15、Windows 10 安全特性全解析

work3

于 2025-11-02 09:53:44 发布

阅读量34

点赞数

CC 4.0 BY-SA版权

分类专栏： Win10企业部署精要文章标签： Windows 10 设备健康证明 DHA

本文链接：https://blog.youkuaiyun.com/work3/article/details/154480112

Win10企业部署精要专栏收录该内容

19 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

Windows 10 安全特性全解析

1. 设备健康证明（Device Health Attestation）

在 Windows 8.0 就引入了衡量启动（Measured Boot）这一评估启动过程健康状况的新功能，它是安全启动（Secure Boot）的一种记录变体。不过当时缺乏用于检查健康数据和实施访问控制的企业级对应方案。

到了 Windows 10 1511 版本，该技术被命名为 Windows 可证明 PC 健康（PPCH），之后在 Windows 1607 及更新版本中更名为设备健康证明（DHA）。在 Windows Server 2016 中，对应的是健康证明服务（HAS）。

DHA 的具体工作流程如下：
- 数据测量 ：DHA 会结合安全启动、虚拟安全模式（VBS）、早期启动反恶意软件（ELAM）以及对早期启动驱动程序的保护，并借助可信平台模块（TPM）2.0 对这些进行测量。
- 数据收集与发送 ：健康证明配置服务提供程序（CSP）会收集这些测量的启动数据结果，并将其发送到远程 HAS 进行验证，与当前策略进行比较。
- 健康检查内容 ：健康证明过程会检查硬件启动组件（如 PCR 值）、操作系统启动组件（如启动计数器），若启用了设备防护（Device Guard），还会检查当前的设备防护策略。此外，还会检查 Windows 内核（如签名），作为第一个内核模式驱动程序启动并测量与 ELAM 兼容的反恶意软件，最后测量所有必要的早期启动驱动程序。

系统启动日志的存储与管理：
- 最后 100 条系统启动日志和所有相关的恢复日志将存储在 %SystemRoot%\logs\measuredboot 文件夹中。
- 可以通过在 HKLM\SYSTEM\CurrentControlSet\Services\TPM 下设置名为 PlatformLogRetention 的 REG_DWORD 值来控制日志数量。默认值为 100，若设置为 0x0 则禁用日志记录，设置为 1 到 65534 之间的值可指定日志数量，设置为 0xffffffff 则保留所有日志。

客户端访问受保护的企业资源时，需要有效的健康证明。健康证明 CSP 会将收集的数据发送到预配置的 URI。目前，DHA 服务设计为期望使用微软云服务作为 HAS 对应服务（ has.spserv.microsoft.com ），仅本地部署的版本正在研究中，可能会在未来的 Windows 10 版本中推出。收集的数据会进行签名，包含 TPM 日志、证明身份密钥（AIK）数据（PCR 值、启动计数器等）和 AIK 证书信息。

为避免隐私问题，Windows 10 使用派生的中间密钥（AIK），其证书由 HAS 服务颁发。远程设备健康证明服务会验证证书，并将数据与配置值进行比较。若一切符合范围，将生成包含健康信息和有效颁发时间的设备健康令牌，进行加密、签名后发送回客户端，客户端将加密的健康数据块存储在本地存储中。

客户端需要满足以下条件：
- 以 UEFI 模式安装 Windows 10，并启用安全启动和 TPM 2.0。
- 后端需要 HAS 微软云服务、支持 DHA 的移动设备管理（MDM）解决方案（如 InTune）以及独立的 Azure AD 或混合模式下带有 AD 连接器的 Azure AD。

建议使用 VBS、凭据防护（Credential Guard）和设备防护来进一步提高安全性。客户端的健康证明激活将作为向 MDM 提供商注册的一部分完成，若未配置，健康证明默认禁用。

DHA 是对已停用的网络访问保护（NAP）的持续改进，它提供了一种简单的方法来提高设备安全性和完整性，而无需过多干预用户。

2. 新的 BitLocker 选项

自 Windows Vista 以来，高级加密标准（AES）硬盘加密（BitLocker）使用的是 AES 密码块链接（AES - CBC）。Vista 和 Windows 7 还提供了带有大象扩散器的 AES - CBC。为支持所谓的加密驱动器（eDrives）的 BitLocker 硬件加密，Windows 8.0 取消了对大象扩散器的支持。仍可访问带有扩散器的 AES，但新的加密只能使用 128 位或 256 位的 AES - CBC。

