Tác giả: David Weston, Phó Chủ tịch An ninh Hệ điều hành và Doanh nghiệp tại Microsoft
Trước thềm hội nghị Microsoft Build 2024, chúng tôi đã phát hành danh mục PC Windows mới: Windows 11 AI PC1. Ngoài danh mục PC mới này, chúng tôi cũng giới thiệu các tính năng và bản cập nhật bảo mật quan trọng giúp Windows 11 trở nên an toàn hơn cho người dùng và tổ chức, cũng như cung cấp một bộ công cụ bảo mật cho nhà phát triển.
Bối cảnh mối đe dọa mạng ngày nay hoàn toàn khác so với trước đây, với tốc độ tấn công, quy mô tấn công và mức độ phức tạp tiếp tục gia tăng. Trong năm 2015, hệ thống xác thực của chúng tôi phải hứng chịu khoảng 115 cuộc tấn công bằng mật khẩu mỗi giây, tuy nhiên trong vòng chưa đầy một thập kỷ, con số này đã tăng 3378% lên hơn 4.000 cuộc tấn công mỗi giây2. Trước những mối đe dọa an ninh mạng nghiêm trọng như vậy, chúng ta phải thực hiện các biện pháp bảo vệ mạnh mẽ và toàn diện hơn bao giờ hết, cho dù đó là đối với tất cả các thiết bị và công nghệ được sử dụng trong PC gia đình hay PC văn phòng.
An ninh mạng là ưu tiên hàng đầu của chúng tôiChúng tôi luôn nỗ lực cải thiện tính bảo mật của Windows. Một vài năm trước, chúng tôi nhận thấy sự gia tăng các cuộc tấn công mạng nhắm vào phần cứng, vì vậy, chúng tôi đã ra mắt PC lõi bảo mật để cung cấp khả năng bảo vệ từ chip đến đám mây và các lớp điện toán quan trọng.
Trong những năm gần đây, chúng tôi nhận thấy sự gia tăng các cuộc tấn công mạng dựa trên danh tính, vì vậy, chúng tôi đã mở rộng các giải pháp xác thực không cần mật khẩu một cách nhanh chóng và rộng rãi. Vào tháng 9 năm 2023, chúng tôi đã công bố khả năng hỗ trợ mở rộng mã xác thực cho tính năng xác thực trên nhiều thiết bị và tiếp tục phát triển trên nền tảng này. Đầu tháng này, chúng tôi đã công bố hỗ trợ mã khóa cho tài khoản người tiêu dùng của Microsoft và hỗ trợ mã khóa dành cho thiết bị trong ứng dụng Microsoft Authentication dành cho người dùng iOS và Android, tăng cường cam kết của chúng tôi đối với sáng kiến do FIDO cung cấp này. . Pass key cho hệ thống Windows được bảo vệ bằng công nghệ xác thực đa yếu tố Windows Hello, bao gồm Windows Hello thông thường và Windows Hello dành cho doanh nghiệp. Sáng kiến mới nhất này được xây dựng dựa trên gần một thập kỷ nỗ lực quan trọng nhằm nâng cao khả năng của Windows Hello nhằm cung cấp cho người dùng các tùy chọn đăng nhập dễ dàng và an toàn hơn cũng như loại bỏ các lỗ hổng bảo mật.
Đầu tháng này, chúng tôi đã mở rộng Sáng kiến Tương lai An toàn (SFI) để thể hiện rõ rằng chúng tôi sẽ đặt sự an toàn lên hàng đầu. Lần đầu tiên chúng tôi đề xuất chương trình SFI vào tháng 11 năm 2023 nhằm tối ưu hóa thiết kế, xây dựng, thử nghiệm và vận hành các công nghệ liên quan nhằm đảm bảo cung cấp sản phẩm và dịch vụ một cách an toàn. Với những cam kết này, chúng tôi không chỉ xây dựng các tính năng bảo mật mới vào Windows 11 mà còn bổ sung thêm các tính năng bảo mật được bật theo mặc định. Mục tiêu của chúng tôi rất đơn giản: làm cho Windows dễ sử dụng hơn và an toàn hơn.
