微软宣布 Windows 的新安全功能

因此，在 2024 年夏天 CrowdStrike 发生严重中断，影响了全球约 850 万台计算机之后，微软迅速做出反应，以增强用户信心。

该事件与 CrowdStrike 软件更新错误有关，引发了“蓝屏死机”（BSOD）现象，导致许多系统关闭，严重影响了行业和公共服务。

对此，微软宣布对Windows操作系统进行一系列重大改进，重点是增强安全性、提高稳定性以及增强在发生类似事件时的系统恢复机制。

远程恢复故障机器

这起事件发生在7月份，造成了严重的后果：计算机陷入持续的启动循环，IT管理员无法远程排除故障。为了应对这种情况，微软开发了“快速机器恢复”功能，提供快速有效的恢复解决方案。

该功能预计将于 2025 年初向 Windows Insider 社区开放测试，有望显著提高系统弹性并最大限度地减少停机时间。

这款远程恢复工具旨在处理电脑上与 Windows 更新相关的错误，即使系统无法启动。其最显著的特点是，它完全无需物理访问设备，从而为远程故障排除提供了卓越的便利性和效率。

微软企业安全和操作系统副总裁戴维·韦斯顿 (David Weston) 表示：“此远程恢复功能将能够快速解决重大事件，帮助您的员工比以往更有效地恢复工作。”

删除不必要的组件，包括内置的防病毒软件。

我们正在实施许多改进，以减少应用程序和用户对管理权限的依赖。微软认为，应用程序和用户的过高权限是一个持续存在的挑战，需要采取彻底的解决方案来提高安全性和系统稳定性。

Windows 目前正在测试一项新的管理员保护解决方案，该方案将标准用户权限设置为默认权限。当用户需要进行需要管理员权限的系统更改（例如安装应用程序）时，系统会要求他们通过 Windows Hello 安全系统进行授权。这不仅可以确保更改的安全，还能提供额外的保护，防止未经授权的访问或潜在威胁。

通过部署临时的、完全隔离的治理代币来执行需要高访问权限的任务，可以增强安全性。这种方法可以最大限度地降低攻击风险，保护治理权限免遭滥用或未经授权的访问。

任务完成后，此临时令牌会立即销毁，确保管理员权限不会持续存在。管理员保护有助于确保用户（而不是恶意软件）仍然控制系统资源。Weston 在一篇博客文章中表示。

任何潜在的攻击者都将被挫败，因为他们将不再能够在没有特定许可的情况下自动、直接访问操作系统内核或其他关键系统资源。

这意味着安全产品（例如防病毒软件）可以像常规应用程序一样在用户模式下运行，从而增加了灵活性并降低了影响系统稳定性的风险。

2025年7月，微软计划在安全产品生态系统中推出专注于这一突破性变革的私人开发者预览版。目标是在提供更高安全级别的同时，确保Windows在发生崩溃或错误时更不易受到攻击，为用户打造更安全稳定的环境。

根据新举措，微软将要求合作伙伴分阶段部署安全产品更新，采用受控的部署流程和严格的监控机制。目标是确保检测并最大程度地减少更新带来的任何负面影响，从而为用户提供稳定性和安全性。

根据微软《2024 年数字防御报告》，用户滥用访问权限窃取令牌的事件数量急剧上升，达到令人震惊的每天 39,000 起。

专注于可靠的应用程序和驱动程序

微软建议企业使用智能应用程序控制策略来消除恶意附件和社会工程恶意软件等攻击。

IT 管理员现在可以通过在应用程序控制向导中选择“签名并受信任的策略”模板来简化流程。此选项允许经过验证且高度受信任的应用程序无缝运行，无论部署位置如何。对于未经 Microsoft 认证的企业应用程序，管理员可以通过自定义策略更改或通过 Microsoft Intune 应用程序管理系统进行部署来轻松添加它们。

Hotpatch 功能现已在 Windows 上可用

热补丁 (Hot Patch) 是一种软件更新技术，允许在系统或应用程序仍在运行时应用错误修复或升级。此功能无需重启系统，从而最大限度地减少停机时间，这对于企业或服务器系统尤为重要。

韦斯顿表示：“Hotpatch 现已推广至 Windows 11 Enterprise 24H2 和 Windows 365，为用户带来全新水平的无缝更新体验。”

Hotpatch 将缩短应用关键安全更新的时间“自安全更新发布之日起最多可缩短 60%”。

微软还认为，新功能将使系统重启次数从每年 12 次减少到 4 次。

其他功能增强隐私和安全性

预计微软将在11月下旬举行的年度Ign​​ite 2024技术大会上重点推出一系列高级安全功能。这家科技巨头正在通过采用更安全的编程语言，对其安全战略进行重大转变。这包括逐步从使用C++实现函数切换到使用Rust，以增强保护系统免受常见安全漏洞攻击的能力。

为了进一步保护凭据，微软升级了与 Windows Hello 集成的多重身份验证 (MFA) 解决方案，并扩展了对密码锁的支持。通过这项改进，用户登录时无需再在便捷性和安全性之间做出取舍。此外，Windows Hello 现在还可用于保护“召回”和加密个人数据等功能，为用户提供更全面的安全保障。

微软正在扩展其加密选项以提高安全性，包括已知文件夹的个人数据加密。启用后，文件内容将受到完全保护，并且只有通过 Windows Hello 进行身份验证后才能访问，即使是设备管理员也无法在未通过此安全层的情况下查看数据。

微软于 2024 年 5 月推出的零信任 DNS 为 IT 管理员提供高级访问控制。它允许管理员限制对未经批准的域的访问，并阻止通过 IP 地址的出站流量。默认情况下，零信任 DNS 会阻止除基本服务之外的所有出站流量，从而确保安全的网络环境和最高程度的安全合规性。

此外，该功能 现已推出全新配置功能，使管理员能够自动将系统设置恢复至默认状态。此功能在设置被其他用户或应用程序无意更改的情况下尤其有用，有助于确保系统以正确的配置稳定运行。