Windows 10 1511 引入了一种基于调整代码本模式和密文窃取（XTS - AES）的新 AES 标准 AES - XEX。XTS - AES 通过添加额外的置换，为一类依赖于操纵密文以导致明文可预测变化的加密攻击提供了额外的保护，且不会向后移植到旧操作系统。

默认情况下，Windows 10 1511 及更新版本将对操作系统驱动器和固定数据驱动器使用 XTS - AES。出于兼容性考虑，可移动驱动器将使用旧的 AES - CBC 方法。当所有访问可移动驱动器的操作系统都是 Windows 10 1511 或更新版本时，也可以安全地将可移动驱动器切换到 XTS - AES。

为区分不同的 AES 加密方式，现在有 3 种不同的组策略对象（GPO）。此外，在注册表项 HKLM\SOFTWARE\Policies\Microsoft\FVE 下还有新的 REG_DWORD 值：
| 驱动器类型 | 注册表值 |
| ---- | ---- |
| 操作系统驱动器 | EncryptionMethodWithXtsOs |
| 固定数据驱动器 | EncryptionMethodWithXtsFdv |
| 可移动数据驱动器 | EncryptionMethodWithXtsRdv |

可能的新值如下：
| 加密方式 | 值 |
| ---- | ---- |
| AES - CBC 128 位 | 3 |
| AES - CBC 128 位 | 4 |
| AES - XTS 128 位 | 6 |
| AES - XTS 256 位 | 7 |

3. 本地管理员密码解决方案（Local Administrator Password Solution）

在域中，本地管理员账户密码的存储是个问题，常见的存储方式存在诸多弊端：
- 禁用本地账户，仅使用域账户/组获取本地管理员权限，但当域不可用时会出现问题。
- 每台机器使用相同密码，这会使恶意软件在数秒内扩散到整个网络。
- 使用电子表格或其他集中记录方式，即便存储在安全的网络共享且有密码保护，也存在被复制或破解的风险。

当需要更改密码时，面临以下困境：
- 逐个更改：手动或远程访问每个终端。
- 使用 PowerShell 或其他脚本工具，但可能仍使用相同密码。
- 组策略首选项，该选项不安全且此功能已被禁用。

为解决这些问题，微软提供了本地管理员密码解决方案（LAPS），可从微软网站（https://www.microsoft.com/en-us/download/confirmation.aspx?id=46899）下载该软件包。下载后会看到以下新文件：
| 文件名称 | 描述 |
| ---- | ---- |
| 数据表（Datasheet） | 提供 LAPS 架构的概述 |
| 操作指南（Operations guide） | 提供 LAPS 安装、操作和故障排除的指导 |
| 技术规范（Technical specification） | 更详细地介绍 LAPS 背后的架构和设计 |
| LAPS UI 客户端（LAPS UI client） | 提供给需要读取受管理机器上本地管理员账户密码的每个管理员 |
| PowerShell 模块（PowerShell module） | AdmPwd.PS 模块用于在初始配置和部署时配置 Active Directory（AD）架构 |
| 组策略编辑器管理模板（Group Policy editor admin templates） | 需要安装在将运行组策略编辑器的客户端机器上 |
| GPO 客户端扩展（GPO client - side extension） | 需要安装在每台受管理的机器上 |

部署 LAPS 前的 AD 准备工作：
- AD 架构更新 ：在使用此解决方案之前，需要通过两个新属性扩展 AD 架构。
- 管理员权限设置 ：需要设置多个权限，以允许计算机使用其本地管理员账户详细信息更新 AD，并防止在密码存储在 Active Directory 后未经授权的访问。具体包括：
- 为每台受管理的计算机添加更新新架构属性的机器权限。
- 从所有用户中移除扩展权限，防止访问密码。
- 为适当的用户或组添加检索密码的权限。

