Windows 11 提升了網路安全的標準,提供全面的保護,幫助人們幾乎在任何地方都能自信地工作。 為了幫助減少組織的攻擊面,Windows 的網路保護能防止人們存取可能承載釣魚詐騙、漏洞利用及其他惡意內容的危險 IP 位址與網域。 利用基於聲譽的服務,網路保護阻擋潛在有害、低聲譽的網域與 IP 位址的存取。
新的 DNS 與 TLS 協定版本強化了應用程式、網路服務及零信任網路所需的端對端防護。 檔案存取新增了不可信網路情境,包含 QUIC 上的伺服器訊息區塊,以及新的加密與簽章功能。 Wi-Fi 與藍牙的進步也提升了與其他裝置連接的信任度。 此外,VPN 與 Windows 防火牆平台提供了輕鬆配置與除錯軟體的新方法。
在企業環境中,網路保護與 適用於端點的 Microsoft Defender 合作效果最佳, 提供詳細的保護事件報告,作為更大調查情境的一部分。
了解更多
傳輸層安全性 (TLS)
傳輸層安全 (TLS) 是一種在傳輸中加密資料的安全協定。 它有助於在兩個端點之間提供安全的通訊通道。 Windows 預設啟用最新的協定版本與強密碼套件。 它提供完整的擴充套件,例如客戶端認證以增強伺服器安全性,以及會話恢復以提升應用程式效能。 TLS 1.3 是該協定的最新版本,且在 Windows 中預設啟用。 此版本會消除過時的密碼編譯演算法、較舊版更增強的安全性,並盡可能加密大部分 TLS 交握。 握手效率較高,平均每轉機少一趟往返。 它僅支援強密碼套件,提供完美的前向保密性及較低的操作風險。 使用 TLS 1.3 能提供更高的隱私與更低的加密線上連線延遲。 如果連線兩端的客戶端或伺服器應用程式不支援 TLS 1.3,連線就會退回到 TLS 1.2。 Windows 使用最新的資料報傳輸層安全性(Datagram Transport Layer Security) (DTLS) 1.2 來進行 UDP 通訊。
了解更多
網域名稱系統 (DNS) 安全
在 Windows 11 中,Windows DNS 用戶端支援 DNS over HTTPS 和 DNS over TLS,這兩種加密的 DNS 協定。 這些系統讓管理員能確保裝置能保護其名稱查詢免受路徑攻擊者的侵害,無論是被動觀察者記錄瀏覽行為,還是主動試圖將用戶端導向惡意網站的攻擊者。 在零信任模型中,網路邊界不建立信任,必須與受信任的名稱解析器建立安全連線。
Windows 11 提供群組政策與程式控制來設定 DNS over HTTPS 行為。 因此,IT 管理員可以擴展現有安全機制,採用如零信任等新模式。 IT 管理員可以強制使用 DNS over HTTPS 協定,確保使用不安全的 DNS 裝置無法連接網路資源。 IT 管理員也可以選擇不使用 DNS over HTTPS 或 DNS over TLS,特別是在受信任的網路邊緣設備檢查明文 DNS 流量的舊有部署中。 預設情況下,Windows 11 會讓本地管理員決定,解決器應該使用加密的 DNS。
DNS 加密的支援整合於現有 Windows DNS 設定,例如 NRPT) (名稱解析政策表、系統主機檔案,以及依網路介面卡或網路設定檔指定的解析器。 此整合幫助 Windows 11 確保提升 DNS 安全性的好處不會讓現有的 DNS 控制機制倒退。
Zero Trust DNS (ZTDNS)
Zero Trust DNS (ZTDNS) 是一項Windows 11安全功能,能在端點強制執行基於網域的網路存取控制。 它對 DNS 解析採用零信任原則,確保裝置僅連接經過受信任 DNS 伺服器驗證的目的地。 這能降低 DNS 劫持、惡意軟體攻擊及資料外洩等風險。
主要功能
- 加密 DNS 強制執行:支援 DNS-over-HTTPS (DoH) 及 DNS-over-TLS (DoT) ,以保護 DNS 查詢免於攔截與竄改。
- 基於政策的存取控制:除非目的地由管理員核准的 DNS 伺服器解決或政策明確允許,否則會阻擋出站 IP 流量。
- 零信任對齊:在 DNS 層實施「永不信任,永遠驗證」,補充更廣泛的零信任網路策略。
優點
- 在不破壞加密 DNS 流量的情況下,增強對 DNS 攻擊的防護。
- 協助組織達成如行政命令14028及OMB M-22-09等加密DNS及保護性DNS執行的合規要求。
- 為企業環境提供集中控制與審計DNS解析。
了解更多
藍牙保護
