安全和保护概述
适用对象:Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8
本集合包含有关 Windows Server 2012 R2、Windows Server 2012、Windows 8.1 和 Windows 8 中安全技术更改相关信息的描述和链接。
下表提供了面向 IT 专业人员的有关 Windows Server 2012 R2、Windows Server 2012、Windows 8.1 和 Windows 8 安全技术和功能的可用信息的链接。 随着内容可用,此表将添加更多技术和功能。
功能或技术 |
概述 |
Windows Server 2012 R2 中的更改 |
Windows Server 2012 中的更改 |
---|---|---|---|
访问控制 |
访问控制可帮助保护文件、应用程序和其他资源免遭未经授权的使用。 |
受保护用户安全组和身份验证策略接收器添加了更多凭据保护。 它们通过 Active Directory 域服务进行管理。 在远程桌面服务 (RDS) 客户端中提供了受限管理模式。 有关详细信息,请参阅 凭据保护和管理。 |
添加了使用基于规则的动态策略来保护共享文件夹和文件的能力。 有关详细信息,请参阅动态访问控制:方案概述 对访问控制列表编辑器(ACL 编辑器)进行了重新设计,更清楚地显示访问及管理访问控制所需的关键值信息。 有关详细信息,请参阅增强的 ACL 编辑器。 |
AppLocker |
AppLocker 为应用程序提供基于策略的访问控制管理。 |
为了帮助你进行进程分析,AppLocker 在运行时捕获每个进程的命令信息,将这些数据写入安全日志并指示:“系统尝试启动具有以下属性的进程:” |
添加了功能以便对应用包设置规则,这可帮助管理 Windows 应用商店应用。 有关详细信息,请参阅 AppLocker 中的打包应用和打包应用安装程序规则。 |
BitLocker |
BitLocker 驱动器加密允许你为运行受支持 Windows 的版本的计算机加密所有存储在操作系统卷和已配置数据卷上的数据。 通过使用“受信任的平台模块 (TPM)”,它可以帮助确保早期启动组件的完整性。 |
扩大了对其他平台的支持。 恢复密码现在符合 FIPS 标准。 有关详细信息,请参阅 BitLocker 中的新增功能。 |
添加了对设置和加密方法的改进、标准用户更改其 PIN 的能力、对加密硬盘驱动器的支持以及网络解锁功能。 有关详细信息,请参阅 Windows 8 和 Windows Server 2012 的 BitLocker 新增功能 [重定向]。 |
凭据保险箱 |
凭据保险箱由凭据管理器通过控制面板进行管理,支持大多数使用者方案。 |
增强了通过支持 Web 身份验证代理的应用进行的凭据存储,能够为每个站点选择默认凭据 |
添加了对 Windows 应用商店应用进行编程以使用凭据保险箱的能力,并改进了凭据漫游(对于加入域的计算机设置为禁用)。 有关详细信息,请参阅新功能和更改的功能。 |
凭据保护 |
用于在身份验证过程中管理和保护凭据的新技术和功能。 |
添加了其他 LSA 保护配置选项、新安全组以及对用户进行分组和应用特定身份验证策略的新方法。 有关详细信息,请参阅凭据保护和管理 |
不可用 |
已加密的硬盘驱动器 |
已加密的硬盘驱动器是由 BitLocker 提供的一个功能,用于增强数据安全性和管理。 |
设备加密在大多数版本的 Windows 上可用。 有关详细信息,请参阅设备加密。 |
在 Windows Server 2012 和 Windows 8 中引入。 有关详细信息,请参阅对于 Windows 的加密硬盘驱动器支持。 |
Exchange ActiveSync 策略引擎 |
一组 API,使应用可以在台式计算机、笔记本电脑和平板电脑上应用 EAS 策略,以保护从云同步的数据(如来自 Exchange Server 的数据)。 |
在某些情况下,当超过失败尝试次数限制时,不会禁用生物识别登录方法。 有关详细信息,请参阅 新功能和更改的功能。 |
在 Windows Server 2012 中引入。 |
组托管服务帐户 |
组托管服务帐户和独立的托管的服务帐户在域中提供同样的功能,但也通过多个服务器对功能进行了扩展。 |
无更改。 |
添加了组托管服务帐户。 有关详细信息,请参阅 托管服务帐户的新增功能。 |
Kerberos |
Kerberos 协议是验证用户或主机身份的身份验证机制。 |
帐户处于受保护用户安全组中时的行为的更改。 有关详细信息,请参阅凭据保护和管理。 |
减少了由于服务票证较大而导致的身份验证失败次数,添加了面向开发人员和 IT 专业人员的更改,更改了智能卡登录 KDC 验证默认值并添加了配置和维护改进。 重要 对于加入域的设备,默认值进行了更改,从而使智能卡登录现在要求 KDC 证书链接到 NTAuth 存储中的 CA。 有关详细信息,请参阅 Kerberos 身份验证的中的新功能 |
本地计算机策略设置 |
安全策略设置是操作系统响应访问资源请求而决定授予许可时遵循的配置规则。 组策略管理模板还可以用于安全管理。 |
