På mandag, sammen med en rekke nye PC-er drevet av Copilot, avslørte Microsoft nye sikkerhetsfunksjoner for Windows 11. “Vi har ikke bare bygget nye sikkerhetsfunksjoner i Windows 11, men vi har også doblet ned på sikkerhetsfunksjoner som vil være slått på som standard," selskapet forklarte i en blogg.
Også: Alle Copilot+ PC-er Microsoft har nettopp annonsert å ta på seg Apples M3 MacBook
Det er en kritisk tid for cybersikkerhet å holde seg i forkant. I følge Microsofts egen forskning har passordangrep økt med 3 378 % til mer enn 4 000 per sekund siden 2015. Ved å oppgradere både maskinvare og programvare og tilpasse funksjonene mot utviklere, har selskapet som mål å gjøre Windows tryggere i bedriften og individuelt nivå.
Maskinvareforbedringer
Til å begynne med forbedrer Microsoft «ut av esken»; maskinvaresikkerhet ved å sørge for at alle Copilot+ PC-er vil være Secured-core-enheter, ifølge utgivelsen. "Pc-er med sikret kjerne gir avanserte fastvaresikringer og dynamisk root-of-trust-måling for å beskytte fra brikke til sky," ifølge bloggen.
De nye PC-ene vil også komme med Pluton – selskapets Zero Trust-baserte sikkerhetsprosessor – aktivert som standard, noe som sikrer mer innebygd sikkerhet for brukere fra dag én. Pluton beskytter alt fra legitimasjon og personlige data til krypteringsnøkler, som Microsoft sier gjør det “betydelig vanskeligere å fjerne, selv om en nettangriper installerer skadelig programvare eller har fysisk besittelse av PCen.”
Også: Microsofts Surface Pro og Laptop er de ultimate 'AI PC-ene, og jeg er bekymret for Apple
I tillegg kommer de nye Copilot+ PC-ene med Windows Hello Enhanced Sign-in Security (ESS), som erstatter typiske passord med sikrere biometriske påloggingsalternativer. Ved å bruke spesialisert maskinvare og programvare som virtualiseringsbasert sikkerhet (VBS) – et isolert virtuelt miljø som beskytter sikkerhetsløsninger mot OS-sårbarheter – og Trusted Platform Module 2.0, beskytter ESS biometriske data bedre med styrkede kommunikasjonskanaler.
Hvis du ikke planlegger å skaffe deg en Copilot+ PC, er ESS også tilgjengelig på andre enheter som kjører Windows 11.
Programvareoppdateringer
Microsoft vil aktivere flere nye Windows 11-funksjoner som standard – i stedet for å stole på at individuelle kunder er ansvarlige for sine egne sikkerhetsinitiativer. Disse inkluderer malware-skjold, legitimasjonsbeskyttelse og applikasjonsbeskyttelse, som alle ifølge Microsoft førte til en 58 % reduksjon i hendelser, ifølge en rapport fra 2022.
I følge kunngjøringen er multifaktorautentisering ikke lenger nok til å slå nettangripere, som har tilpasset seg det. Microsoft sikter mot dette med flere oppdateringer, inkludert LSA-beskyttelse (Local Security Authority). LSA autentiserer brukere og håndterer legitimasjon for enkel pålogging (SSO); LSA-beskyttelse "hindrer LSA fra å laste inn uklarert kode og forhindrer uklarerte prosesser fra å få tilgang til LSA-minne," bloggen skrev også.
Tidligere på som standard bare for kommersielle enheter, slår selskapet nå LSA-beskyttelse på som standard også for forbrukerenheter.
Også: Microsoft slipper oppgraderinger til Azure AI Speech ved Build 2024
Microsoft avvikler også NT LAN Manager (NTLNM), en utdatert sikkerhetspakke kjent for sårbarheter, senere i år for å forbedre brukerautentisering.
I tillegg bruker selskapet VBS for å fremme nøkkelbeskyttelse og herde Windows Hello. Drevet av en enhets CPU betyr førstnevnte bedre beskyttelse enn maskinvarebasert sikkerhet; for sistnevnte kan Windows Hello nå beskytte adgangsnøkler og isolere påloggingsinformasjon fra "angrep på administratornivå" for enheter som mangler innebygd biometri, ifølge bloggen. Avansert nøkkelbeskyttelse er nå tilgjengelig i offentlig forhåndsvisning for Windows Insiders.
Økt app-kontroll
Microsoft kunngjorde også nye funksjoner som tar sikte på å forbedre appsikkerheten for Windows-utviklere, inkludert Smart App Control, som bruker en AI-modell trent på 78 billioner sikkerhetssignaler for å forutsi om en app er trygg. Funksjonen, som er tilgjengelig og på som standard i utvalgte systemer, lar kjente apper kjøre mens de blokkerer skadevaretilkoblede.
