Windows 11发布了。它对安全有好处吗?

微软(Microsoft)最新操作系统Windows 11今天发布，一些机构开始问自己，什么时候以及是否应该从Windows 10或更老的版本升级。每个组织的需求和考虑因素都是不同的，许多因素将决定他们做出的决定是坚持还是扭曲。其中一个问题就是Windows 11是否会让它们变得更安全。

我采访了Malware必威平台APPbytes的Windows专家Alex Smith和Charles Oppermann，了解Windows 11的变化以及它可能对安全造成的影响。

硬件的更高标准

如果你读过任何关于Windows 11的文章，你可能会发现它只会在“新”电脑上运行。微软最新的操作系统设置了硬件高杆，目的是为其之上的所有层创建一个安全的平台。实际上，微软是在制造自己的存在Secured-core电脑因此，在Windows 10中可选的一系列技术在Windows 11中是强制性的，或者是默认开启的。

实际上，硬件需求只会在短时间内显得苛刻。摩尔定律和庞大的Windows安装基数意味着，昨天严格的硬件要求将迅速变成今天的最低规格。

新操作系统的三个硬件要求在安全方面发挥着重要的、相互关联的作用:

向hypervisor致敬

至少，Windows 11需要一个64位、1ghz的虚拟化扩展处理器和至少两个内核，以及hvci兼容的驱动程序。实际上，这意味着需要第8代英特尔处理器,一个AMD禅宗2,或者一个高通Snapdragon 8180．

这是因为基于虚拟化的安全性(于六月)已成为微软安全策略的关键概念。VBS在hypervisor上运行Windows, hypervisor可以使用与来宾操作系统相同的技术，创建与主操作系统隔离的安全空间。要做到这一点，需要基于硬件的虚拟化特性和足够的马力，这样您就不会注意到性能上的拖累。

值得注意的安全特性依赖于VBS包括:

• 内核数据保护，它使用VBS将一些内核内存标记为只读，以保护Windows内核及其驱动程序不被篡改。
• 记忆完整性(一个更容易理解的名字HVCI)，它在一个孤立的环境中运行代码完整性检查，这应该提供更强的保护，以抵御内核病毒和恶意软件。
• 应用程序保护是Edge和Microsoft Office的一个保护沙箱，它使用虚拟化来隔离不受信任的网站和办公文档，限制它们可能造成的破坏。
• 凭据警卫在虚拟容器中运行本地安全机构子系统服务，该服务将阻止攻击者转储凭据并在传递散列攻击中使用它们。
• Windows Hello增强登录使用VBS来隔离生物识别软件，并创建连接摄像头和TPM等外部组件的安全通道。

统一可扩展固件接口UEFI

UEFI是一种固件规范，它控制启动计算机的第一阶段，即加载操作系统之前。(它是更广为人知的BIOS的替代品。)从安全的角度来看，UEFI的关键特性是安全启动，检查启动过程中使用的软件的数字签名。它能抵抗bootkits它们先于操作系统加载，以及修改操作系统的rootkit。

可信平台模块2.0 (TPM 2.0)

TMP是一种防篡改技术，它执行加密操作，比如创建和存储加密密钥，而这些操作不能被干扰。它最出名的可能是它在安全引导(Secure Boot)和BitLocker磁盘加密中所扮演的角色，该角色确保计算机只加载可信的引导加载程序。在Windows 11中，它构成了一系列安全特性的安全基础，包括secure Boot的“老大哥”Measured Boot;BitLocker (Windows Home上的设备加密);Windows Defender系统卫士;设备卫生认证;Windows你好;和更多的．

Windows 11新功能

Windows 11也有一些新花样。

Hardware-enforced堆栈保护

Windows 11扩展了Hardware-enforced堆栈保护在Windows 10中引入，以保护在内核模式和用户模式下运行的代码。它的设计是通过创建一个镜像调用堆栈的返回地址列表的“影子堆栈”来防止控制流劫持。当控制转移到调用堆栈上的返回地址时，它将根据阴影堆栈进行检查，以确保它没有更改。如果有，则表示发生了一些不愉快的事情并引发了错误。

深成岩体

Windows 11已经准备好接受这个令人印象深刻的名字了深成岩体TPM的架构。自2013年以来，它一直是Xbox One游戏机的一个功能，但还没有退出pc。

Pluton看到的是直接内置在CPU中的安全芯片，它可以防止针对CPU和TPM之间通信通道的物理攻击。虽然Pluton与现有的tpm向后兼容，但如果你允许的话，它可以做得更多。根据微软的说法，“Pluton还提供了独特的安全硬件加密密钥(SHACK)技术，这有助于确保密钥永远不会暴露在受保护的硬件之外，甚至是Pluton固件本身”。

微软Azure认证(MAA)

如果没有人提到“零信任”(Zero Trust)，关于2021年安全的讨论就不完整。Windows 11提供开箱即用的支持MAA，可以远程验证系统硬件和软件的完整性。微软表示，这将允许组织“在访问云中的敏感资源时执行零信任政策”。

进化,而不是革命

几年来，微软在Windows安全方面的策略一直是创建一个信任链，从底层开始确保整个硬件和软件堆栈的完整性。最新版本的Windows试图让这一功能接近默认设置，并要求使用必要的硬件。通过Windows 11，微软正在积极尝试提高个人电脑平台的安全底线，这对每个人的安全都是一件好事。

毫无疑问，威胁行为者会像以前那样适应。高级持续威胁(APT)组织有足够的资金来找到通过强硬防御的方法，勒索软件团伙非常擅长寻找最容易实现的目标和利润丰厚的社会工程形式，比如BEC是出了名的抵制技术解决方案。

此外，还会出现不断增加的复杂性、向后兼容性和技术债务等连锁问题。操作系统及其必须支持的应用程序是一个庞然大物，当微软追求其消除所有类型漏洞的值得称赞的目标时，新的漏洞将会出现，许多遗留代码也将不可避免地随之出现。

是否采用Windows 11的决定无疑会受到一个事实的影响，那就是它不能在很多其他方面都很好的电脑上运行。我们预计，这将对组织放弃Windows 10的意愿产生寒颤效应。

此外，还有其他一些不利因素。如今，新的Windows操作系统很少受到极大热情的欢迎，除非它们纠正了特别不受欢迎的前任的错误。总之，Windows 10还能用，操作系统升级也很痛苦，所以很难想象会有人得出这样的结论需要Windows 11。

从旧版本的Windows迁移到其他版本是不可避免的，到2025年10月主流对Windows 10的支持结束时，用户无疑会更加安全。但我们预计各组织会慢慢放弃Windows 10，这将推迟Windows 11大规模采用所带来的毫无疑问的安全效益。