Windows 11
微软最新的操作系统

Windows 11 的最佳部分已经在 Windows 10 中。以下是启用它们的方法:

当 Windows 11 于 2021 年 6 月下旬发布时,许多人对其改进的用户界面感到兴奋,无数 PC 爱好者争先恐后地下载新操作系统的 Windows Insider Developer Channel 版本。

然而,他们很快发现,新的操作系统对 PC 有一些新的要求,以支持新的硬件和基于虚拟化的安全功能。这些功能对于保护消费者和企业工作负载免受更复杂的恶意软件的侵害以及利用当今实际演变的威胁非常重要。

事实上,如果您运行的是 20H2 版本(Windows 2020 年 10 月 10 日更新),则所有这些功能都已内置于 Windows 10 中。将组策略部署为消费者、小型企业或企业,或 Windows 10[デバイスセキュリティ]您可以通过单击菜单将其打开来利用这些。您无需等待 Windows 11 发布或购买新 PC。

功能 1:TPM 2.0 和安全启动

可信平台模块 (TPM) 是一种旨在提供基于硬件的安全相关加密的技术。如果您的 PC 是在过去 5 年内制造的,您的主板可能有支持 2.0 版本的 TPM 芯片。这会打开设备管理器[セキュリティデバイス]您可以通过扩展来检查。如果显示“Trusted Platform Module 2.0”,则没有问题。

96116a12-86c2-413b-9379-d425e4f834fe
列出了 TPM 2.0 的 Microsoft Windows 设备管理器

那么 TPM 实际上是做什么的呢?它用于生成和存储系统特定的加密密钥,包括系统 TPM 本身独有的 RSA 加密密钥。TPM 传统上不仅用于智能卡和 VPN,还用于支持安全启动过程。测量操作系统启动代码的完整性,包括固件和单个操作系统组件,以确保它们没有风险。

您无需执行任何操作即可使其发挥作用。除非在 UEFI 中禁用,否则它可以工作。组织可以选择通过组策略或基于企业 MDM 的解决方案(例如 Microsoft Endpoint Manager)将安全启动部署到 Windows 10。

大多数制造商在交付 PC 时都启用了 TPM,但有些制造商已禁用它,因此如果它没有出现在设备管理器中或显示为禁用,请启动 UEFI 固件设置进行检查。请。

如果您还没有准备好在您的系统上使用 TPM,只需运行以下命令来调用该实用程序:tpm.msc从命令行。

security-processor-again

功能 2:基于虚拟化的安全 (VBS) 和 HVCI

虽然 TPM 2.0 在许多 PC 上已经普遍使用了六年,但使安全橡胶在 Windows 10 和 Windows 11 上实际可用的功能是 HVCI 或虚拟机管理程序保护的代码完整性。这也称为内存完整性或核心。出现在 Windows 设备的安全菜单中的隔离。

在 Windows 11 上需要,但在 Windows 10 上必须手动打开。只需单击并打开内存完整性。系统启动可能需要长达一分钟的时间,因为在系统启用它之前必须检查所有 Windows 内存页面。

此功能仅在具有基于硬件的虚拟化扩展(例如 Intel 的 VT-X 和 AMD-V)的 64 位 CPU 上可用。最初在 2005 年之前在服务器级芯片上实现,至少从 2015 年开始,它已经出现在几乎所有台式机系统或英特尔第 6 代 (Skylake) 上。但是,您还需要驻留在英特尔芯片上的二级地址转换 (SLAT) VT-X2 带有扩展页表 (EPT) 和 AMD 的快速虚拟化索引 (RVI)。

有一个额外的 HVCI 要求,即所有能够进行直接内存访问 (DMA) 的 I/O 设备都放置在 I/O 内存管理单元 (IOMMU) 之后。这些是在支持 Intel VT-D 或 AMD-Vi 指令的处理器上实现的。

这听起来像是一长串要求,但重要的是,如果设备安全表明您的系统上存在这些功能,那就没问题了。

562012b9-92fe-465b-bb6e-7d8a85265cec

虚拟化主要用于增加数据中心服务器的工作负载密度,为软件开发人员分离桌面上的测试设置,以及运行 Linux 等外部操作系统。不是吗?好的。然而,虚拟化和容器化/沙箱越来越多地用于现代操作系统,包括 Windows,以提供额外的安全层。

在 Windows 10 和 Windows 11 中,VBS(基于虚拟化的安全)使用 Microsoft 的 Hyper-V 创建安全内存区域并将其与操作系统隔离。该保护区保护操作系统遗留漏洞(例如未更新的应用程序代码)并实施一些安全解决方案,以阻止试图禁用这些保护的漏洞利用。将会被使用。

HVCI 使用 VBS 在启动前检查所有内核模式驱动程序和二进制文件,以防止未签名的驱动程序和系统文件被加载到系统内存中。加强应用。这些限制保护重要的操作系统资源和安全资产,例如用户凭据。因此,即使恶意软件访问内核,虚拟机管理程序也可以阻止恶意软件执行代码或访问机密,从而限制并遏制漏洞利用的范围。

VBS 对应用程序代码执行类似的功能。加载之前检查应用程序并启动应用程序,前提是它来自经批准的代码签名者。这是通过为系统内存的所有页面分配权限来完成的。所有这些都在安全的内存区域中运行,并针对内核病毒和恶意软件提供更强大的保护。

将 VBS 视为 Robocop,它是负责执行 Windows 新代码的内核和应用程序,位于由启用虚拟化的 CPU 启用的受保护内存盒中。

功能 3:Microsoft Defender 应用程序防护 (MDAG)

许多 Windows 用户不熟悉的一项特殊功能是 Microsoft Defender 应用程序防护 (MDAG)。

这是另一种基于虚拟化的技术(也称为“Krypton”Hyper-V 容器),当与最新的 Microsoft Edge(以及带有扩展程序的当前版本的 Chrome 和 Firefox)结合使用时,可以让浏览器成为可能。创建一个单独的内存实例。防止不受信任的网站危及您的系统和企业数据。

297df0a2-2293-4dc0-8715-17a2b44a65b3

当浏览器感染脚本或恶意软件攻击时,与主机操作系统分开运行的 Hyper-V 容器与关键系统进程和企业数据保持隔离。

MDAG 与为您的环境配置的网络隔离设置相结合,定义了您公司的组策略中定义的专用网络边界。

wdag-edge

除了保护您的浏览器会话之外,MDAG 还可以与 Microsoft 365 和 Office 一起使用,以防止 Word、PowerPoint 和 Excel 文件访问受信任的资源,例如公司凭据和数据。此功能于 2020 年 8 月作为公共预览版的一部分面向 Microsoft 365 E5 客户发布。

MDAG 是 Windows 10 专业版、企业版和教育版 SKU 的一部分,是 Windows 10[机能]它通过菜单或简单的 PowerShell 命令启用。您不需要打开 Hyper-V。

728325a1-0f09-4e73-add3-caf547e265c9
赞(0) 打赏
未经允许不得转载:Windows 11之家 » Windows 11 的最佳部分已经在 Windows 10 中。以下是启用它们的方法:

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