En annen funksjon, Trusted Signing, hjelper en app å opprettholde en god anseelse med Smart App Control gjennom oppdateringer “ved å administrere alle aspekter av sertifikatlivssyklusen”," utgivelsen forklarer. Nylig flyttet til offentlig forhåndsvisning, integreres funksjonen også med Azure DevOps og Github for sømløs bruk.
I forhåndsvisning er også Win32-appisolering, som gjør det enklere å begrense skade og beskytte brukernes personvern for apputviklere hvis et brudd oppstår. Funksjonen kan nå brukes med Visual Studio-integrasjon.
Også: Slett deg selv fra internett med de beste tjenestene for fjerning av data på nettet
I tillegg forbedrer Microsoft administrasjonssikkerheten ved å begrense omfanget av når administratorrettigheter distribueres på enheten . Hvis en app trenger bestemte tillatelser, for eksempel, ber denne funksjonen brukeren om spesifikk godkjenning, og Windows Hello gjør det enkelt å godkjenne eller avslå forespørsler.
"Windows oppdateres for å kreve akkurat i tide administrativ tilgang til kjernen og andre kritiske tjenester etter behov, ikke hele tiden, og absolutt ikke som standard," sa selskapet i utgivelsen. Funksjonen er i privat forhåndsvisning, men Microsoft sier at den snart vil utvides til offentlig forhåndsvisning.
Selskapet kunngjorde også at VBS-enklaver, som bidrar til å beskytte sensitive arbeidsbelastninger, nå er tilgjengelige for tredjeparts apputviklere. Brukere kan prøve ut enklave-API-ene.
Herdet kode
Microsoft kunngjorde også at de styrker Windows-koden for å ta høyde for økte angrep. Windows Protected Print Mode (WPP), som forhindrer tredjeparter i å laste inn drivere, vil være standard utskriftsmodus på enheter som går fremover.
Selskapet gjør også forbedringer av verktøytips for å ta høyde for bedre sikkerhet og mindre utnyttelse. "Ansvaret for å administrere livssyklusen til verktøytips er overført til den respektive applikasjonen som brukes," sier utgivelsen. "Nå overvåker kjernen markøraktivitet og starter nedtellinger for visning og skjule av verktøytipsvinduer. Når disse nedtellingene avsluttes, varsler kjernen miljøet på brukernivå om enten å generere eller eliminere et verktøytipsvindu."
Også: Microsofts Build 2024: 10 raske utviklerfokuserte kunngjøringer du trenger å vite om
Microsoft kunngjorde også at serverautentisering (Transport Layer Security) (TLS), som bekrefter serveridentitet til en klient, får et løft: Windows vil nå kun stole på TLS-sertifikater med RSA-nøkler på 2048 biter eller mer, i motsetning til de svakere krypteringsnøklene til 1024 biter programvaren brukes til å støtte som standard.
Forbedringer for kommersielle kunder
Selskapet har også laget oppdateringer spesifikt for kommersielle brukere for å gjøre Windows sikrere i deres miljøer, inkludert Config Refresh, Firewall og Personal Data Encryption (PDE).
Config Refresh lar administratorer "sette en tidsplan for enheter for å bruke policyinnstillinger på nytt uten å måtte sjekke inn hos Microsoft Intune eller andre leverandører av mobilenhetsadministrasjon, noe som bidrar til å sikre at innstillingene forblir som konfigurert av IT-administratoren," står det i bloggen. Oppdateringer er satt til hvert 90. minutt som standard, men kan skje så ofte som 30-minutters intervaller, og kan settes på pause under vedlikeholdsperioder eller feilsøking.
Også: Microsoft Azure får 'Models as a Service,' forbedrede RAG-tilbud for bedriftsgenerativ AI
Windows' Brannmurkonfigurasjonstjenesteleverandør (CSP) bruker regler med en alt-eller-ingenting-tilnærming. "Tidligere, hvis CSP-en støtt på et problem med å bruke en regel fra en blokk, ville CSP-en ikke bare stoppe den regelen, men også slutte å behandle påfølgende regler, og etterlate et potensielt sikkerhetshull med delvis utplasserte regelblokker," bloggen forklarer. "Nå, hvis noen regel i blokken ikke kan brukes på enheten, vil CSP slutte å behandle påfølgende regler og alle regler fra den samme atomblokken vil bli rullet tilbake, noe som eliminerer tvetydigheten til delvis utplasserte regelblokker. "
PDE dekrypterer bare data når en PC låses opp med Windows Hello for Business. Funksjonen, nå i forhåndsvisning, opprettholder to nivåer av databeskyttelse og pares med BitLocker for ekstra sikkerhet.
Zero Trust DNS, for øyeblikket i privat forhåndsvisning, sikrer at Windows-enheter kun kobles til godkjente nettverksdestinasjoner og blokkerer utgående IPv4- og IPv6-trafikk.