在網(wǎng)絡(luò)安全領(lǐng)域，操作系統(tǒng)安全性一直是用戶和企業(yè)關(guān)注的焦點(diǎn)。據(jù)Cybernews報(bào)道，2025年，微軟將大幅度提升Windows系統(tǒng)的安全性，此舉將對殺毒軟件開發(fā)商以及廣大Windows用戶產(chǎn)生重大影響。

微軟破天荒的安全“大躍進(jìn)”，根本原因是今年夏天CrowdStrike導(dǎo)致的全球IT系統(tǒng)癱瘓事件。該事件造成的惡劣影響迫使微軟痛下決心，宣布對Windows的安全性和彈性進(jìn)行重大改進(jìn)，重點(diǎn)措施如下：

一、遠(yuǎn)程修復(fù)功能，快速恢復(fù)崩潰機(jī)器

7月的藍(lán)屏事件給企業(yè)造成重大損失的原因之一是IT管理員無法遠(yuǎn)程修復(fù)陷入啟動循環(huán)的電腦。微軟決定到2025年初，為Windows Insider社區(qū)提供新開發(fā)的遠(yuǎn)程快速恢復(fù)工具的測試版本，允許在電腦無法啟動時(shí)執(zhí)行針對性的Windows更新修復(fù)，而無需物理接觸電腦。

微軟企業(yè)及操作系統(tǒng)安全副總裁David Weston承諾，這種遠(yuǎn)程恢復(fù)將比過去更快地解決員工遇到的各種問題。

二、內(nèi)核“清理門戶”，包括殺毒軟件

微軟正在推動多項(xiàng)安全變革中，最令人矚目的是將應(yīng)用程序和用戶從管理員權(quán)限中移除。微軟認(rèn)為，過度授權(quán)的用戶和應(yīng)用程序是其長期面臨的安全挑戰(zhàn)。Windows新推出的管理員保護(hù)解決方案目前已在預(yù)覽版中，其中標(biāo)準(zhǔn)用戶權(quán)限為默認(rèn)設(shè)置，當(dāng)用戶需要進(jìn)行系統(tǒng)更改（如應(yīng)用程序安裝）時(shí)，將通過Windows Hello安全登錄系統(tǒng)提示用戶授權(quán)更改。通過創(chuàng)建一個臨時(shí)的隔離管理員令牌來完成任務(wù)，一旦任務(wù)完成，該令牌將立即被銷毀，確保管理員權(quán)限不會持續(xù)存在。這樣的管理員保護(hù)有助于確保用戶（而非惡意軟件）控制系統(tǒng)資源。任何潛在攻擊者都將受到干擾，因?yàn)樗麄儗⒉辉倌軌蜃詣?、直接訪問內(nèi)核或其他關(guān)鍵系統(tǒng)資源，除非有特定授權(quán)。

微軟還表示，即便是網(wǎng)絡(luò)安全產(chǎn)品（例如殺毒軟件和端點(diǎn)安全方案）也應(yīng)該遠(yuǎn)離內(nèi)核。微軟透露正在開發(fā)新的Windows功能，方便網(wǎng)絡(luò)安全開發(fā)者開發(fā)不依賴內(nèi)核模式的產(chǎn)品。這意味著今后殺毒軟件將失去特權(quán)，只能與其他客戶端應(yīng)用一樣運(yùn)行在用戶模式下。

據(jù)悉，到2025年7月，微軟將為新的網(wǎng)絡(luò)安全產(chǎn)品生態(tài)系統(tǒng)提供開發(fā)預(yù)覽版本，希望能在提高Windows安全級別的同時(shí)，減少崩潰和錯誤對Windows的影響。

三、安全產(chǎn)品補(bǔ)丁需分步發(fā)布

微軟將要求合作伙伴分步發(fā)布安全產(chǎn)品補(bǔ)丁更新，采用循環(huán)部署并加強(qiáng)監(jiān)控，確保更新帶來的負(fù)面影響降到最低。

四、關(guān)注可信應(yīng)用和驅(qū)動程序

微軟建議企業(yè)使用Smart App Control策略來消除惡意附件和社交工程惡意軟件攻擊。IT管理員只需在應(yīng)用控制向?qū)е羞x擇“簽名和信譽(yù)良好的策略”模板，即可啟用數(shù)百萬經(jīng)過驗(yàn)證的應(yīng)用程序，無論部署位置在哪。此外，IT管理員可以通過策略更改或通過Microsoft Intune管理的應(yīng)用部署輕松添加業(yè)務(wù)線應(yīng)用程序。

新的，更安全的Windows打印系統(tǒng)無需額外的第三方驅(qū)動程序即可工作。

五、“革命性的”熱補(bǔ)丁功能

Windows預(yù)覽版還包含了一個“革命性的”熱補(bǔ)丁功能，企業(yè)不需要重啟系統(tǒng)即可應(yīng)用關(guān)鍵安全更新（相比之下，Linux系統(tǒng)的實(shí)時(shí)補(bǔ)丁功能已經(jīng)推出超過十年）。

微軟透露，“Windows中的熱補(bǔ)丁功能將首先在Windows 11 Enterprise 24H2和Windows 365中引入，可將部署關(guān)鍵安全更新的時(shí)間縮短高達(dá)60%。微軟還認(rèn)為，新功能將把每年所需的系統(tǒng)重啟次數(shù)從12次減少到僅4次。

六、其他隱私和安全增強(qiáng)功能

微軟還計(jì)劃在Ignite 2024上發(fā)布許多其他安全功能，例如采用更安全的編程語言，逐步將功能從C++實(shí)現(xiàn)轉(zhuǎn)移到Rust。為了保護(hù)憑據(jù)，內(nèi)置的多因素身份驗(yàn)證解決方案Windows Hello也將得到進(jìn)一步加強(qiáng)，并擴(kuò)展以支持密碼密鑰。用戶不再需要在簡單登錄和安全登錄之間做出選擇。Windows Hello也被用來保護(hù)Recall和個人數(shù)據(jù)加密。

微軟還提供了更多的加密選項(xiàng)，例如為已知文件夾提供個人數(shù)據(jù)加密。啟用后，設(shè)備管理員在通過Windows Hello認(rèn)證之前將無法查看文件內(nèi)容。

此外，IT管理員可以使用2024年5月推出的零信任DNS解決方案，限制對未批準(zhǔn)域的訪問，并使用IP地址阻止出站流量。該功能默認(rèn)阻止所有出站流量，除了基本服務(wù)。

最后，管理員們最熟悉不過的Config功能也得到了增強(qiáng)，管理員現(xiàn)在可以自動修復(fù)被其他用戶或應(yīng)用程序意外更改的設(shè)置。