信任開機 (安全開機 + 測量開機)
Windows 11要求所有電腦使用統一擴充韌體介面 (UEFI) 的安全開機功能。 當 Windows 11 裝置啟動時,安全開機與受信任開機協同運作,防止惡意軟體及損壞元件載入。 安全啟動提供初始保護,接著由信任啟動繼續執行。
安全開機透過 Windows 核心的可信開機序列,從統一可擴充韌體介面 (UEFI) 建立一條安全且受信任的路徑。 在 UEFI、開機載入程式、核心與應用程式環境間,於開機序列中進行簽章強制握手,能阻擋惡意軟體攻擊 Windows 開機序列。
為了降低韌體 rootkit 的風險,電腦會在開機過程開始時驗證韌體的數位簽章。 安全開機會檢查作業系統開機載入程式及作業系統啟動前所有執行的程式碼的數位簽章,確保簽章與程式碼未被破壞且依安全開機政策受信任。
信任啟動延續安全啟動所啟動的程序。 Windows 開機載入程式會在載入前驗證 Windows 核心的數位簽章。 Windows 核心會驗證 Windows 啟動過程中的所有其他元件,包括開機驅動程式、啟動檔案,以及任何反惡意軟體產品早期推出的反惡意軟體 (ELAM() 驅動程式)。 如果這些檔案被竄改,開機載入程式會偵測到問題並拒絕載入損壞的元件。 通常,Windows 能自動修復損壞的元件,恢復 Windows 的完整性,讓電腦能正常啟動。
了解更多
密碼編譯
密碼學利用程式碼轉換資料,使只有特定的接收者能使用金鑰讀取資料。 密碼學強制隱私,防止除預期接收者外的任何人閱讀資料,確保資料完整性不受竄改,並透過驗證身份的認證確保通訊安全。 Windows 的密碼堆疊從晶片延伸到雲端,使 Windows、應用程式與服務能保護系統與使用者的機密。
Windows 密碼學獲得 聯邦資訊處理標準(FIPS) (FIPS) 140 認證。 FIPS 140 認證確保僅使用美國政府核准的演算法 (RSA 用於簽署、ECDH 與 NIST 曲線用於金鑰一致、AES 用於對稱加密,以及 SHA2 用於雜湊) ,測試模組完整性以證明未發生篡改,並證明熵來源的隨機性。
Windows 密碼模組提供以下底層原語:
- 隨機數產生器 (隨機數)
- 對稱與非對稱加密 (支援 AES 128/256 與 RSA 512 至 16,384,且支援 64 位元增量,並支援 ECDSA 於 NIST 標準質數曲線 P-256、P-384、P-521)
- 後量子演算法 (ML-KEM、ML-DSA()
- 雜湊 (支援 SHA-256、SHA-384、SHA-512 及 SHA-3*)
- 簽署與驗證 (OAEP、PSS、PKCS1 的支援)
- 在 NIST 標準質曲線 P-256、P-384、P-521 及 HKDF) 上支援 ECDH 的密鑰一致與關鍵推導 (
Windows 原生透過 CAPI) (Crypto API 及由 Microsoft 開源密碼函式庫 SymCrypt 驅動的 CNG) (Cryptography Next Generation API 公開這些密碼模組。 SymCrypt 是 Microsoft 對透明度承諾的一部分,該計畫包括全球 Microsoft 政府安全計畫,旨在提供人們信任 Microsoft 產品與服務所需的機密安全資訊與資源。 該計畫提供受控的原始碼存取權、威脅與漏洞資訊交換、接觸 Microsoft 產品與服務技術內容的機會,以及五個全球分布式的透明中心。 應用程式開發者可以使用這些 API 執行 BCrypt) (底層密碼運算、NCrypt) (金鑰儲存操作、保護 DPAPI) (靜態資料,並安全地分享 DPAPI-NG) (秘密。
Windows 支援 SHA-3 雜湊函數家族及 SHA-3 衍生函式 (SHAKE、cSHAKE 和 KMAC) 。 這些是美國國家標準與技術研究院(NIST) (NIST) 最新標準化雜湊函數,你可以透過 Windows CNG 函式庫使用:
- 支援的 SHA-3 雜湊函數: SHA3-256、SHA3-384、SHA3-512 (SHA3-224 不支援)
- 支援的 SHA-3 HMAC 演算法: HMAC-SHA3-256、HMAC-SHA3-384、HMAC-SHA3-512
- 支援 SHA-3 衍生演算法: 可擴充輸出函數 (XOF) (SHAKE128、SHAKE256) 、可自訂的 XOF (cSHAKE128、cSHAKE256) ,以及 KMAC (KMAC128、KMAC256、KMACXOF128、KMACXOF256) 。