連接到 Windows 11 的藍牙裝置數量持續增加。 Windows 使用者連接藍牙耳機、滑鼠、鍵盤及其他配件,透過享受串流、生產力與遊戲,提升日常電腦體驗。 Windows 支援所有標準藍牙配對通訊協定,包括傳統和 LE 安全連線、安全簡單配對,以及 LE 傳統配對。 Windows 也實作基於主機的 LE 隱私。 Windows 更新幫助使用者掌握作業系統與驅動程式安全功能,依據藍牙特別興趣小組 SIG) (Standard 漏洞報告,以及超越藍牙核心產業標準要求的問題。 Microsoft 強烈建議保持藍牙配件的韌體與軟體更新。
IT 管理環境透過組態服務提供者、群組政策與 PowerShell 提供多種政策設定。 你可以透過像 Microsoft Intune[3] 這類裝置管理解決方案來管理這些設定。 你可以設定 Windows 使用藍牙技術,同時支援組織的安全需求。 例如,你可以允許輸入和音訊,同時阻擋檔案傳輸、強制加密標準、限制 Windows 的可偵測性,甚至在最敏感的環境中完全關閉藍牙。
了解更多
Wi-Fi 連結
Windows Wi-Fi 支援連接 Wi-Fi 網路時的業界標準認證與加密方法。 WPA (Wi-Fi 保護存取) 是由 Wi-Fi 聯盟 (WFA) 制定的安全標準,旨在提供先進的資料加密與更佳的使用者驗證。
目前 Wi-Fi 認證的安全標準是 WPA3,相較於 WPA2 及舊有安全協議,它提供了更安全且可靠的連線方式。 Windows 支援三種 WPA3 模式——WPA3 個人、WPA3 企業版,以及 WPA3 企業版 192 位元 Suite B。
Windows 11 包含採用新 H2E 協定的 WPA3 Personal 及 WPA3 Enterprise 192 位元 Suite B。Windows 11 也支援 WPA3 Enterprise,該套件包含強化的伺服器憑證驗證及 TLS 1.3 透過 EAP-TLS 認證進行認證。
同時也包含機會性無線加密 (OWE) ,這是一項允許無線裝置建立加密連線至公共 Wi-Fi 熱點的技術。
Wi-Fi 7:企業 Game-Changer
自 2025 年 9 月起,Windows 11 (版本 24H2 及以後的) 引入無線網路的重大進展,支援 Wi-Fi 7。 組織現在可以利用更快的速度、更高的吞吐量、提升的可靠性和強化的安全性——這些都是配備 Wi-Fi 7個基地台的現代企業環境的理想。
Wi-Fi 7 for enterprise 旨在滿足不斷演變的安全需求,同時協助在高密度、高吞吐量情境下支援可靠的連線。
為什麼 Wi-Fi 7 對企業很重要
- 必須 WPA3-Enterprise 認證
- 無縫漫遊與企業專屬增強功能
- 效能提升
安全是共同的責任。 透過跨硬體與軟體生態系統的協作,我們能打造更具韌性的系統,無論是設計上還是預設安全,從 Windows 到雲端,實現數位體驗每一層的信任。
Wi-Fi 7 for enterprise 確保所有連接到企業網路的裝置都能享有更強加密協定、抗暴力破解攻擊,以及對敏感資料傳輸的強化保護。 透過強制執行 WPA3-Enterprise,Wi-Fi 7 有助於消除舊有漏洞,並為現代企業環境中的安全且高效能連線樹立新的基準。 學習如何在 Microsoft Intune 中匯入 Windows 裝置的 Wi-Fi 設定。
解鎖 Wi-Fi 7項優勢,助你組織
Windows 企業連線的 Wi-Fi 7 是整個生態系統深度協作的成果。 Wi-Fi 矽晶片廠商與 Wi-Fi 企業基地台製造商共同協助確保 Wi-Fi 7 已準備好用於實際企業部署。
啟用 Wi-Fi 7的先決條件:
- 支援 Wi-Fi 7 的 Windows 版本:裝置必須安裝於 Windows 11 版本 24H2,並更新至 2025 年 9 月的非安全預覽版或更新版本。
- 支援 Wi-Fi 7 的 Windows 企業筆電: 裝置必須配備 Wi-Fi 支援7功能的晶片組。
- 認證的 Windows Wi-Fi 7 驅動程式支援: 更新企業 Wi-Fi 驅動程式,並驗證其是否符合 Windows 中的 Wi-Fi 7 企業功能。 Wi-Fi 7 驅動程式可透過您的裝置原廠製造商 (OEM) 或獨立硬體廠商 (IHV) 取得。 具體發售日期,請直接聯絡您的 OEM/Wi-Fi 晶片製造商。
- Wi-Fi 7 企業級無線基地台: 在您的組織中部署 Wi-Fi 7 個企業級無線基地台。 有了這些元件,你就準備好在企業環境中啟用次世代無線連接。 因此,立即開始為使用者與工作負載提供更強的效能、安全性與連接性。
了解更多
5G 與 eSIM
5G 網路使用更強的加密技術與較佳的網路分段,相較於前幾代行動通訊協定。 與 Wi-Fi 不同,5G 接入始終使用相互驗證。 該裝置實體嵌入了 EAL4 認證的 eSIM 以儲存存取憑證,大幅降低攻擊者被竄改的難度。 5G 與 eSIM 共同為安全奠定堅實基礎。
