Windows 11 22H2 重要的安全功能更新

运行winver，可以查看自己所用windows的具体版本号

微软最新的操作系统更新也带来了安全升级。

随着勒索软件、复杂的黑客攻击和网络钓鱼威胁没有减弱的迹象，微软重新考虑了 Windows 11 的安全性，旨在默认阻止更多威胁。

微软企业和操作系统安全副总裁大卫韦斯顿告诉 ZDNET，Windows 10 具有大量核心安全功能，但微软让用户根据自己偏好的性能和兼容性权衡来启用和配置。

“我们确实颠倒了这一理念。我们发现只有极少数人能够真正理解他们正在做出哪些权衡，并且真的希望微软能够解决这个问题。我们已经接受了这些反馈并将其集成到 Windows 11，我们非常注重防止攻击。” Weston 说。

Windows 11 22H2包括许多增强功能，可防止通过易受攻击的驱动程序对 Windows 内核进行攻击，提供更多凭据保护，更好地防御恶意攻击，以及更轻松的无密码身份验证。

根据 Weston 的说法，Windows 11 22H2 的主要安全功能是 Smart App Control，它默认启用应用程序控制。

Weston说，Windows 11 H2的应用程序控制依靠人工智能来定义允许列表。微软今年通过智能应用控制功能在Windows 11 Insiders 中对此进行了测试。

允许列表仅允许一组应用程序在 Windows 11 上运行。智能应用程序控制依赖于与Windows Defender 应用程序控制相同的 Windows 功能 ，允许手动定义策略。

当用户获得数以百万计的其他人正在使用的应用程序时——无论是来自商店还是网站——它都会“正常工作”，韦斯顿说。但是，如果有人将应用程序作为他们最近生成的附件发送以绕过防病毒保护，则该应用程序将无法运行，因为它不在允许列表中。

“我们今天使用的大多数应用程序都被数百万人使用。大多数恶意软件只能在几台机器上看到。我们通过这种强制机制深入到操作系统的核心。在 Windows 11 22H2 之前，这是您必须自己在 XML 文件中编写的策略。您可以想象，在企业中知道每个人都需要运行哪些应用程序是相当棘手。”Weston 说。

Windows 11 22H2 还阻止了“来自互联网的大部分脚本向量”。部分原因是 Office 团队决定默认阻止来自 Internet 的不受信任的宏。

“Windows 11 22H2 进一步推进了这个想法。我们说没有 PowerShell、没有 LNK 文件、没有来自 Internet 的 Visual Basic。任何关注威胁形势的人都知道这些是最受欢迎的。智能应用程序控制模式下的 Windows 11 阻止这些威胁。”他说。

微软将逐步向用户推出安全功能。用户将有一个一键退出 Smart App Control 的选项，这需要重新启动才能退出。

随着时间的推移，微软将发布更精细的政策，例如，让指定的应用程序能够在该功能已启用的情况下运行。

“对于那些可以保持这种模式的人来说，根据我们来自Defender 之类的数据，这将是最重要的安全功能之一，它将阻止脚本和大多数恶意软件向量。”Weston预测道。

Smart App Control 面向消费者和小型企业的 Windows 11。默认情况下，企业中的 Windows 11 将启用它，但微软不希望他们部署它，因为许多企业都有他们的业务线应用程序。Weston说，微软希望他们改用 Windows Defender 应用程序控制。

在第一个 Windows 11 版本中，Microsoft仅为最新的 AMD、Intel和 Qualcomm 处理器启用了基于虚拟化的安全性(VBS)。Weston 说他认为 Windows 将来会更多地使用 VBS。

用户可以在“关闭、启用Windows功能”里添加“Microsoft Defender应用程序防护”。

在使用Edge浏览器访问高风险URL时，按Ctrl+Shift+Q，启用应用程序防护窗口。可以避免高危网页的恶意代码执行。

此外，对于 Windows 11 22H2 的企业版，微软默认开启 Credential Guard（凭据保护）。Microsoft 现已为新加入企业的 Windows 11 设备启用本地安全机构子系统服务 (LSASS) 的受保护进程。LSA 存储 Microsoft 和第三方凭据。有了这种保护，Windows 将只加载受信任的签名代码，从而使攻击者更难窃取凭据。

“我们所说的是，'没有进程，包括管理员，可以从 LSA 读取或写入。' 这击败了许多常见的凭证盗窃和横向移动工具。它不如基于虚拟化的安全性(VBS)强大，我们希望最终将所有内容都转移到 VBS 中，但这是一项出色的桥接技术，将产生真正的影响。跳入 LSA 并窃取凭证是最常见的攻击方式之一。这种情况不会再发生了。”Weston 说。

对于其 Secured-core PC 和笔记本电脑，微软还引入了新的加密技术作为 BitLocker 的第二层，称为个人数据加密 (PDE)。

如果您丢失了一台笔记本电脑并且攻击者将其打开到登录屏幕，则磁盘上的数据仍然会被解密。如果攻击者附加特殊设备或绕过锁定屏幕来访问数据或运行代码，他们就可以窃取数据。

虽然 SecuredCore PC 通过锁定端口来解决这一威胁，但 PDE 提供了一种在 BitLocker 之外启用文件特定加密的方法，因此即使攻击者有绕过 BitLocker 的方法，他们仍然会遇到加密文件，从而有效地创建第二个安全网络超越BitLocker。

微软于 9 月20 日开始向 190 多个国家的主流用户推出 Windows 11 2022 更新（也称为 Windows 11 版本22H2）。

Windows 勒索软件防护是个很有用的功能，用户大多没有默认启用。开启该功能可以保护用户最重要的文件夹，任意程序试图写入该文件夹时默认会被阻止。那些用户不了解的应用软件改写文件的动作就被阻止了，用户了解的应用程序向受保护的文件夹写入文件，可以手动添加许可。

参考资料：https://www.zdnet.com/