後量子密碼學
今年早些時候,我們在核心密碼學庫 SymCrypt 中分享了對後量子演算法 (ML-KEM、ML-DSA) 的支援。 我們隨後透過 CNG 以及憑證與密碼訊息功能,支援了 Windows Insider 的支援。 我們很高興能將這項支援擴展到最新的 Windows 11 版本。
在需要公開金鑰封裝或金鑰交換的情境中使用 ML-KEM,有助於為 「現在收割,後 再解密」威脅做好準備。
以下是支援的參數集:
| 演算法 | 公鑰大小 | 密文大小 | 共享秘密大小 | NIST 安全等級 |
|---|---|---|---|---|
| ML-KEM 512 | 800 位元組 | 768 位元組 | 32 位元組 | 層級 1 |
| ML-KEM 768 | 1,184 位元組 | 1,088 位元組 | 32 位元組 | 第三級 |
| ML-KEM 1024 | 1,568 位元組 | 1,568 位元組 | 32 位元組 | 第五級 |
密碼學 API:下一代 CNG) 中加入 ML-DSA:下一代 CNG (,使開發者能開始嘗試使用 PQC 演算法,針對需要使用數位簽章驗證身份、完整性或真實性的情境。
以下是支援的參數集:
| 演算法 | 公鑰大小 | 私鑰大小 | 簽名尺寸 | NIST 安全等級 |
|---|---|---|---|---|
| ML-DSA-44 | 1,312 位元組 | 2,560 位元組 | 2,420 位元組 | 層級 2 |
| ML-DSA-65 | 1,952 位元組 | 4,032 位元組 | 3,309 位元組 | 第三級 |
| ML-DSA-87 | 2,592 位元組 | 4,896 位元組 | 4,627 位元組 | 第五級 |
請造訪我們的 加密開發者頁面 ,了解如何開始!
憑證
為了協助保護與驗證資訊,Windows 提供完整的憑證與憑證管理支援。 使用內建憑證管理命令列工具 (certmgr.exe) 或 Microsoft 管理主控台 (MMC) snap-in (certmgr.msc) ,可檢視和管理憑證、憑證信任清單 (CTL) ,以及憑證撤銷清單 (CRL) 。 每當你在 Windows 使用憑證時,系統會驗證葉子憑證及其信任鏈中的所有憑證都沒有被撤銷或被入侵。 機器上的受信任根憑證與中介憑證,以及公開撤銷的憑證,作為公鑰基礎建設 (PKI) 信任的參考,並由Microsoft受信任根程式每月更新。 如果受信任的憑證或根權限被撤銷,所有全域裝置都會更新,因此使用者可以放心 Windows 會自動保護公鑰基礎架構的漏洞。 對於雲端與企業部署,Windows 也提供使用者透過群組政策自動註冊與續期 Active Directory 憑證的功能,以降低因憑證過期或設定錯誤而可能發生的故障風險。
程式碼簽署與完整性
為確保 Windows 檔案可信且未被竄改,Windows 程式碼完整性程序會驗證在 Windows 核心中執行的每個檔案的簽名。 在執行 Smart App Control 或 App Control for Business 政策的系統中,Windows 也將程式碼完整性驗證擴展到每個執行的使用者模式二進位檔。 程式碼簽章是建立韌體、驅動程式與軟體完整性的核心,跨越 Windows 平台。 程式碼簽章透過將檔案雜湊值與程式碼簽署憑證的私鑰加密,並將該簽章嵌入檔案或簽章目錄中,來建立數位簽章。 Windows 程式碼完整性程序透過比較已簽署檔案的雜湊值與已簽署雜湊值來驗證其完整性,並確認簽署者是可信賴的發佈者。
Windows 環境會評估 Windows 開機程式碼、Windows 核心程式碼及使用者模式應用程式的數位簽章。 在程式碼完整性執行前,Secure Boot 會驗證開機載入程式、選項 ROM 及其他開機元件的簽章,以確保檔案未經修改且來自可信賴且有信譽的發佈者。 對於Microsoft未發布的驅動程式,核心模式程式碼完整性會驗證核心驅動程式的簽章,並要求驅動程式必須由 Windows 簽署或由 Windows 硬體相容性計畫(Windows Hardware Compatibility Program) (WHCP) 認證。 此程式確保第三方驅動程式與各種硬體及 Windows 相容,且驅動程式來自經過審核的驅動開發者。
裝置健康情況證明