了解更多
Windows 防火牆
Windows 防火牆是分層安全模型中的重要一環。 它提供基於主機的雙向網路流量過濾,根據裝置所連接的網路類型,阻擋未經授權的流量流入或流出本地裝置。
Windows 防火牆提供以下優點:
- 降低網路安全威脅風險:Windows 防火牆透過限制或允許多種屬性(如 IP 位址、埠口或程式路徑)流量的規則,縮小裝置的攻擊面。 此功能提升了可控性並降低攻擊成功的可能性。
- 保護敏感資料與智慧財產權:透過整合網際網路協定安全 (IPSec) ,Windows 防火牆提供一種簡單的方式來強制執行經過認證的端對端網路通訊。 它提供可縮放、分層式存取受信任的網路資源,協助強制執行資料的完整性,並選擇性地協助保護資料的機密性。
- 提升現有投資的價值:因為 Windows 防火牆是內建於作業系統的主機防火牆,你不需要額外的硬體或軟體。 Windows 防火牆的設計也是要透過已記載的應用程式開發介面 (API) 來補充現有的非 Microsoft 網路安全性解決方案。
Windows 11 讓 Windows 防火牆更容易分析和除錯。 IPSec 行為整合於 Packet Monitor,這是一個適用於 Windows 的內建跨元件網路診斷工具。 此外,Windows 防火牆事件日誌也經過強化,確保稽核能辨識出負責任何事件的特定過濾器。 此功能能分析防火牆行為並實現豐富的封包擷取,而無需依賴第三方工具。
管理員可透過 Microsoft Intune[3] 的端點安全節點中的防火牆與防火牆規則範本,使用防火牆組態服務提供者 (CSP) 的平台支援,並將這些設定套用至 Windows 端點。
Windows 中的 CSP (防火牆組態服務提供者(CSP)) ,對每個原子區塊內的防火牆規則實施全有或全無的做法。 過去,如果 CSP 在區塊中遇到任何規則的問題,就會停止處理該規則並停止處理後續規則,可能導致部分部署的規則區塊出現安全漏洞。 現在,如果區塊中的任何規則無法成功套用,CSP 會停止處理後續規則,並回滾該原子區塊中的所有規則,消除部分部署規則區塊的模糊性。
了解更多
虛擬私人網路 (VPN)
組織依賴 Windows 提供可靠、安全且易於管理的虛擬私人網路 (VPN) 解決方案。 Windows VPN 用戶端平台包含內建的 VPN 協定、設定支援、共通的 VPN 使用者介面,以及對自訂 VPN 協定的程式設計支援。 你可以在 Microsoft Store 找到企業與消費者 VPN 的 VPN 應用程式,包括最受歡迎的企業 VPN 閘道器應用程式。
在 Windows 11 中,我們將最常用的 VPN 控制項整合到Windows 11的快速動作面板中。 透過快速操作面板,使用者可以驗證 VPN 狀態、開始與停止連線,並輕鬆開啟設定以獲得更多控制功能。
Windows VPN 平台連接 Microsoft Entra ID[3] 及條件式存取,支援單一登入,包括多重驗證 (多重驗證) 透過 Microsoft Entra ID。 該 VPN 平台也支援經典的網域加入認證。 Microsoft Intune\3] 以及其他裝置管理解決方案都支援此功能。 彈性的 VPN 配置檔支援內建協定與自訂協定。 它能設定多種認證方法,並可根據需要自動啟動,或由最終使用者手動啟動。 它也支援分割隧道 VPN 及專屬 VPN,但對受信任的外部站點有例外。
有了 UWP 通用 Windows 平台 () VPN 應用程式,終端用戶就不會卡在舊版 VPN 用戶端。 商店會根據需要自動更新 VPN 應用程式。 當然,你的 IT 管理員會控制更新。
Windows VPN 平台針對像 Azure VPN 這類雲端 VPN 供應商進行了調整與強化。 像是 Microsoft Entra ID 認證、Windows 使用者介面整合、管道 IKE 流量選擇器以及伺服器支援等功能,都內建於 Windows VPN 平台中。 整合進 Windows VPN 平台後,IT 管理體驗更為簡單。 使用者認證更為一致,使用者也能輕鬆找到並控制自己的 VPN。
了解更多
伺服器訊息區塊檔案服務
伺服器訊息區塊 (中小企業) 與檔案服務,是商業及公共部門生態系統中最常見的 Windows 工作負載。 使用者與應用程式依賴中小企業存取各種規模組織的檔案。
Windows 11 引入重大安全更新以因應當前威脅,包括 AES-256 SMB 加密、加速 SMB 簽章、遠端目錄記憶體存取 (RDMA) 網路加密,以及針對不受信任網路的 SMB over QUIC。
近期的安全選項包括預設強制 SMB 簽約、NTLM 阻擋、認證速率限制及其他多項增強功能。
了解更多