策略设置系统加密:对加密、 哈希运算和签名使用 FIPS 兼容算法进行了更改,以反映 BitLocker 恢复密码过程中的更改。 为改进进程审核,向“计算机配置”下“管理模板”的“系统”节点添加了“审核进程创建”。 |
添加了新安全策略以改进安全管理。 有关详细信息,请参阅 新功能和更改的功能。 |
NTLM |
NTLM 身份验证协议基于一种质询和响应机制,该机制向服务器和域控制器证明用户知道与帐户关联的密码。 |
帐户处于受保护用户安全组中时的行为的更改。 有关详细信息,请参阅 受保护的用户安全组。 |
无更改。 |
密码 |
验证用户身份的最常用方法是使用机密的密码作为登录过程的一部分。 |
无更改。 |
无更改。 |
安全审核 |
安全审核可以帮助识别对你的网络构成威胁的攻击(不论成功与否),或针对你通过风险评估确定是有价值的资源的攻击。 |
无更改。 |
添加了基于表达式的审核策略,并改进了对新类型的安全对象和可移动存储设备进行审核的能力。 有关详细信息,请参阅安全审核中的新增功能。 |
安全配置向导 |
安全配置向导是攻击面减少工具,帮助管理员根据服务器角色所需功能最少的原则创建安全策略。 |
无更改。 |
无更改。 |
智能卡 |
智能卡为验证客户端身份、登录域、签署代码和保护电子邮件之类的任务提供一个防篡改且可携带的安全性解决方案。 |
改进了将启用了 TPM 的设备注册为虚拟智能卡设备的过程。 添加了一些 AIP 以简化注册过程,从而可更方便地使用虚拟智能卡注册设备(而不考虑它们是否加入域以及硬件)。 |
通过添加对 Windows RT 设备和 Windows 8 应用程序的支持,更改了智能卡登录体验、服务启动和停止行为以及智能卡事务。 有关详细信息,请参阅 智能卡中的新功能。 |
软件限制策略 |
软件限制策略 (SRP) 是基于组策略的功能,用于标识在域中的计算机上运行的软件程序,以及控制这些程序的运行能力。 |
无更改。 |
无更改。 使 AppLocker 可以更灵活地控制企业中的程序。 有关详细信息,请参阅 AppLocker 技术概述。 |
TLS/SSL (Schannel SSP) |
Schannel 是安全支持提供程序 (SSP),可实现安全套接字层 (SSL) 和传输层安全 (TLS) Internet 标准身份验证协议。 |
支持服务器端“不带服务器端状态扩展的 TLS/SSL 会话恢复”(也称为 RFC 5077)。 添加了客户端应用程序协议协商 有关详细信息,请参阅 Windows Server 2012 R2 和 Windows 8.1 中 TLS/SSL (Schannel SSP) 的新增功能。 |
更改了管理客户端身份验证的受信任颁发者的方式,添加了对服务器名称指示符 (SNI) 扩展的 TLS 支持,并添加了针对提供程序的数据报传输层安全性 (DTLS) 。 有关详细信息,请参阅 Windows Server 2012 和 Windows 8 中 TLS/SSL (Schannel SSP) 的新增功能。 |
受信任的平台模块 (TPM) |
受信任的平台模块 (TPM) 技术设计用于提供基于硬件的安全性相关的功能。 |
改进了用于平台和密钥证明的 TPM 密钥存储提供程序。 有关详细信息,请参阅恶意软件防范和 Windows 8.1 中 TPM 的新增功能。 |
改进了管理和功能,包括自动设置和管理、具有证明支持的测量的启动、基于 TPM 的虚拟智能卡以及针对关键元素的安全存储。 有关详细信息,请参阅 新功能和更改的功能。 |
用户帐户控制 (UAC) |
UAC 帮助减轻恶意程序的影响。 |
无更改。 |
进行了优化,从而可更轻松地管理 UAC 配置和消息。 有关详细信息,请参阅 新功能和更改的功能。 |
虚拟智能卡 |
虚拟智能卡提供多因素身份验证以及与许多智能卡基础结构的兼容性,并为用户提供方便而不必携带物理卡,因此用户更有可能遵循其组织的安全指导原则而不是回避它们。 |
改进了将启用了 TPM 的设备注册为虚拟智能卡设备的过程。 添加了一些 AIP 以简化注册过程,从而可更方便地使用虚拟智能卡注册设备(而不考虑它们是否加入域以及硬件)。 有关详细信息,请参阅虚拟智能卡。 |
在 Windows Server 2012 中引入。 |
Windows 生物识别框架和 Windows 生物识别 |
Windows 生物识别框架 (WBF) 是一组允许对生物识别设备(如指纹读取器)进行一致开发和管理的服务和界面。 WBF 使用生物识别服务和驱动程序提升可靠性和兼容性。 |
增强了客户端和关联 API。 有关详细信息,请参阅指纹生物识别。 |
更好地将指纹读取器与快速用户切换集成,并更好地将密码与指纹同步。 有关详细信息,请参阅新功能和更改的功能。 |
Windows Defender |
Windows Defender 是一种功能全面的反恶意软件解决方案,它能够检测并停止更广泛的潜在恶意软件(包括病毒)。 |
在服务器核心安装选项和核心系统服务器上可用并在默认情况下启用(不带用户界面)。 有关详细信息,请参阅 Windows Defender。 |
从反间谍软件升级为一种功能全面的反恶意软件解决方案,它能够检测并停止更广泛的潜在恶意软件(包括病毒)。 |