Windows 11带来了其独有的安全特性，以及Windows 10在2015年首次发布后多年来采用的安全架构。本节旨在对这些安全特性进行高度概述，使人们更多地认识到Windows 11的安全优势。

·TPM（可信平台模块）2.0要求

可信平台模块（Trusted Platform Module，TPM）是一个固件可信根（译者注：root-of-trust，即RoT，可信根，也称“信任根”“信赖根”。是在密码系统中始终可以信任的来源。），“旨在带来基于硬件的安全相关功能，并帮助防止不必要的篡改”。从Windows 10开始，“微软的硬件认证要求所有新的Windows PC都包含一个内置的TPM 2.0并默认启用”。Windows 11更进一步，要求新的和升级的设备都有TPM 2.0，以使用硬件信任根安全模型（Microsoft，2022f）加强所有Windows 11设备的安全态势。

·无密码认证

Windows 11提供了一个安全的认证过程，允许终端用户使用多因素认证(MFA)来显著降低数据泄露的风险。用户凭证被保护在硬件和软件的安全层之下，以提供对应用程序和服务的无密码访问。TPM 2.0在芯片级硬件层面提供非对称密钥以保证无密码认证过程的使用安全。

存储在TPM 2.0中的密钥永远不会离开计算机本身，因此，任何没有物理访问计算机的人都不能使用(Microsoft, 2022f)。（译者注：此处物理访问可理解为“实际使用或直接接触到”）

·内存完整性功能

Hypervisor-protected Code Integrity通常称为内存完整性，是Windows 10和11中基于虚拟化的安全特性（VBS）（Microsoft，2021f）。从Windows 11开始，新安装的兼容系统将默认启用内存完整性功能（Microsoft，2021b）。值得一提的是，即使不符合所需的硬件要求（见附录Q），仍然可以通过配置各种注册表键来打开内存完整性功能。

·传输层安全性协议1.3

传输层安全协议（Transport Layer Security，TLS）是互联网上使用最多的安全协议（Cloudflare, 2022）。TLS 1.3在Windows 11中被默认启用，通过消除过时的加密算法来提高安全性。TLS 1.3还尽可能多地对握手进行加密，同时减少每次连接所需的往返平均握手次数。作为一个安全保障措施，如果服务器或客户端应用程序不支持TLS 1.3，Windows 11支持回退到TLS 1.2（Microsoft，2022f）。

·基于HTTPS的DNS

DNS over HTTPS是一种加密的DNS协议，允许IT管理员保护他们的域名查询不会受到攻击者的影响。确保与域名解析器的连接安全，可以防止攻击者监控浏览历史记录或主动将客户端重定向到恶意网站（Microsoft，2022）。Windows 11允许IT管理员在其组织内默认实施DNS over HTTPS（Williams，2022）。

·SMB协议的升级

在商业和公共部门行业中，SMB和文件服务通常被用户和应用程序用来访问文件。Windows 11更新了SMB协议，包括AES-256位加密、加速SMB签名、远程目录内存访问(Remote Directory Memory Access，RDMA)的网络加密以及针对不可信网络的SMB over QUIC技术。在同另一台计算机连接时，Windows11会自动协商使用最安全的密码，以减少常见的中继攻击和欺骗攻击(Microsoft, 2022)。

·WPA3

Windows 11支持WPA3、WPA Enterprise 192-bit Suite B和机会性无线加密(Opportunistic Wireless Encryption，OWE)(Microsoft, 2021f)。Wi-Fi保护接入(WPA)是一种安全标准，在连接Wi-Fi网络时提供用户认证和加密(Wi-Fi联盟，2018)。微软(2021f)称，WPA3“提供了更安全、更可靠的连接方法，并取代了WPA2和旧的安全协议”。微软(2021f)称，机会性无线加密是一种“允许无线设备与公共Wi- Fi热点建立加密连接的技术”。

Windows的Android子系统允许用户在他们的Windows 11设备上运行在亚马逊应用商店的Android应用程序(Microsoft，2022g)。这个功能在Windows 11的最初版本中没有附带，因此本文中也没有研究。Windows 11上的Android应用程序为潜在的恶意活动提供了另一个载体，也为传统Windows痕迹之外的各种痕迹的存在提供了另一个位置。

·智能应用控制（SAC）

智能应用控制是一项旨在“通过阻止恶意应用程序或不可信应用程序来提供重要保护的功能，包括新兴威胁”（Microsoft，2022e）。一旦发布，这项功能将需要通过测试来确定它作为阻止恶意行为的有效性。这项功能并没有随Windows 11的最初发布而出现，因此本文没有进行研究。

·配置锁定

配置锁定(Config Lock)是一个“监视IT管理员设置的注册表密钥，以确保其生态系统中的设备符合公司安全策略”(Microsoft,2022h)的功能。微软(2022f)指出，配置锁定将检测注册表项的变化，并将受影响的系统注册表项恢复到IT管理员设置的期望状态。此外，当检测到注册表配置发生变化时，配置锁定将记录该配置的活动。这一特性并没有随着Windows 11的最初发布而出现，因此本文不对其进行研究。独立的研究将需要确定该活动记录在何处。

·痕迹验证

随着操作系统的版本更新，本文中所提及的常规Windows痕迹会随之而发展。随着Windows 11的逐年更新，研究人员和取证人员将有责任继续验证这些痕迹的一般理解和功能是否依旧。我们鼓励报告新的发现并与社区分享，以使更多人受益。

从DFIR审查员的角度来看，相对于一个新版本发布来说，Windows 11所包含的差异相对较小。

然而，本文中提到的新功能和尚未披露的新功能将很可能为电子数据取证人员提供相关的新的痕迹。随着微软承诺每年更新Windows 11, DFIR社区将需要重新审视每个功能更新，以重新验证这些痕迹，并寻找可以提供可靠用户活动证据的新痕迹。

此文转自微信公众号：数据安全与取证，如涉侵权，请联系后台删除~