資訊安全與防護概觀
適用於: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8
這個集合包含有關 Windows Server 2012 R2、Windows Server 2012、Windows 8.1 與 Windows 8 中安全性技術變更資訊的說明和連結。
下表提供 IT 專業人員可以使用的有關 Windows Server 2012 R2、Windows Server 2012、Windows 8.1 與 Windows 8 的安全性技術和功能的資訊連結。 當有更多的技術與功能內容成為可用狀態時,就會新增到這個表格中。
功能或技術 |
概觀 |
Windows Server 2012 R2 中的變更內容 |
Windows Server 2012 中的變更內容 |
|---|---|---|---|
存取控制 |
存取控制可以協助保護檔案、應用程式及其他資源,免於受到未經授權的使用。 |
Protected Users 安全性群組和驗證原則定址接收器加入更多的認證保護。 它們是透過 Active Directory 網域服務進行管理。 使用遠端桌面服務 (RDS) 用戶端可使用受限制的系統管理模式。 如需詳細資訊,請參閱<認證保護和管理>。 |
加入使用動態規則型原則來保護共用的資料夾和檔案的能力。 如需詳細資訊,請參閱動態存取控制:案例概觀 重新設計的存取控制清單編輯器 (ACL 編輯器) 可更清楚地呈現評定和管理存取控制所需的關鍵資訊。 如需詳細資訊,請參閱增強的 ACL 編輯器。 |
AppLocker |
AppLocker 會為應用程式提供以原則為依據的存取控制管理。 |
為了協助您處理分析,AppLocker 會擷取執行階段上每個程序的命令資訊,並將該資料寫入安全性記錄檔和狀態「系統正在嘗試啟動包含下列屬性的程序:」 |
新增可在應用程式套件上設定規則的功能,可幫助您管理 Windows 市集應用程式。 如需詳細資訊,請參閱AppLocker 中的已封裝應用程式與已封裝應用程式安裝程式規則。 |
BitLocker |
BitLocker 磁碟機加密可讓您加密儲存在作業系統磁碟區的所有資料,並針對執行支援 Windows 版本的電腦設定資料磁碟區。 透過使用信賴平台模組 (TPM),可以協助您確保初期啟動元件的完整性。 |
擴大其他平台支援。 修復密碼現在與 FIPS 相容。 如需詳細資訊,請參閱BitLocker 的新功能。 |
已加入佈建及加密方法的增強功能、讓標準使用者變更其 PIN 的能力、支援加密的硬碟,以及網路解除鎖定功能。 如需詳細資訊,請參閱 Windows 8 和 Windows Server 2012 的 BitLocker 新功能 [重新導向]。 |
認證保險箱 |
認證保險箱由認證管理員透過控制台所管理,並支援大部分取用者案例。 |
透過啟用 Web 驗證代理人功能的應用程式來增強認證存放裝置,以及為每個網站選取預設認證的能力 |
新增程式設計 Windows 市集應用程式來使用認證保險箱,以及加入增強功能來認證漫遊 (針對加入網域的電腦設為停用) 的能力。 如需詳細資訊,請參閱新功能和變更的功能。 |
認證保護 |
新增技術和功能來管理及保護驗證期間的認證。 |
加入額外的 LSA 保護設定選項、新的安全性群組、分組使用者的新方法,以及套用特定的驗證原則。 如需詳細資訊,請參閱認證保護和管理 |
無法使用 |
加密硬碟 |
加密硬碟是 BitLocker 隨附的功能,可強化資料的安全性和管理性。 |
可在大部分的 Windows 版本上使用裝置加密。 如需詳細資訊,請參閱裝置加密。 |
在 Windows Server 2012 和 Windows 8 中導入。 如需詳細資訊,請參閱提供 Windows 加密硬碟的支援。 |
Exchange ActiveSync 原則引擎 |
一組 API,能讓應用程式在桌上型電腦、膝上型電腦和平板電腦上套用 EAS 原則,保護從雲端同步處理的資料 (如 Exchange Server 的資料)。 |
在某些情況下,不會在超出失敗嘗試次數限制時停用生物識別技術登入方法。 如需詳細資訊,請參閱新功能和變更的功能。 |
在 Windows Server 2012 中導入。 |
群組受管理的服務帳戶 |
群組受管理服務帳戶提供的功能與網域中獨立受管理的服務帳戶功能相同,而且可將該功能延伸到多部伺服器。 |
沒有變更。 |
新增群組受管理的服務帳戶。 如需詳細資訊,請參閱受管理的服務帳戶的新功能。 |
Kerberos |
Kerberos 通訊協定是驗證使用者或主機身分識別的驗證機制。 |
當帳戶是 Protected Users 安全性群組時的行為變更。 如需詳細資訊,請參閱認證保護和管理。 |
降低因較大的服務票證所發生的驗證失敗、新增開發人員和 IT 專業人員的變更、智慧卡登入 KDC 驗證預設值的變更,以及加入設定和維護改良功能。 重要 已針對加入網域的裝置變更預設值,因此智慧卡登入現在需要 NTAuth 存放區中 CA 的 KDC 憑證鏈結。 如需詳細資訊,請參閱Kerberos 驗證的新功能 |
本機電腦原則設定 |
安全性原則設定是可以設定的規則,作業系統在判斷要授與的權限以回應存取資源的要求時會遵照這些規則。 群組原則系統管理範本也適用於安全性管理。 |
