Windows 11 22H2即将上市，除了新功能，微软最新的操作系统更新还带来了安全升级。

由于勒索软件、复杂的黑客攻击和网络钓鱼威胁没有减弱的迹象，微软重新考虑了Windows 11的安全性，旨在默认阻止更多的威胁。

微软企业和操作系统安全副总裁大卫·韦斯顿告诉ZDNET, Windows 10有很多核心安全功能，但微软让用户根据自己在性能和兼容性方面的偏好来启用和配置。

“我们真的颠覆了这种理念。我们发现，真正能理解他们在做什么取舍的人非常少，他们真的指望微软来解决这个问题。我们将这些反馈整合到Windows 11中。我们非常关注防止袭击。”

“对于Windows 11，我们关注的是威胁景观和最大的攻击载体——网络钓鱼、通过附件或下载的恶意软件，以及数据保护攻击。我们的重点是在预防层面解决这些广泛的攻击。”

Windows 11 22H2—又名Windows 11 Update 2022—包括许多增强功能，提供了通过易受攻击的驱动程序对Windows内核的攻击的保护，对凭证的更多保护，对邪恶女佣攻击的更好防御，以及更容易的无密码认证。

但是，根据Weston的说法，Windows 11 22H2的主要安全功能是智能应用程序控制，它默认启用应用程序控制。

韦斯顿表示，微软曾在“数千万台设备”中尝试使用Windows 10 S允许列表的方法，结果发现这些设备上“没有恶意软件”。问题在于它使用了一种生硬的政策工具:应用安装仅限于微软商店。

这一次，应用程序控制依靠人工智能来定义允许列表。微软今年通过智能应用程序控制功能在Windows 11的内部测试了这一点。

allow-list只允许在Windows 11上运行一组应用程序。智能应用程序控制依赖于Windows防御应用程序控制相同的Windows功能，允许手动定义策略。

Weston说:“应用程序控制是最有效的事情之一，但传统上也很难做到。”

所以，当用户得到一个数百万人都在使用的应用程序时——不管它是来自商店还是网站——它都会“正常工作”，韦斯顿说。但如果有人将最近生成的应用程序作为附件发送，以绕过反病毒保护，则不会运行，因为它不在允许列表中。

“我们今天使用的大多数应用程序都有数百万人在使用。大多数恶意软件只在几台机器上出现。我们通过这种强制机制深入到操作系统的核心。在Windows 11 22H2之前，这是一个您必须自己在XML文件中编写的策略。你可以想象，在企业中知道每个人都需要运行哪些应用程序是非常棘手的，”Weston说。

下面是ZDNET对各种用例的首选。

Windows 11 22H2还阻止了“来自互联网的大部分脚本向量”。部分原因是Office团队决定在默认情况下从互联网上屏蔽不受信任的宏。

Windows 11 22H2进一步发扬了这一理念。我们说过没有PowerShell，没有LNK文件，没有来自互联网的Visual Basic。任何关注威胁景观的人都知道这些是最受欢迎的一些。在智能应用程序控制模式下的Windows 11阻止了这些威胁。”

微软将逐步向用户推出该安全功能。用户将有一个一键退出智能应用程序控制的选项，需要重新启动才能退出。随着时间的推移，微软将发布更细粒度的策略，例如，在该功能已经启用的情况下，允许指定的应用程序运行。

“对于那些可以保持这种模式的人来说，根据我们从Defender等网站获得的数据，这将是最重要的安全功能之一，它将阻止脚本和大多数恶意软件载体，”韦斯顿预测。

智能应用程序控制是针对Windows 11的消费者和小型企业。在Windows 11的企业系统中，它将是默认开启的，但微软并不期望他们部署它，因为许多企业都有自己的业务应用。Weston说，微软希望他们使用Windows卫士应用控制系统。

更多用于保护凭证的安全性增强

在第一个Windows 11版本中，微软仅为最新的AMD、英特尔和高通处理器开启了基于虚拟化的安全(VBS)。Weston说，他认为Windows将来会更多地使用VBS。

此外，对于Windows 11 22H2的企业版，微软在默认情况下开启了Credential Guard。在Windows 10中，Credential Guard将NTLM凭证转移到Windows之外的VBS中，以击败Mimikatz等凭证转储工具。

微软现在为新的企业接入Windows 11设备开启了本地安全授权子系统服务(LSASS)的受保护进程。LSA存储Microsoft和第三方凭证。有了这种保护，Windows将只加载受信任的签名代码，使攻击者更难以窃取凭据。

“我们说的是，‘任何进程，包括管理员，都不能读或写LSA。这挫败了许多常见的凭证盗窃和横向移动工具。它不像VBS那么强大，我们希望最终将所有东西都转移到VBS中，但这是一种优秀的桥接技术，将产生真正的影响。跳入LSA并转储凭证是最常见的攻击载体之一。这种情况不会再发生了。”

对于其安全核个人电脑和笔记本电脑，微软还引入了新的加密技术作为BitLocker的第二层，称为个人数据加密(PDE)。

如果您丢失了一台笔记本电脑，而攻击者将其打开到登录屏幕，磁盘上的数据仍然是解密的。如果攻击者附加了一个特殊的设备或绕过锁定屏幕来访问数据或让代码运行，他们就可以吸走数据。

虽然SecuredCore pc通过锁定端口来解决这一威胁，但PDE提供了一种方法，在BitLocker之外启用特定于文件的加密，因此即使攻击者有办法绕过BitLocker，他们仍将面对一个加密的文件，有效地在BitLocker之外创建第二个安全网。