Hôm nay, chúng tôi sẽ chia sẻ với bạn một số công nghệ bảo mật mới giúp Windows mang lại trải nghiệm an toàn hơn cho người dùng, cả theo thiết kế lẫn theo mặc định, kể từ thời điểm mở hộp.
Phần cứng hiện đại, an toànChúng tôi tin rằng bảo vệ an ninh là một nhiệm vụ đòi hỏi tinh thần đồng đội. Chúng tôi đang hợp tác chặt chẽ với các đối tác OEM của mình để bổ sung các tính năng bảo mật OEM và cung cấp các thiết bị an toàn hơn.
Mặc dù PC lõi bảo mật từng được coi là thiết bị chuyên dụng được thiết kế để xử lý dữ liệu nhạy cảm, nhưng ngày nay người dùng Windows thông thường cũng có thể được hưởng lợi từ tính năng bảo mật nâng cao và sự ra đời của công nghệ AI trên thiết bị PC. Chúng tôi đã thông báo rằng tất cả PC AI chạy Windows 11 sẽ là PC lõi bảo mật, mang lại mức độ bảo mật cao cho các thiết bị thương mại và tiêu dùng. Ngoài khả năng bảo vệ từng lớp của Windows 11, PC lõi bảo mật còn có các chức năng bảo vệ chương trình cơ sở nâng cao và đo lường mức độ tin cậy gốc động để cung cấp bảo mật từ chip đến đám mây.
Bộ xử lý bảo mật Pluton của Microsoft sẽ được bật theo mặc định trên tất cả PC AI chạy Windows 11. Pluton là công nghệ bảo mật chip-to-cloud do Microsoft thiết kế và được các đối tác sản xuất chip xây dựng với nguyên tắc cốt lõi là không tin cậy. Nó giúp bảo vệ thông tin xác thực bảo mật, thông tin nhận dạng, dữ liệu cá nhân và khóa mã hóa, khiến chúng khó xóa ngay cả khi kẻ tấn công mạng cài đặt phần mềm độc hại hoặc chiếm quyền sở hữu PC về mặt vật lý.
Tất cả PC AI chạy Windows 11 sẽ đi kèm với Bảo mật đăng nhập nâng cao Windows Hello (ESS), một công nghệ đăng nhập sinh trắc học an toàn hơn giúp loại bỏ nhu cầu nhập mật khẩu. ESS sử dụng phần cứng và phần mềm chuyên dụng như Bảo mật dựa trên ảo hóa (VBS) và TPM 2.0 để tăng tính bảo mật cho dữ liệu sinh trắc học vì nó vừa giúp cách ly và bảo vệ dữ liệu xác thực vừa bảo mật các kênh liên lạc của nó. ESS cũng có thể được sử dụng trên các thiết bị tương thích chạy Windows 11.
Luôn đón đầu các mối đe dọa với WindowsĐể bảo vệ cơ bản tính bảo mật của người dùng, chúng tôi liên tục cập nhật các biện pháp bảo mật và bật cài đặt mặc định mới trong Windows.
