受信任的启动 (安全启动 + 测量的启动)
Windows 11要求所有电脑使用统一可扩展固件接口 (UEFI) 的安全启动功能。 当Windows 11设备启动时,安全启动和受信任的启动协同工作,以防止恶意软件和损坏的组件加载。 安全启动提供初始保护,然后受信任的启动会继续该过程。
安全启动通过 Windows 内核的受信任启动序列从统一可扩展固件接口 (UEFI) 创建安全且受信任的路径。 在整个 UEFI、引导加载程序、内核和应用程序环境之间的启动序列中强制签名握手,可阻止 Windows 启动序列上的恶意软件攻击。
为了降低固件根工具包的风险,电脑会在启动过程开始时验证固件的数字签名。 然后,安全启动会检查作系统启动加载程序的数字签名以及作系统启动之前运行的所有代码,确保签名和代码不受破坏,并且根据安全启动策略受信任。
受信任启动将继续执行安全启动过程。 Windows 引导加载程序在加载 Windows 内核之前验证其数字签名。 Windows 内核验证 Windows 启动过程的每个其他组件,包括启动驱动程序、启动文件和任何反恶意软件产品的早期启动反恶意软件 (ELAM) 驱动程序。 如果这些文件中的任何一个被篡改,引导加载程序将检测到问题并拒绝加载损坏的组件。 通常,Windows 可以自动修复损坏的组件,并且能够恢复 Windows 的完整性,并允许电脑正常启动。
了解更多信息
加密
加密使用代码转换数据,以便只有特定收件人可以使用密钥来读取数据。 加密强制实施隐私,以防止除预期收件人以外的任何人读取数据、确保数据完整性(确保数据不受篡改)以及验证身份的身份验证,以确保通信安全。 Windows 中的加密堆栈从芯片扩展到云,使 Windows、应用程序和服务能够保护系统和用户机密。
Windows 中的加密是 联邦信息处理标准 (FIPS) 140 认证。 FIPS 140 认证确保仅使用美国政府批准的算法 (RSA 进行签名,使用具有 NIST 曲线的 ECDH 进行密钥协议,使用 AES 进行对称加密,将 SHA2 用于哈希) ,测试模块完整性以证明没有发生篡改,并证明其随机性。
Windows 加密模块提供低级别基元,例如:
- 随机数生成器 (RNG)
- 对称和非对称加密 (支持 AES 128/256 和 RSA 512 到 16,384,以 64 位增量进行,ECDSA 以 NIST 标准质曲线 P-256、P-384、P-521)
- 后量子算法 (ML-KEM、ML-DSA)
- 哈希 (对 SHA-256、SHA-384、SHA-512 和 SHA-3*)
- OAEP、PSS、PKCS1) 的签名和验证 (填充支持
- 关键协议和密钥派生 (支持 ECDH over NIST 标准质曲线 P-256、P-384、P-521 和HKDF)
Windows 通过加密 API (CAPI) 和加密 下一代 API (CNG) 来本机公开加密模块,该 API 由 Microsoft 的开源加密库 SymCrypt 提供支持。 SymCrypt 是Microsoft透明度承诺的一部分,其中包括全球Microsoft政府安全计划,该计划旨在提供人们信任Microsoft产品和服务所需的机密安全信息和资源。 该计划提供对源代码的受控访问、威胁和漏洞信息交换、参与有关Microsoft产品和服务的技术内容的机会,以及访问五个全球分布的透明中心。 应用程序开发人员可以使用 API (BCrypt) 执行低级别加密作、 (NCrypt) 执行密钥存储作、 (DPAPI) 保护静态数据,以及安全地 (DPAPI-NG) 共享机密。
Windows 包括对 SHA-3 系列哈希函数和 SHA-3 派生函数的支持, (SHAKE、cSHAKE 和 KMAC) 。 以下是美国国家标准与技术研究院 (NIST) 的最新标准化哈希函数,可以通过 Windows CNG 库使用它们:
- 支持的 SHA-3 哈希函数: 不支持 SHA3-256、SHA3-384、SHA3-512 (SHA3-224)
- 支持的 SHA-3 HMAC 算法: HMAC-SHA3-256、HMAC-SHA3-384、HMAC-SHA3-512
- 支持的 SHA-3 派生算法: 扩展输出函数 (XOF) (SHAKE128、SHAKE256) 、可自定义的 XOF (cSHAKE128、cSHAKE256) 和 KMAC (KMAC128、KMAC256、KMACXOF128、KMACXOF256) 。