LAPS 的安装步骤：
1. 手动安装 LAPS 时，点击“下一步”。
2. 若希望同一台机器受管理，需要在将检索密码的 PC 上安装管理工具以及 AdmPwd GPO 扩展。
3. 再次点击“下一步”，然后点击“安装”。

安装完成后，可使用以下工具：
- LAPS UI ：主要用户界面允许管理员根据计算机名称查询 AD 并检索密码详细信息。在开始菜单中会看到快捷图标，启动后可用于检索域中特定计算机的密码，并设置新的过期日期/时间。
- 组策略客户端扩展 ：需要部署到每台受管理的计算机。可以使用多种方法进行管理，如组策略的软件安装功能、系统中心配置管理器（SCCM）、登录脚本、手动安装等。若要使用脚本进行静默安装，可使用以下命令：
- msiexec /i <file location>\LAPS.x64.msi /quiet
- msiexec /i <file location>\LAPS.x86.msi /quiet
只需将 <file location> 更改为本地或网络路径，例如 msiexec /i \\server\share\LAPS.x64.msi /quiet 。

组策略配置选项：
- 密码设置 ：可配置由该解决方案管理的本地密码设置，包括要管理的管理员账户名称（适用于更改默认管理员名称或创建新账户的情况）、密码过期策略（确保该策略与域级别的安全策略不冲突）以及启用或禁用该策略（可先创建禁用状态的策略，准备部署时再启用）。
- 策略应用 ：配置策略并将其目标设置为组织单位（OU）后，可以在目标机器上运行 GPUpdate ，或等待默认的刷新时间。之后测试密码是否已更改，并使用 LAPS UI 成功检索密码。

以下是 LAPS 部署的流程图：

graph LR
    A[下载 LAPS 软件包] --> B[AD 准备工作]
    B --> C[安装 LAPS]
    C --> D[配置组策略]
    D --> E[测试密码更改与检索]

综上所述，通过 DHA 可以提高设备的健康证明和访问控制安全性，新的 BitLocker 选项提供了更强大的硬盘加密功能，而 LAPS 则解决了本地管理员密码管理的难题。这些功能共同提升了 Windows 10 的整体安全性。

4. Windows Defender 高级威胁防护（Windows Defender Advanced Threat Protection）

Windows Defender 高级威胁防护（ATP）是一项安全服务，可帮助企业客户检测、调查和响应网络中的高级威胁。以下将详细介绍其相关内容。

4.1 先决条件

许可要求 ：Windows Defender ATP 需要以下 Microsoft 批量许可解决方案之一：
Windows 10 企业版 E5
Windows 10 教育版 E5
安全高效企业版 E5（包含 Windows 10 企业版 E5）
数据存储位置 ：首次运行加入向导时，必须选择将 Windows Defender ATP 相关信息存储在欧洲或美国的数据中心，且首次设置后无法更改数据存储位置。
系统版本 ：Windows Defender ATP 可在 1706 及之前版本的 Windows 系统上运行，包括 Windows 10 企业版、Windows 10 教育版、Windows 10 专业版和 Windows 10 专业教育版。
网络连接 ：每个端点必须有互联网连接，每天可能需要最多 5 MB 的带宽与 Windows Defender ATP 云服务通信并报告网络安全数据。
安全配置 ：需要配置 Windows Defender 签名更新（或替代且兼容的反恶意软件服务），并启用 Windows Defender 早期启动反恶意软件（ELAM）驱动程序。
管理权限 ：管理员必须在 Azure Active Directory（Azure AD）中被授予以下角色之一：
安全管理员：可提供完整的登录访问权限，查看所有信息并解决警报。该角色可以提交文件进行深度分析并下载加入包。
安全读者：有权登录并查看所有信息，但不能更改警报状态、提交文件进行深度分析或访问加入包。

4.2 Windows Defender 介绍

Windows Defender 是 Windows 操作系统内置的防病毒软件，可保护系统免受病毒、恶意软件、间谍软件和网络威胁。它是一个 Windows 服务，与其他 Microsoft 安全和维护服务（如 Windows 防火墙和 Microsoft SmartScreen）协同工作。所有这些服务默认启用，并在系统启动时启动。如果配置为自动更新，Windows Update 将自动更新 Windows Defender，且更新无需系统重启。