Windows 11 được thiết kế để bật lớp bảo mật theo mặc định, cho phép người dùng tập trung vào công việc mà không cần phải suy nghĩ quá nhiều về cài đặt bảo mật. Các tính năng bảo vệ sẵn có như bảo vệ thông tin xác thực bảo mật, chặn phần mềm độc hại và bảo vệ ứng dụng được cho là đã giảm 58% sự cố bảo mật, bao gồm cả việc giảm 3,1 lần các cuộc tấn công phần sụn. Trong Windows 11, phần cứng và phần mềm phối hợp với nhau để giúp giảm bề mặt tấn công, bảo vệ tính toàn vẹn của hệ thống và bảo vệ dữ liệu quan trọng. 3
Thông tin xác thực bảo mật và hành vi đánh cắp danh tính là mục tiêu chính của các cuộc tấn công mạng. Một giải pháp xác thực đa yếu tố đã được chứng minh dựa trên Windows Hello, Windows Hello for Business và xác thực đa yếu tố hỗ trợ bằng mật mã. Nhưng khi ngày càng có nhiều người kích hoạt xác thực đa yếu tố, những kẻ tấn công mạng đang chuyển từ các cuộc tấn công dựa trên mật khẩu đơn giản sang các kiểu đánh cắp thông tin xác thực bảo mật khác. Để ngăn chặn những cuộc tấn công mạng này, chúng tôi liên tục thực hiện các cập nhật kỹ thuật, bao gồm:
Bảo vệ xác thực bảo mật cục bộ: Windows xác thực người dùng thông qua một số quy trình chính, bao gồm Xác thực bảo mật cục bộ (LSA). LSA xác thực người dùng và xác thực thông tin đăng nhập Windows, xử lý mã thông báo và thông tin xác thực (chẳng hạn như mật khẩu) để đăng nhập một lần vào tài khoản Microsoft và dịch vụ Microsoft Azure. Bảo vệ LSA trước đây chỉ được bật theo mặc định trên tất cả các thiết bị thương mại mới nhưng hiện được bật theo mặc định cho các thiết bị tiêu dùng mới. Đối với các thiết bị tiêu dùng mới và các bản nâng cấp của người dùng không kích hoạt bảo vệ LSA, bảo vệ LSA sẽ bước vào thời gian gia hạn. Bảo vệ LSA ngăn chặn LSA tải mã không đáng tin cậy và ngăn chặn các quá trình không đáng tin cậy truy cập vào bộ nhớ LSA, ngăn chặn hiệu quả việc đánh cắp thông tin xác thực bảo mật. 4 Ngừng sử dụng NT LAN Manager (NTLM): Theo nhu cầu mạnh mẽ từ cộng đồng bảo mật, chúng tôi sẽ ngừng sử dụng NTLM bắt đầu từ nửa cuối năm 2024, một động thái nhằm tăng cường xác thực người dùng. Tăng cường bảo vệ khóa trong Windows với VBS: VBS, hiện đã có sẵn cho Windows Insiders, sẽ cung cấp khả năng bảo mật nâng cao hơn so với cách ly phần mềm và thậm chí vượt trội hơn các giải pháp phần cứng vì được hỗ trợ bởi trình điều khiển CPU của thiết bị. Khóa được hỗ trợ bằng phần cứng cung cấp khả năng bảo vệ mạnh mẽ và VBS phù hợp hơn với các doanh nghiệp có yêu cầu về bảo mật, độ tin cậy và hiệu suất cao hơn. Tăng cường Windows Hello: Công nghệ Windows Hello đã được mở rộng để bảo vệ bằng mật khẩu Nếu bạn đang sử dụng thiết bị không có sinh trắc học tích hợp, Windows Hello sẽ mặc định sử dụng VBS để tách biệt thông tin xác thực, bảo vệ hệ thống khỏi các cuộc tấn công ở cấp quản trị viên.Ngoài ra, chúng tôi đánh giá cao việc giúp người dùng hiểu những ứng dụng và trình điều khiển nào họ có thể tin cậy để bảo vệ họ tốt hơn khỏi các cuộc tấn công lừa đảo và phần mềm độc hại. Windows không chỉ cải thiện trải nghiệm giao tiếp mà còn cung cấp cho cộng đồng nhà phát triển ứng dụng Windows nhiều tính năng hơn để giúp các nhà phát triển tăng cường tính bảo mật cho ứng dụng của họ.