已變更原則設定 系統密碼編譯:使用 FIPS 相容演算法於加密、 雜湊和簽署來反映 BitLocker 修復密碼程序中的變更。 針對改良的程序稽核,已將 [稽核程序建立] 加入至 [電腦設定] 下 [系統管理範本] 的 [系統] 節點。 |
加入新安全性原則來提高安全性管理。 如需詳細資訊,請參閱新功能和變更的功能。 |
NTLM |
NTLM 驗證通訊協定會根據挑戰和回應機制,此機制會向伺服器或網域控制站證明使用者知道與帳戶關聯的密碼。 |
當帳戶是 Protected Users 安全性群組時的行為變更。 如需詳細資訊,請參閱Protected Users 安全性群組。 |
沒有變更。 |
密碼 |
驗證使用者身分識別的最常見方法是在登入程序中使用複雜密碼或密碼。 |
沒有變更。 |
沒有變更。 |
安全性稽核 |
安全性稽核可協助識別會對網路造成威脅的攻擊 (成功或失敗),或者對風險評定中判斷為非常寶貴的資源做的攻擊。 |
沒有變更。 |
加入運算式型稽核原則,和改進功能讓您稽核新類型的安全性實體物件和卸除式存放裝置。 如需詳細資訊,請參閱安全性稽核的新功能。 |
安全性設定精靈 |
安全性設定精靈是一個降低攻擊面的工具,可協助系統管理員根據伺服器角色所需的最低功能來建立安全性原則。 |
沒有變更。 |
沒有變更。 |
智慧卡 |
智慧卡可提供防竄改和可攜式的安全性解決方案,它的工作包括驗證用戶端、登入網域、簽署程式碼以及保護電子郵件。 |
已改善將具備 TPM 功能的裝置註冊為虛擬智慧卡裝置的程序。 新增 API 來簡化註冊程序,讓您更容易使用虛擬智慧卡註冊裝置,不論是否已加入網域,也不論硬體為何。 |
藉由新增 Windows RT 裝置和 Windows 8 應用程式支援,變更智慧卡登入體驗、服務啟動和停止行為及智慧卡交易。 如需詳細資訊,請參閱智慧卡的新功能。 |
軟體限制原則 |
軟體限制原則 (SRP) 是以群組原則為依據的功能,可以識別在網域的電腦上執行的軟體程式,並控制執行這些程式的能力。 |
沒有變更。 |
沒有變更。 賦予 Applocker 更靈活彈性,以控制您企業中的程式。 如需詳細資訊,請參閱AppLocker 技術概觀。 |
TLS/SSL (安全通道 SSP) |
安全通道是安全性支援提供者 (SSP),可以實作安全通訊端層 (SSL) 和傳輸層安全性 (TLS) 網際網路標準驗證通訊協定。 |
支援伺服器端「不含伺服器端狀態副檔名的 TLS/SSL 工作階段繼續」(也稱為 RFC 5077)。 新增用戶端應用程式通訊協定交涉 如需詳細資訊,請參閱Windows Server 2012 R2 和 Windows 8.1 中 TLS/SSL (安全通道 SSP) 的新功能。 |
變更用戶端驗證的受信任簽發者的管理方式、新增對於伺服器名稱指示器 (SNI) 延伸的 TLS 支援,及為提供者新增資料包傳輸層安全性 (DTLS)。 如需詳細資訊,請參閱Windows Server 2012 和 Windows 8 中 TLS/SSL (安全通道 SSP) 的新功能。 |
信賴平台模組 (TPM) |
信賴平台模組 (TPM) 技術是設計來提供硬體式的安全性相關功能。 |
平台和金鑰證明之 TPM 金鑰儲存提供者的改進功能。 如需詳細資訊,請參閱惡意程式碼防禦和 Windows 8.1 中 TPM 的新功能。 |
改善管理和功能,包括自動化佈建及管理、支援證明的測量開機、TPM 型虛擬智慧卡,和保護重要元素的存放裝置。 如需詳細資訊,請參閱新功能和變更的功能。 |
使用者帳戶控制 (UAC) |
UAC 有助於減少惡意程式的影響。 |
沒有變更。 |
調整以允許更容易管理 UAC 設定及訊息。 如需詳細資訊,請參閱新功能和變更的功能。 |
虛擬智慧卡 |
虛擬智慧卡提供多重要素驗證,並與許多智慧卡基礎結構相容,且讓使用者有信心不需要攜帶實體卡,讓使用者能更容易遵循其組織的安全性指導方針,而不是解決這些問題。 |
已改善將具備 TPM 功能的裝置註冊為虛擬智慧卡裝置的程序。 新增 API 來簡化註冊程序,讓您更容易使用虛擬智慧卡註冊裝置,不論是否已加入網域,也不論硬體為何。 如需詳細資訊,請參閱虛擬智慧卡。 |
在 Windows Server 2012 中導入。 |
Windows 生物特徵辨識架構和 Windows 生物特徵辨識 |
Windows 生物特徵辨識架構 (WBF) 是一組服務與介面,允許以一致的方式開發和管理生物識別裝置,例如指紋辨識器。 WBF 可改善生物識別服務與驅動程式的可靠性與相容性。 |
增強用戶端和相關聯的 API。 如需詳細資訊,請參閱指紋生物識別技術。 |
更佳地整合指紋辨識器與快速切換使用者,並同步處理密碼與指紋。 如需詳細資訊,請參閱新功能和變更的功能 |
Windows Defender |
Windows Defender 是功能完整的反惡意程式碼解決方案,能夠偵測及阻止更廣泛的潛在惡意軟體,包括病毒在內。 |
預設在 Server Core 安裝選項和核心系統伺服器上使用和啟用 (不含使用者介面)。 如需詳細資訊,請參閱 Windows Defender。 |
從反間諜軟體升級至功能完整的反惡意程式碼解決方案,能夠偵測及阻止更廣泛的潛在惡意軟體,包括病毒在內。 |