摘要：今年夏天，CrowdStrike发生故障，导致数百万台计算机无法运行，此后，微软宣布对 Windows 安全性和弹性进行重大改进，并将于明年推出。

即使是杀毒软件也不能访问内核。微软计划在 2025 年大幅加强 Windows 安全性。

今年夏天，CrowdStrike发生故障，导致数百万台计算机无法运行，此后，微软宣布对 Windows 安全性和弹性进行重大改进，并将于明年推出。

远程恢复损坏的机器

7 月份的事件导致 IT 管理员无法远程修复陷入启动循环的 PC。到 2025 年初，Windows Insider 社区将能够测试新的“快速机器恢复”功能。

此远程恢复工具允许在无法启动的 PC 上执行有针对性的 Windows 更新修复，“而无需物理访问 PC”。

微软企业和操作系统安全副总裁戴维·韦斯顿 (David Weston) 承诺道：“这种远程恢复功能将比过去更快地帮助您的员工解决各种问题。”

内核大清理，包括杀毒软件

多项变化正在迫使应用程序和用户失去管理员权限。微软认为特权过高的用户和应用程序是其长期面临的挑战之一。

Windows 预览版中有一个新的管理员保护解决方案，其中默认设置了标准用户权限。当用户需要进行系统更改（需要管理员权限，例如安装应用）时，系统会提示他们使用安全登录系统 Windows Hello 安全地授权更改。

通过创建临时隔离的管理令牌来完成工作，将提高安全性。

“任务完成后，此临时令牌会立即销毁，确保管理员权限不会持续存在。管理员保护有助于确保用户（而不是恶意软件）继续控制系统资源，”韦斯顿在一篇博客文章中说道。

任何潜在的攻击者都将受到干扰，因为他们将无法再在未经特定授权的情况下自动、直接访问内核或其他关键系统资源。

微软表示，即使是安全解决方案也应该远离内核。

“我们正在开发新的 Windows 功能，使安全产品开发人员能够在内核模式之外构建他们的产品。这意味着安全产品（如防病毒解决方案）可以像应用程序一样在用户模式下运行。”Weston 解释道。

2025 年 7 月，微软将向安全产品生态系统提供该变更的私人预览版。希望这一变更能够提供高水平的安全性，同时在发生崩溃和错误时对 Windows 的影响较小。

根据新举措，合作伙伴将被要求逐步推出安全产品更新，利用部署环和监控来确保将更新带来的负面影响降至最低。

根据2024年微软数字防御报告，滥用用户权限的令牌盗窃事件已增长到每天3.9万起。

专注于受信任的应用程序和驱动程序

微软建议企业使用智能应用程序控制策略来消除恶意附件和社会工程恶意软件等攻击。

“IT 管理员只需在应用程序控制向导中选择‘已签名且信誉良好的策略’模板即可。这样一来，无论部署位置如何，数百万经过验证的应用程序都可以运行。IT 管理员可以通过策略更改或通过 Microsoft Intune 托管应用程序部署轻松添加 Microsoft 未知的业务线应用程序。”

新的、更安全的 Windows 打印系统无需额外的第三方驱动程序即可运行。

Hotpatch 成为 Windows 的一个特性

Windows Preview 还包含一项新的 Hotpatch“革命性功能”，允许企业无需重启系统即可应用关键安全更新。Linux 系统已经提供实时修补服务约十年了。

韦斯顿说：“Windows 中的热补丁正在为 Windows 11 Enterprise 24H2 和 Windows 365 引入。”

Hotpatch 将缩短采用关键安全更新的时间“从提供安全更新的时刻起最多可缩短 60%”。

微软还认为，新功能将把所需的系统重启次数从每年 12 次减少到仅 4 次。

其他功能增强隐私和安全性

微软计划在 Ignite 2024 上重点展示许多其他安全功能。

这家科技巨头正在采用更安全的编程语言，逐步将功能从 C++ 实现转移到 Rust。

为了保护凭证，内置的 MFA 解决方案 Windows Hello 已得到进一步强化，并扩展为支持密钥。用户不再需要在简单登录和安全登录之间做出选择。Windows Hello 还用于保护召回和个人数据加密。

微软还提供了更多加密选项，例如已知文件夹的个人数据加密。启用后，设备管理员将无法查看文件内容，除非通过 Windows Hello 进行身份验证。

IT 管理员可以使用 2024 年 5 月推出的零信任 DNS 解决方案限制对未经批准域的访问并使用 IP 地址阻止出站流量。默认情况下，它会阻止除基本服务之外的所有出站流量。

新的配置功能现已推出，允许管理员自动修复可能被其他用户或应用程序意外更改的设置。

新闻链接：

来源：会杀毒的单反狗