”智能副驾驶®”丰富员工体验,塑造未来的工作场景
内容更新 29(CU29)带来了全新竞技场地图“幻觉”(Illusion)、经典的马克 IV 铠甲核心、多个自定义肩甲跨核心,以及一系列以《光环》冠军系列赛和《光环》系列为主题的自定义外观。此外,全新的免费 20 级战斗通行证也作为《行动:烈火之灵》的一部分推出,有效期为 1 月 30 日至 3 月 5 日,提供了新的铠甲配件、涂装、武器挂饰和徽章等。
本次沙龙邀请了来自学界、企业界、创投界的40余位顶级专家及企业家齐聚一堂,共同探讨交流人工智能领域的最新研究成果、前沿技术,并对行业未来的发展趋势进行了深度预测和展望。
Điều khiển ứng dụng thông minh: Điều khiển ứng dụng thông minh được bật theo mặc định trên một số hệ thống mới được chọn để mang lại trải nghiệm tốt hơn. Kiểm soát ứng dụng thông minh đã được tăng cường nhờ khả năng học tập của AI. Tính năng này có thể dự đoán liệu ứng dụng có an toàn hay không dựa trên mô hình AI được xây dựng trên 78 nghìn tỷ tín hiệu bảo mật mà Microsoft thu thập hàng ngày. Chính sách bảo mật này cho phép các ứng dụng phổ biến được biết là an toàn chạy bình thường, trong khi các ứng dụng không xác định được nhúng phần mềm độc hại sẽ bị chặn. Đây là một biện pháp bảo vệ rất hiệu quả chống lại phần mềm độc hại. Chữ ký đáng tin cậy: Các ứng dụng chưa được ký có thể gây ra rủi ro đáng kể. Trên thực tế, nghiên cứu của Microsoft cho thấy phần lớn phần mềm độc hại xuất hiện dưới dạng các ứng dụng chưa được ký. Cách tốt hơn để đảm bảo khả năng tương thích liền mạch với Smart App Control là ký ứng dụng của bạn. Chữ ký giúp tăng độ tin cậy của nó, đảm bảo rằng "danh tiếng tốt" hiện có sẽ được kế thừa bởi các bản cập nhật ứng dụng trong tương lai, từ đó giảm khả năng bị chặn bởi các hệ thống phát hiện mối đe dọa. Chữ ký đáng tin cậy gần đây đã được đưa vào bản xem trước công khai, đơn giản hóa quy trình phát hiện độ tin cậy thông qua việc quản lý toàn bộ vòng đời của chứng chỉ. Nó cũng tích hợp với các công cụ phát triển phổ biến như Azure DevOps và GitHub. Cách ly ứng dụng Win32: Đây là một tính năng bảo mật mới hiện đang trong giai đoạn thử nghiệm. Cách ly ứng dụng Win32 giúp các nhà phát triển ứng dụng Windows dễ dàng giảm thiểu thiệt hại và bảo vệ các tùy chọn quyền riêng tư của người dùng khi ứng dụng của họ bị tấn công. Cách ly ứng dụng Win32 được xây dựng trên nền tảng của AppContainers, cung cấp các ranh giới bảo mật và bao gồm các tài nguyên và thành phần ảo hóa điều phối quyền truy cập vào các tài nguyên khác (chẳng hạn như máy in, sổ đăng ký và quyền truy cập tệp). Nhờ phản hồi tích cực từ cộng đồng nhà phát triển, tính năng cách ly ứng dụng Win32 sẽ sớm ra mắt công chúng. Các nhà phát triển ứng dụng hiện có thể sử dụng Win32 App Isolation để tích hợp liền mạch với Visual Studio. Cải thiện bảo mật cho người dùng quản trị: Hầu hết mọi người sử dụng thiết bị của họ với tư cách quản trị viên đầy đủ, điều đó có nghĩa là các ứng dụng và dịch vụ có cùng quyền truy cập vào kernel và các thông tin quan trọng khác như người dùng. Vấn đề là những ứng dụng và dịch vụ này có thể truy cập thông tin quan trọng mà người dùng không hề hay biết. Đó là lý do tại sao Windows được cập nhật liên tục để cung cấp quyền truy cập quản trị kịp thời vào kernel và thông tin dịch vụ quan trọng khác khi cần, thay vì luôn mặc định cài đặt này. Điều này khiến các ứng dụng khó lạm dụng đặc quyền của quản trị viên theo những cách không xác định và cài đặt phần mềm độc hại hoặc mã độc hại trên Windows một cách riêng tư. Khi tính năng này được bật, nếu một ứng dụng muốn truy cập các quyền đặc biệt (chẳng hạn như quyền quản trị viên), bạn sẽ được hỏi có phê duyệt yêu cầu hay không. Khi bạn cần phê duyệt, Windows Hello cung cấp một cách an toàn và dễ dàng để phê duyệt hoặc từ chối những yêu cầu đó, mang lại cho bạn toàn quyền kiểm soát thiết bị của mình. Tính năng này hiện đang trong giai đoạn thử nghiệm nội bộ và sẽ ra mắt công chúng trong thời gian tới. Vùng VBS: Trước đây chỉ khả dụng cho các tính năng bảo mật của Windows, vùng VBS hiện có sẵn cho các nhà phát triển ứng dụng bên thứ ba. Môi trường thực thi đáng tin cậy của phần mềm này nằm trong không gian ứng dụng chính cung cấp khả năng bảo vệ hệ điều hành chuyên sâu cho các khối lượng công việc nhạy cảm như giải mã dữ liệu. Hãy thử sử dụng API khu vực VBS để trải nghiệm cách khu vực có thể chặn cả các quy trình hệ thống khác và chính ứng dụng chính, giúp công việc nhạy cảm của bạn an toàn hơn.Khi tin tặc tiếp tục nâng cấp chiến lược tấn công và cập nhật mục tiêu tấn công, chúng tôi sẽ tiếp tục củng cố mã Windows để đối phó với những vị khách không mời này.