Windows 10 中 Windows Defender 的一些关键特性如下：
- Microsoft 主动保护服务（MAPS） ：使用文件的元数据分析潜在的恶意软件，若发现可创建新的病毒签名文件以保护其他设备。
- 网络检查系统 ：有助于防范针对网络协议中已知和新发现漏洞的入侵尝试。
- 行为监控 ：用于扫描活动，而不仅仅是已知的病毒签名。
- 基于云的机器学习保护 ：在隔离环境中运行潜在的恶意软件，以确定其是否具有恶意性。
- 自定义功能 ：可以排除文件、目录或进程，对开发人员的计算机和服务器很有用。
- 多种扫描选项 ：包括访问时扫描、快速扫描、计划扫描、按需扫描和全面扫描。
- 双向主动扫描 ：适用于高流量活动，如服务器。
- 潜在不需要的应用程序（PUA）检测 ：查找并阻止因配置错误、软件质量差或存在性能和/或安全问题而不应在计算机上运行的应用程序和服务。

Windows Defender ATP 可以与第三方安全解决方案和反恶意软件一起工作。如果安装了第三方安全工具，Windows 将自动关闭相应的安全服务。例如，安装第三方防病毒软件时，Windows 会自动关闭 Windows Defender，且除非卸载第三方防病毒软件，否则无法重新启用 Windows Defender。

4.3 Windows Defender 安全中心

Windows Defender 安全中心在 Windows 10 1703 版本中引入，它提供了一个集中的位置来查看和配置以下安全功能的设置：
- 病毒、恶意软件和威胁防护 ：
- 提供针对已知病毒和恶意软件的实时保护。
- 包括基于云的保护，与自动样本提交结合使用时可提供更快的检测。自动样本提交使 Windows 能够将样本文件发送给 Microsoft，以帮助保护用户和其他设备免受潜在威胁。若要提交的文件可能包含个人信息，会提示用户。也可以手动提交可疑文件进行调查。
- 可以排除特定的文件或目录。
- 提供有关设备健康和安全的关键信息通知，也可以通知非关键信息，包括最近的活动、扫描结果和 Windows 防火墙通知（对于在专用或公共网络上被阻止的任何应用程序）。
- 设备性能和健康 ：包括有关驱动程序、存储空间和一般 Windows 更新问题的信息。
- 防火墙和网络保护 ：保护设备免受网络攻击。
- 应用和浏览器设置 ：
- Windows Defender SmartScreen 检查未识别的应用和文件。
- Microsoft Edge 的 SmartScreen 保护用户免受恶意网站和下载的侵害。
- Windows 应用商店应用的 SmartScreen 检查这些应用使用的网页内容。
- 家庭选项 ：启用家长控制并查看家庭设备。

这些选项可以使用组策略进行完全配置，病毒定义更新通过 Windows 更新机制进行，以确保始终保持最新状态。

以下是 Windows Defender ATP 部署的流程图：

graph LR
    A[满足先决条件] --> B[激活 ATP 服务]
    B --> C[配置端点]
    C --> D[检测与响应]

总结

随着 Windows 10 的不断发展，其安全特性也在不断增强。设备健康证明（DHA）为设备访问企业资源提供了可靠的健康验证机制；新的 BitLocker 选项提供了更强大和灵活的硬盘加密方式；本地管理员密码解决方案（LAPS）解决了本地管理员密码管理的难题；Windows Defender 高级威胁防护（ATP）则帮助企业检测、调查和响应高级威胁。同时，Windows Defender 安全中心提供了一个集中管理安全设置的平台，方便用户配置和监控设备的安全状态。

在当前的网络安全威胁环境下，充分利用这些安全功能可以显著提高 Windows 10 设备的安全性和完整性。但即使有了这些安全措施，仍然需要保持警惕，及时发现和处理可能出现的安全漏洞。未来，随着技术的不断进步，Windows 10 可能会引入更多的安全特性，进一步提升用户的安全体验。