Windows 11即将推出一项新的安全模式,旨在阻止有风险的软件深入系统,特别是那些隐藏在驱动程序和后台服务中的软件。
微软推出的"Windows基线安全模式(Windows Baseline Security Mode)"默认开启完整性保护,只允许运行经过签名(Code Signing)的应用程序、服务和驱动程序。系统将自动拦截未签名的程序,但用户仍可以为可信程序设置例外。
同时,微软还引入了"用户透明度和同意(User Transparency and Consent)"机制。当应用程序请求访问设备或数据,以及安装程序试图添加额外软件时,Windows将主动发出提示。用户可以随时在"设置(Settings)"中修改这些授权决定。
Windows基线安全模式通过严格控制系统底层更改,显著提升安全性。驱动程序和系统服务因其深层次的系统访问权限和持久性特征,常被攻击者利用,而新的安全机制将有效防范这类威胁。
代码签名验证机制将大幅降低内核驱动程序、系统服务和辅助进程的静默安装风险。系统提供了灵活的例外处理机制,IT管理员可以为特定程序设置允许规则。开发者也能够通过API检测保护状态和例外配置,优化程序兼容性。
新的授权机制着重提升了用户对系统行为的可见性和控制力。当软件试图访问摄像头、麦克风或文件等敏感资源时,系统将明确提示用户。这一机制有效防范了捆绑安装、过度索取权限等不良行为。
对企业用户而言,这套控制机制可以有效降低管理设备的安全风险,同时保留了对重要旧版软件的兼容支持。
微软采用渐进式部署策略,首先增强应用程序行为的可见性,并提供相关API支持开发者适配。随后将全面实施基线安全模式和授权管理机制。
建议用户密切关注系统更新,并留意硬件驱动和安全软件供应商发布的适配指南,特别是使用专业外设的用户需要提前做好兼容性评估。
