ Rust ในบางส่วนของเคอร์เนลและส่วนประกอบด้านความปลอดภัย สิ่งนี้สะท้อนให้เห็นถึงความมุ่งมั่นของ Microsoft ในการพัฒนาภาษาโปรแกรมที่ช่วยลดช่องโหว่ด้านหน่วยความจำ ซึ่งเป็นหนึ่งในแหล่งที่มาของการโจมตีที่ร้ายแรงที่สุด เมื่อผนวกรวมกับโปรแกรมล่ารางวัลสำหรับการค้นหาบั๊ก ทีม MORSE และ Windows Insider แล้ว จะสร้างวงจรการค้นพบและแก้ไขบั๊กในระยะเริ่มต้นอย่างต่อเนื่อง

ด้วยเครือข่ายเลเยอร์ทั้งหมดนี้ ตั้งแต่ TPM, Pluton, VBS และ BitLocker ไปจนถึง SmartScreen, Defender, Firewall และ App Control รวมถึง Entra ID, Intune, OneDrive และ Universal Print ทำให้ Windows 11 Pro มอบสิ่งต่างๆ มากมาย แพลตฟอร์มที่สามารถรับมือกับภัยคุกคามสมัยใหม่ได้ หากได้รับการกำหนดค่าอย่างชาญฉลาดการผสานรวมการป้องกันแบบบูรณาการ การกำหนดเกณฑ์มาตรฐาน การตรวจสอบสถานะความปลอดภัยเป็นระยะ และการฝึกอบรมผู้ใช้เกี่ยวกับแนวปฏิบัติที่ดี คือสิ่งที่เปลี่ยนฐานทางเทคนิคเหล่านั้นให้กลายเป็นสภาพแวดล้อมที่แข็งแกร่งอย่างแท้จริงสำหรับการทำงานอย่างสบายใจ