Windows 裝置健康認證流程支持零信任範式,將焦點從靜態的網路邊界轉移到使用者、資產與資源。 認證過程會確認裝置、韌體和開機流程狀況良好,且在他們能存取企業資源前沒有被竄改。 該程序會根據儲存在 TPM 的資料做出這些判斷,TPM 提供了安全的信任根。 這些資訊會傳送給像 Azure 證明這類的認證服務,以驗證裝置是否處於受信任狀態。 接著,像 Microsoft Intune[3] 這類雲端原生裝置管理解決方案會檢視裝置健康狀況,並將這些資訊與 Microsoft Entra ID[3] 連接以進行條件存取。
Windows 包含許多安全功能,幫助保護使用者免受惡意軟體和攻擊。 然而,只有當平台正常開機且未被竄改時,安全元件才值得信賴。 如前所述,Windows 依賴統一擴充韌體介面(Unified Extensible Firmware Interface) (UEFI) 安全開機、ELAM、DRTM、可信開機及其他低階硬體與韌體安全功能,來保護你的電腦免受攻擊。 從你開機到防惡意軟體啟動,Windows 都有適當的硬體配置來保障你的安全。 由開機載入程式與 BIOS 實作的測量啟動,以鏈式方式驗證並加密記錄開機的每一步。 這些事件綁定於 TPM,TPM 作為硬體信任根。 遠端認證是服務讀取並驗證這些事件,以提供可驗證、公正且防篡改的報告的機制。 遠端認證是系統開機的可信稽核者,讓依賴方能將信任綁定於裝置及其安全性。
以下是 Windows 裝置上認證與零信任相關步驟的摘要:
- 在開機過程的每個步驟中——例如檔案載入、特殊變數更新等——TPM 平台組態暫存器 (PCR) 中會測量檔案雜湊值與簽章等資訊。 可信計算集團(Trusted Computing Group)規範了測量數據,並規定可記錄的事件及每個事件的格式。 這些資料從裝置開機那一刻起,提供關於安全的重要資訊。
- Windows 開機後,驗證者 (或驗證) 請求 TPM 將測量數據與測量開機日誌一同儲存在 PCR 中。 這些測量數據共同構成傳送至 Azure 證明服務的證明證據。
- Azure 憑證服務透過晶片組上的金鑰或密碼材料來驗證 TPM。
- Azure 證明服務會接收上述資訊以驗證裝置是否處於受信任狀態。
了解更多
Windows 安全政策設定與稽核
安全政策設定在整體安全策略中扮演關鍵角色。 Windows 提供一套完整的安全設定政策,IT 管理員可用來協助保護 Windows 裝置及組織中的其他資源。 你可以在一個或多個裝置上設定安全政策設定,以控制:
- 使用者認證網路或裝置
- 使用者可存取的資源
- 是否要在事件日誌中記錄使用者或群組的行動
- 團體成員資格
安全稽核是維護網路與資產完整性最強大的工具之一。 稽核能協助識別攻擊、網路漏洞及針對高價值目標的威脅。 您可以透過使用組態服務提供者 (CSP) 或群組政策,指定安全相關事件類別,建立符合組織需求的稽核政策。
剛安裝 Windows 時,所有稽核類別都會被關閉。 啟用前,請依以下步驟建立有效的安全稽核政策:
- 找出你最重要的資源和活動。
- 找出你需要追蹤的稽核設定。
- 評估每種資源或環境的優勢與潛在成本。
- 測試這些設定以驗證你的選擇。
- 制定部署與管理審計政策的計畫。
了解更多
Windows 受保護列印
Windows 保護的列印系統提供現代且安全的列印系統,最大化相容性並以使用者為優先。 它簡化了列印體驗,讓裝置只能使用 Windows 現代列印堆疊來列印。
Windows 受保護列印的優點包括:
- 提升電腦安全性
- 無論 PC 架構如何,列印體驗都簡化且一致
- 這樣就不用再管理列印驅動程式
Windows 保護的列印只適用於 Mopria 認證印表機。 許多現有印表機已經相容。
了解更多
Rust for Windows
Rust 是一種現代程式語言,以其重視安全性、效能與並行性而聞名。 它能防止常見的程式錯誤,如空指標解參照和緩衝區溢位,這些錯誤可能導致安全漏洞與當機。 Rust 透過其獨特的擁有權系統達成此保護,確保記憶體安全而無需垃圾回收器。 我們正在擴展 Rust 與 Windows 核心的整合,以提升 Windows 程式碼庫的安全性與可靠性。 此策略性舉措彰顯我們採用現代科技以提升 Windows 品質與安全性的承諾。
了解更多
Sysmon 功能
Sysmon 功能即將登陸 Windows。 Windows 中的 Sysmon 功能提供易於啟用、豐富且可自訂的威脅偵測訊號,深受企業安全團隊、第三方安全廠商及其他合作夥伴重視。 即將在 Windows 上推出的 Sysmon 功能,有助於簡化作業、減輕部署負擔,並大幅提升對 Windows 日誌的可視性。 有了這項功能,資安團隊能更快、更有效率地識別威脅。
了解更多