共用方式為

進階認證保護

  • 發行項
  • 適用於:
    Windows 11

包含安全性功能清單的圖表。

除了採用無密碼登入之外,組織還可以使用 Credential Guard 和 Remote Credential Guard 來強化 Windows 11 中使用者和網域認證的安全性。

本地安全機構 (LSA) 保護

Windows 有幾個重要的程序可以驗證使用者的身分識別。 驗證程式包括負責驗證使用者及驗證 Windows 登入的本地安全機構 (LSA) 。LSA 會處理用於單一登錄Microsoft帳戶和 Entra ID 帳戶的令牌和認證。

藉由只載入受信任、已簽署的程式代碼,LSA 可針對認證竊取提供重大保護。 LSA 保護支援使用組策略和其他裝置管理解決方案進行設定。

Windows 11 版本 24H2 的新功能

為了協助確保這些認證的安全,預設會在所有裝置上啟用 LSA 保護, (MSA、Microsoft Entra 聯結、混合式和本機) 。 針對新的安裝,它會立即啟用。 針對升級,它會在評估期間 10 天后重新啟動之後啟用。

用戶能夠在 [裝置安全>性核心隔離>本地安全機構] 保護下管理 Windows 安全性 應用程式中的 LSA 保護狀態。

為了確保所有用戶的順暢轉換和增強安全性,LSA 保護的企業原則優先於升級時的啟用。

瞭解更多資訊

Credential Guard

Credential Guard 會使用硬體支持的虛擬化型安全性 (VBS) ,以防止認證遭竊。 使用 Credential Guard,本地安全域 (LSA) 在作業系統其餘部分無法存取的隔離環境中儲存及保護 Active Directory (AD) 秘密。 LSA 使用遠端程序呼叫,與隔離的 LSA 程序進行通訊。

透過使用虛擬化型安全性來保護 LSA 程式,Credential Guard 可保護系統免於遭受使用者認證竊取攻擊技術,例如傳遞哈希或傳遞票證。 它也有助於防止惡意代碼存取系統秘密,即使此程式是以系統管理員許可權執行。

Credential Guard 架構的圖表。

Windows 11 版本 24H2 的新功能

Credential Guard 保護會擴充為選擇性地包含已加入 Active Directory 之裝置的電腦帳戶密碼。 系統管理員可以使用 Credential Guard 原則設定來啟用稽核模式或強制執行此功能。

瞭解更多資訊

Remote Credential Guard

Remote Credential Guard 可協助組織透過遠端桌面連線來保護認證,方法是將 Kerberos 要求重新導向回要求連線的裝置。 它也提供遠端桌面會話的單一登錄體驗。

系統管理員認證具有高度特殊許可權,而且必須受到保護。 當 Remote Credential Guard 設定為在遠端桌面工作階段期間連線時,認證和認證衍生項目永遠不會透過網路傳遞至目標裝置。 如果目標裝置遭到入侵,則不會公開認證。

瞭解更多資訊

VBS 密鑰保護

VBS 密鑰保護可讓開發人員使用虛擬化型安全 (VBS) 來保護密碼編譯密鑰。 VBS 會使用CPU的虛擬化擴充功能,在一般OS之外建立隔離的運行時間。 使用時,VBS 金鑰會在安全的程式中隔離,讓金鑰作業能夠在不公開此空間外部的私鑰內容的情況下進行。 待用時,私鑰內容會由 TPM 金鑰加密,而 TPM 金鑰會將 VBS 金鑰系結至裝置。 以這種方式保護的金鑰無法從進程記憶體傾印,或是以純文本從使用者的計算機匯出,以防止任何系統管理員層級攻擊者的外泄攻擊。

瞭解更多資訊

令牌保護 (預覽)

令牌保護會嘗試使用 Microsoft Entra ID 令牌竊取來減少攻擊。 令牌保護可讓令牌只能從其預期的裝置使用,方法是以密碼編譯方式將令牌與裝置密碼系結。 使用令牌時,必須同時提供令牌和裝置密碼證明。 針對特定服務使用登入令牌時,條件式存取原則[4] 可以設定為需要令牌保護。

瞭解更多資訊

登入會話令牌保護原則

這項功能可讓應用程式和服務以密碼編譯方式將安全性令牌系結至裝置,限制攻擊者在令牌遭竊時,在不同裝置上模擬使用者的能力。

帳戶鎖定原則

已安裝 Windows 11 的新裝置,預設會有安全的帳戶鎖定原則。 這些原則可減輕暴力密碼破解攻擊,例如駭客嘗試透過遠端桌面通訊協定 (RDP) 存取 Windows 裝置。

帳戶鎖定閾值原則現在預設會設定為 10 次失敗的登入嘗試,並將帳戶鎖定持續時間設定為 10 分鐘。 [ 允許系統管理員帳戶鎖定 ] 現在預設為啟用。 之後的重設帳戶鎖定計數器現在也預設為10分鐘。

瞭解更多資訊

存取管理和控制

Windows 中的訪問控制可確保共用資源可供資源擁有者以外的使用者和群組使用,並防止未經授權的使用。 IT 系統管理員可以管理使用者、群組和計算機對網路或計算機上對象和資產的存取權。 驗證用戶之後,Windows 會實作使用內建授權和訪問控制技術保護資源的第二個階段。 這些技術會判斷已驗證的使用者是否具有正確的許可權。

存取控制 清單 (ACL) 描述特定物件的許可權,也可以包含系統 存取控制 清單 (SACL) 。 SACL 提供一種方式來稽核特定系統層級事件,例如當使用者嘗試存取檔系統物件時。 這些事件對於追蹤敏感性或有價值且需要額外監視之對象的活動而言是不可或缺的。 能夠在資源嘗試讀取或寫入操作系統的一部分時進行稽核,對於瞭解潛在攻擊至關重要。

IT 系統管理員可以將應用程式和管理的存取權精簡為:

  • 保護更多數目和各種網路資源免於誤用
  • 以符合組織原則和其作業需求的方式,布建使用者以存取資源。 組織可以實作最低許可權存取原則,以判斷應該只授與使用者執行其工作所需之數據和作業的存取權
  • 當組織的原則變更或使用者的工作變更時,更新使用者定期存取資源的能力
  • 支援不斷演進的工作場所需求,包括從混合式或遠端位置存取,或從快速擴充的裝置陣組存取,包括平板電腦和手機
  • 識別並解決合法用戶無法存取執行其作業所需的資源時的存取問題

瞭解更多資訊