后量子加密
今年早些时候,我们在核心加密库 SymCrypt 中共享 了对后量子 算法的支持, (ML-KEM、 ML-DSA) 。 我们在 Windows 预览体验成员中通过 CNG 以及证书和加密消息传送函数支持该版本。 我们很高兴将此支持扩展到最新的Windows 11版本。
在需要公钥封装或密钥交换的情况下使用 ML-KEM 有助于 立即准备收获,解密以后 的威胁。
下面是受支持的参数集:
| 算法 | 公钥大小 | 密码文本大小 | 共享机密大小 | NIST 安全级别 |
|---|---|---|---|---|
| ML-KEM 512 | 800 字节 | 768 字节 | 32 字节 | 1 级 |
| ML-KEM 768 | 1,184 字节 | 1,088 字节 | 32 字节 | 级别 3 |
| ML-KEM 1024 | 1,568 字节 | 1,568 字节 | 32 字节 | 级别 5 |
在加密 API 中添加 ML-DSA:下一代 (CNG) 使开发人员能够针对需要使用数字签名验证标识、完整性或真实性的方案开始试验 PQC 算法。
下面是受支持的参数集:
| 算法 | 公钥大小 | 私钥大小 | 签名大小 | NIST 安全级别 |
|---|---|---|---|---|
| ML-DSA-44 | 1,312 字节 | 2,560 字节 | 2,420 字节 | 2 级 |
| ML-DSA-65 | 1,952 字节 | 4,032 字节 | 3,309 字节 | 级别 3 |
| ML-DSA-87 | 2,592 字节 | 4,896 字节 | 4,627 字节 | 级别 5 |
请访问我们的 加密开发人员页面 ,详细了解如何开始!
证书
为了帮助保护和验证信息,Windows 提供对证书和证书管理的全面支持。 使用内置证书管理命令行实用工具 (certmgr.exe) 或Microsoft管理控制台 (MMC) 管理单元 () certmgr.msc 查看和管理证书、证书信任列表 () ) ,以及证书吊销列表 (CRL) 。 每当在 Windows 中使用证书时,系统会验证叶证书及其信任链中的所有证书是否未吊销或泄露。 计算机上的受信任的根证书和中间证书以及公开吊销的证书作为公钥基础结构 (PKI) 信任的参考,并由Microsoft受信任的根程序每月更新一次。 如果吊销了受信任的证书或根证书,则会更新所有全局设备,以便用户可以相信 Windows 会自动防范公钥基础结构中的漏洞。 对于云和企业部署,Windows 还为用户提供了使用组策略在 Active Directory 中自动注册和续订证书的功能,以降低由于证书过期或配置错误而导致的潜在中断风险。
代码签名和完整性
为确保 Windows 文件可信且未被篡改,Windows 代码完整性进程将验证 Windows 内核中运行的每个文件的签名。 在强制实施智能应用控制或适用于企业的应用控制策略的系统上,Windows 将代码完整性验证扩展到运行的每个用户模式二进制文件。 代码签名是跨 Windows 平台建立固件、驱动程序和软件完整性的核心。 代码签名使用代码签名证书中的私钥加密文件的哈希,并将该签名嵌入文件或签名目录,从而创建数字签名。 Windows 代码完整性进程通过将已签名文件的哈希与已签名哈希进行比较来验证其完整性,并确认签名者是信誉良好的发布者。
Windows 环境评估 Windows 启动代码、Windows 内核代码和 Windows 用户模式应用程序的数字签名。 在代码完整性运行之前,安全启动会验证启动加载程序、选项 ROM 和其他启动组件上的签名,以确保文件未经修改,并且来自受信任的信誉良好的发布者。 对于Microsoft未发布的驱动程序,内核模式代码完整性验证内核驱动程序上的签名,并要求驱动程序由 Windows 签名或 Windows 硬件兼容性计划 (WHCP) 认证。 此程序可确保第三方驱动程序与各种硬件和 Windows 兼容,并且驱动程序来自经过审查的驱动程序开发人员。
设备运行状况证明
Windows 设备运行状况证明过程支持零信任范例,将焦点从基于网络的静态外围转移到用户、资产和资源。 证明过程会确认设备、固件和启动进程处于良好状态,在它们可以访问公司资源之前不会被篡改。 此过程使用存储在 TPM 中的数据做出这些确定,从而提供安全的信任根。 信息将发送到证明服务(如Azure 证明),以验证设备是否处于受信任状态。 然后,云原生设备管理解决方案(如 Microsoft Intune[3] )查看设备运行状况,并将此信息与 Microsoft Entra ID[3] 连接,以便进行条件访问。