Chế độ in được bảo vệ của Windows: Vào cuối năm 2023, chúng tôi đã ra mắt Chế độ in được bảo vệ của Windows để xây dựng một hệ thống in an toàn, hiện đại hơn nhằm tối đa hóa khả năng tương thích và tập trung vào người dùng. Chế độ in được bảo vệ sẽ trở thành chế độ in mặc định trong tương lai. Chú giải công cụ: Trước đây, tính năng chú giải công cụ đã bị khai thác để cho phép truy cập trái phép vào bộ nhớ. Trong các phiên bản Windows cũ hơn, tính năng chú giải công cụ là một cửa sổ duy nhất được tạo bởi kernel cho mỗi màn hình hiển thị chú giải công cụ theo vòng lặp. Chúng tôi đang thiết kế lại cách thức hoạt động của chú giải công cụ để giúp chúng an toàn hơn cho người dùng. Với bản nâng cấp, trách nhiệm quản lý vòng đời của chú giải công cụ đã được chuyển sang ứng dụng tương ứng đang được sử dụng. Giờ đây, lõi có thể giám sát hoạt động của con trỏ và bắt đầu đếm ngược để hiển thị và ẩn các cửa sổ chú giải công cụ. Khi hết thời gian đếm ngược, lõi sẽ thông báo cho môi trường cấp người dùng để tạo hoặc xóa cửa sổ chú giải công cụ. Xác thực máy chủ TLS: Chứng chỉ xác thực máy chủ TLS (Transport Layer Security) sẽ xác minh danh tính của máy chủ với máy khách và đảm bảo kết nối an toàn. Mặc dù các khóa mã hóa RSA 1024-bit trước đây đã được hỗ trợ nhưng do những tiến bộ về sức mạnh tính toán và phân tích mật mã, Windows không còn tin cậy các độ dài khóa yếu hơn này theo mặc định nữa. Do đó, chứng chỉ TLS có khóa RSA nhỏ hơn 2048-bit được kết nối với thư mục gốc tin cậy trong chương trình Microsoft Roots of Trust sẽ không còn được tin cậy nữa.Cuối cùng, với mỗi bản phát hành Windows, chúng tôi cung cấp cho người dùng doanh nghiệp nhiều biện pháp và cách thức hơn để khóa Windows trong môi trường của riêng họ.
