提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

当Windows11在2021年6月底推出时，许多人对其改进后的用户界面感到兴奋——无数的PC爱好者争相下载新操作系统的WindowsInsider开发者频道版本

但是，正如他们很快发现的那样，新的操作系统对个人电脑有几个新的要求，以支持其新的硬件和基于虚拟化的安全功能。这些功能对于保护消费者和企业的工作负载不受更复杂的恶意软件的影响以及利用当前在野外演变的威胁至关重要

另外：微软刚刚爆料了你不能使用Linux桌面的唯一原因

事实证明，如果你运行的是20H2版本（Windows 10 October 2020 Update），那么所有这些功能都已经内置到Windows 10中了。作为消费者、小型企业或企业，如果您部署组策略或只需单击Windows 10的“设备安全”菜单以打开它们，就可以利用这些功能。您无需等到Windows 11发布或购买新电脑。

Windows 10 20H2中的“设备安全”菜单是一项旨在提供基于硬件的安全相关加密功能的技术。如果你的电脑是在过去五年内生产的，那么你的主板上有一个支持2.0版本的TPM芯片。您可以通过打开设备管理器并展开“安全设备”来确定这一点。如果它显示“Trusted Platform Module 2.0”，您就可以开始了

枚举了TPM 2.0的Microsoft Windows设备管理器在Windows 10（和Windows 11）的设备安全设置菜单中显示为“安全处理器”。

那么TPM实际上做什么呢？它用于生成和存储系统特有的加密密钥，包括系统TPM本身特有的RSA加密密钥。除了传统上与智能卡和VPN一起使用外，TPM还用于支持安全引导过程。它测量操作系统的引导代码的完整性，包括固件和单个操作系统组件，以确保它们没有被破坏。

无需任何操作即可使其正常工作；只要在您的UEFI中没有禁用它，就可以了。您的组织可以选择通过组策略或基于企业MDM的解决方案（如Microsoft Endpoint Manager）在Windows 10上部署安全引导

虽然大多数制造商在出厂时都启用了TPM，但有些制造商可能禁用了TPM，因此，如果它没有在设备管理器中显示或显示为禁用，请启动到UEFI固件设置并查看。

如果TPM从未准备好在系统上使用，只需从命令行运行tpm.msc即可调用该实用程序

Windows设备安全中的安全处理器（TPM 2.0）详细信息。

功能2：基于虚拟化的安全性（VBS）和HVCI

虽然TPM 2.0在许多PC机上已经流行了6年，但真正使Windows 10和Windows 11中的安全橡胶发挥作用的功能是HVCI或受虚拟机监控程序保护的代码完整性，也称为内存完整性或核心隔离，如Windows设备安全菜单中所示。

虽然Windows 11需要它，但您需要在Windows 10中手动打开它。只需单击“核心隔离详细信息”，然后使用切换开关打开内存完整性。您的系统可能需要大约一分钟才能打开它，因为在启用它之前，它需要检查Windows中的每个内存页

此功能仅适用于基于硬件的虚拟化扩展的64位CPU，如Intel的VT-X和AMD-V。虽然早在2005年就开始在服务器级芯片上实现，但至少从2015年或Intel第6代（Skylake）开始，它们就出现在几乎所有的桌面系统中。但是，它也需要二级地址转换（SLAT），这在Intel的VT-X2中有扩展页表（EPT）和AMD的快速虚拟化索引（RVI）。

还有一个额外的HVCI要求，即任何能够直接内存访问（DMA）的I/O设备都必须位于IOMMU（输入输出内存管理单元）后面。这些都是在支持Intel VT-D或AMD Vi指令的处理器中实现的。

这听起来像是一个长长的需求列表，但归根结底，如果设备安全部门说您的系统中存在这些功能，您就可以开始了

windows10设备安全核心隔离（内存完整性）功能

虚拟化不是主要用于提高数据中心服务器的工作负载密度，还是软件开发人员用于隔离桌面上的测试设置或运行外国操作系统（如Linux）？是的，但是虚拟化和容器化/沙盒现在越来越多地被用于在现代操作系统（包括Windows）中提供额外的安全层

在windows10和windows11中，VBS（即基于虚拟化的安全性）使用微软的Hyper-V创建安全内存区域，并将其与操作系统隔离开来。此受保护区域用于运行多个安全解决方案，这些解决方案可以保护操作系统中的遗留漏洞（例如来自未现代化的应用程序代码），并阻止试图破坏这些保护的攻击。

HVCI使用VBS来加强代码完整性策略实施，方法是在启动前检查所有内核模式驱动程序和二进制文件，并防止未签名的驱动程序和系统文件加载到系统内存中。这些限制保护了重要的操作系统资源和安全资产，如用户凭据——因此，即使恶意软件能够访问内核，由于虚拟机监控程序可以防止恶意软件执行代码或访问机密，因此攻击的范围可以受到限制和控制。

VBS也对应用程序代码执行类似的功能—它在加载应用程序之前检查应用程序，并且仅当这些应用程序来自经批准的代码签名者时才启动它们，这样做是正确的这可以通过在系统内存的每一页上分配权限来实现。所有这些都是在一个安全的内存区域中执行的，它提供了更强大的保护，以防内核病毒和恶意软件

把VBS想象成Windows的新代码执行官，你的内核和应用程序Robocop，它们生活在一个受保护的内存盒中，由支持虚拟化的CPU启用

功能3:Microsoft Defender Application Guard（MDAG）

许多Windows用户不熟悉的一个特定功能是Microsoft Defender Application Guard（MDAG）。

这是另一种基于虚拟化的技术（也称为“Krypton”Hyper-V容器），它，当与最新的Microsoft Edge（以及使用扩展的当前版本的Chrome和Firefox）结合使用时，会为浏览器创建一个独立的内存实例，防止不受信任的网站危害您的系统和企业数据

在Microsoft Edge上使用的Windows Defender Application Guard

如果浏览器受到脚本或恶意软件攻击的感染，则与主机操作系统分开运行的Hyper-V容器将与关键系统进程和企业数据隔离

MDAG与为您的环境配置的网络隔离设置相结合，以定义由企业的组策略定义的专用网络边界

MDAG如何在主机PC和独立的Hyper-V浏览器容器上工作(来源：Microsoft）

除了保护浏览器会话之外，MDAG还可以与Microsoft 365和Office一起使用，以防止Word、PowerPoint和Excel文件访问受信任的资源，如企业凭据和数据。这项功能是在2020年8月发布的一个面向microsoft365 E5客户的公共预览版的一部分

MDAG是windows10 Professional、Enterprise和Educational sku的一部分，通过Windows功能菜单或简单的PowerShell命令启用；它不需要开启Hyper-V

打开或关闭Windows功能菜单中的Microsoft Defender Access Guard。

虽然MDAG主要针对企业，但最终用户和小型企业可以通过设置组策略对象的简单脚本打开它。这段精彩的视频和在URTech.Ca上发表的文章更详细地讲述了这个过程。

Best travel tech 2021:Gear to stuff in your luggage

好吧，微软，你赢了：我要买一台Windows 11 PC

Windows 11，这是微软最讨厌的Windows版本的最新版本。太快了？

被Windows 11孤立了？我简直疯了，我再也不想忍受了

通过注册，您同意使用条款并承认隐私政策中概述的数据实践。

您还将获得免费订阅的ZDNet今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅这些时事通讯。

您同意接收CBS系列公司的更新、提醒和促销活动，包括ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅

2023-03-22 10:04:37