Windows 包含许多安全功能,可帮助保护用户免受恶意软件和攻击。 但是,仅当平台按预期启动且未篡改时,安全组件才可信。 如前所述,Windows 依赖于统一可扩展固件接口 (UEFI) 安全启动、ELAM、DRTM、受信任启动和其他低级别硬件和固件安全功能来保护你的电脑免受攻击。 从打开电脑到反恶意软件启动的那一刻起,Windows 都支持适当的硬件配置,有助于保护你的安全。 由启动加载程序和 BIOS 实现的测量启动以链接方式验证和加密记录启动的每个步骤。 这些事件绑定到 TPM,TPM 充当硬件信任根。 远程证明是服务读取和验证这些事件以提供可验证、无偏见且可篡改的报告的机制。 远程证明是系统启动的受信任审核员,允许依赖方将信任绑定到设备及其安全性。
在 Windows 设备上证明和零信任所涉及的步骤摘要如下:
- 在启动过程的每个步骤(例如文件加载、特殊变量更新等)期间,文件哈希和签名等信息都将在 TPM 平台配置寄存器 (PCR) 中测量。 受信任的计算组规范绑定度量值,并规定可以记录哪些事件以及每个事件的格式。 数据提供设备从开机的那一刻起的重要信息。
- Windows 启动后,证明程序 (或验证程序) 请求 TPM 获取存储在其 PCR 中的度量值以及测量启动日志。 这些度量值共同构成了发送到Azure 证明服务的证明证据。
- Azure证书服务使用芯片集上提供的密钥或加密材料验证 TPM。
- Azure 证明服务接收上述信息,以验证设备是否处于受信任状态。
了解更多信息
Windows 安全策略设置和审核
安全策略设置在整体安全策略中起着重要作用。 Windows 提供了一组全面的安全设置策略,IT 管理员可使用这些策略来帮助保护组织中的 Windows 设备和其他资源。 可以在一个或多个设备上配置安全策略设置以控制:
- 对网络或设备的用户身份验证
- 用户可以访问的资源
- 是否在事件日志中记录用户或组的作
- 组中的成员身份
安全审核是可用于维护网络和资产完整性的最强大的工具之一。 审核有助于识别针对高价值目标的攻击、网络漏洞和威胁。 可以使用配置服务提供程序 (CSP) 或组策略,指定与安全相关的事件的类别,以创建适合组织需求的审核策略。
首次安装 Windows 时,将禁用所有审核类别。 在启用它们之前,请按照以下步骤创建有效的安全审核策略:
- 确定最关键的资源和活动。
- 确定跟踪这些设置所需的审核设置。
- 评估与每个资源或设置相关的优势和潜在成本。
- 测试这些设置以验证你的选择。
- 制定用于部署和管理审核策略的计划。
了解更多信息
受 Windows 保护的打印
受 Windows 保护的打印提供新式安全打印系统,可最大程度地提高兼容性并将用户放在第一位。 它允许设备使用 Windows 新式打印堆栈进行独占打印,从而简化了打印体验。
受 Windows 保护的打印的优势包括:
- 提高电脑安全性
- 简化且一致的打印体验,无论电脑体系结构如何
- 无需管理打印驱动程序
受 Windows 保护的打印仅适用于经过 Mopria 认证的打印机。 许多现有打印机已经兼容。
了解更多信息
Rust for Windows
Rust 是一种现代编程语言,以注重安全性、性能和并发性而闻名。 它可以防止常见的编程错误,例如 null 指针取消引用和缓冲区溢出,从而导致安全漏洞和崩溃。 Rust 通过其独特的所有权系统实现此保护,该系统无需垃圾回收器即可确保内存安全。 我们正在扩展 Rust 与 Windows 内核的集成,以提高 Windows 代码库的安全性和可靠性。 这一战略举措突显了我们采用现代技术以提高 Windows 的质量和安全性的承诺。
了解更多信息
Sysmon 功能
Sysmon 功能即将推出到 Windows。 Windows 中的 Sysmon 功能提供易于激活、丰富且可自定义的威胁检测信号,这些信号受到企业安全团队、第三方安全供应商和其他合作伙伴的重视。 Windows 中即将发布的 Sysmon 功能有助于简化作、减轻部署负担,并显著提高对 Windows 日志的可见性。 借助此功能,安全团队可以更快、更有效地识别威胁。
了解更多信息