Làm mới cấu hình: Làm mới cấu hình sẽ cho phép quản trị viên đặt lịch để các thiết bị áp dụng lại cài đặt giao thức mà không cần phải kiểm tra với Microsoft Intune hoặc các nhà cung cấp quản lý thiết bị di động khác để giúp đảm bảo các cài đặt này vẫn được quản trị viên CNTT đặt cấu hình. Theo mặc định, nó làm mới với nhịp độ 90 phút một lần và có thể được đặt để làm mới thường xuyên cứ sau 30 phút. Chúng tôi cũng cung cấp tùy chọn tạm dừng làm mới cấu hình, tùy chọn này rất hữu ích trong quá trình khắc phục sự cố hoặc bảo trì, sau đó quá trình này sẽ tự động tiếp tục hoặc được quản trị viên kích hoạt lại theo cách thủ công. Tường lửa: Nhà cung cấp dịch vụ cấu hình tường lửa (CSP) trong Windows hiện thực thi ứng dụng "tất cả hoặc không có gì" của các quy tắc tường lửa từ mọi khối nguyên tử. Trước đây, nếu CSP gặp sự cố khi áp dụng quy tắc tường lửa trong một khối nhất định, CSP sẽ không chỉ ngừng áp dụng quy tắc mà còn ngừng xử lý việc áp dụng các quy tắc tiếp theo, dẫn đến việc triển khai không đầy đủ một số quy tắc bảo mật, để lại nguy cơ bảo mật. những điểm yếu. Bây giờ, nếu một quy tắc trong một khối không thể được áp dụng thành công cho một thiết bị, CSP sẽ ngừng thực thi các quy tắc tiếp theo và khôi phục việc áp dụng tất cả các quy tắc trong cùng một khối nguyên tử, loại bỏ sự mơ hồ khi triển khai các quy tắc chỉ trong một phần khối. Mã hóa dữ liệu cá nhân (PDE): PDE tăng cường bảo mật bằng cách mã hóa và giải mã dữ liệu chỉ khi người dùng mở khóa PC bằng Windows Hello for Business. PDE hỗ trợ hai cấp độ bảo vệ dữ liệu. Với mức bảo vệ Cấp 1, dữ liệu vẫn được mã hóa cho đến khi PC được mở khóa lần đầu tiên; với mức bảo vệ Cấp 2, các tập tin sẽ được mã hóa khi PC bị khóa. PDE bổ sung cho khả năng bảo vệ mức âm lượng của BitLocker và cung cấp mã hóa kép dữ liệu cá nhân hoặc ứng dụng khi kết hợp với BitLocker. PDE, hiện đang ở giai đoạn xem trước, cho phép các nhà phát triển tận dụng API PDE để bảo vệ nội dung ứng dụng của họ và cho phép quản trị viên CNTT quản lý việc bảo vệ dữ liệu bằng các giải pháp quản lý thiết bị di động của riêng họ. Zero Trust DNS: Hiện ở bản xem trước cá nhân, tính năng này sẽ chỉ cho phép các thiết bị Windows kết nối với các đích mạng được phê duyệt thông qua tên miền thông qua các hạn chế cục bộ. Lưu lượng IPv4 và IPv6 gửi đi bị chặn không cho đến đích dự kiến trừ khi được giải quyết thông qua máy chủ DNS đáng tin cậy và được bảo vệ hoặc được cấu hình quản trị viên CNTT ủy quyền. Hiện tại, có thể tránh sự cố chặn bằng cách định cấu hình ứng dụng và dịch vụ để sử dụng trình phân giải DNS của hệ thống. Tìm hiểu thêm về các tính năng bảo mật mới của Windows 11Chúng tôi tin chắc rằng bảo vệ an ninh là công việc đòi hỏi tinh thần đồng đội. Chúng tôi đang tăng cường hợp tác với các đối tác OEM, nhà phát triển ứng dụng và những người khác trong hệ sinh thái để giúp mọi người tự bảo vệ mình tốt hơn và cung cấp một hệ thống Windows an toàn hơn theo thiết kế và theo mặc định. Chào mừng bạn đến với Hướng dẫn bảo mật Windows để tìm hiểu thêm về cách sử dụng hệ thống Windows của bạn một cách an toàn.
Tìm hiểu thêm về Windows 11.
ĐÁ GÀTính khả dụng của các tính năng PC Windows 11 AI khác nhau tùy theo thiết bị và thị trường. Tại Trung Quốc đại lục, đối với máy tính Windows 11, nhấn phím
sẽ mở chức năng tìm kiếm Windows. Xem ms/KeySupport để biết thêm chi tiết.
Hướng dẫn về Mật khẩu Microsoft, Nhóm bảo vệ danh tính của Microsoft, 2016.
Báo cáo khảo sát Windows 11, Techaisle, tháng 2 năm 2022.
Người dùng có thể quản lý trạng thái bảo vệ LSA của mình trong Ứng dụng bảo mật Windows trong phần Bảo mật thiết bị - Cách ly lõi - Xác thực bảo mật cục bộ.