Windows 11：如何提高您的安全和隐私

　　我们向您展示 Windows 11 如何保证您的安全以及如何最大限度地保护您的隐私。

　　微软在Windows 11中加大了安全性的力度。根据微软的说法，令人惊讶的高系统要求阻止了许多拥有相当新计算机的用户安装Windows 11，这主要是由于安全功能。那么这是怎么回事以及如何确保您从中受益呢?

　　在本文中，我们提供了答案，并向您展示如何更好地保护您的隐私(无论是来自 Microsoft 还是其他公司)。我们的生活越数字化，它就越重要。

　　你所不知道的 Windows 11 安全功能

　　Windows 11 的许多系统要求与 Windows 10 中已存在多年的安全功能相关，但企业 IT 部门之外很少有人关注。如果您从 Windows 10 更新，其中一些功能不会自动打开，但会在直接随 Windows 11 一起销售的所有新计算机上启用。有些功能非常合理，根本不会影响您计算机的性能，而另一些功能可能会影响您计算机的性能。负面影响，如果您更看重性能，我们将在下面向您展示如何关闭它们。

　　安全启动和 TPM

　　要在 PC 上安装 Windows 11，它需要现代处理器(Intel 第 8 代或 AMD Ryzen 3000 或更高版本)和两个安全功能：安全启动和所谓的可信平台模块 (TPM)。

　　安全启动已经存在很多年了，但大多数 PC 用户还没有运行它，因为它不是强制性的，而且大多数人觉得这是一个不必要的麻烦。该功能是 UEFI(BIOS 的现代替代品)的一部分。它允许计算机的基本软件通过检查其加密签名来检测并停止修改后的操作系统。

　　启用安全启动可以有效阻止狡猾的恶意软件，例如，这些恶意软件会在 Windows 下将自身安装为所谓的 bootkit，并可以秘密读取系统上发生的所有内容。您可以在计算机的 BIOS 设置中启用安全启动，但激活它实际上并不是安装或运行 Windows 11 的要求 - 要求是计算机能够使用安全启动。

　　另一方面，TPM 是安装和运行新系统的要求。有很多方法可以解决这个问题，但 Microsoft 警告您可能会错过未来的更新，并且 TPM 要求不太可能是阻止您安装 Windows 11 的唯一因素，因为从 2013 年起几乎所有 Intel 和 AMD 处理器都具有内置 TPM模块。

　　与安全启动(其好处有点深奥)不同，TPM 为何是一个好主意就更清楚了。TPM的基本功能是加密密钥、证书等的安全存储，以及新密钥的安全创建和控制。例如，它可以是用于保护硬盘驱动器上所有数据的 Bitlocker 的加密密钥，也可以是用于Windows Hello 的加密密钥，用于通过 PIN 或面部识别快速登录。Firefox 和 Chrome 等第三方应用程序也会使用 TPM(如果存在)，即使在 Windows 10 中也是如此。

　　这与苹果公司多年来保护 iPhone 和 iPad 的“安全飞地”非常相似，高通、三星和其他制造商的移动处理器也具有类似功能。

　　启用 TPM 后，需要生成加密密钥的 Windows 和单个程序可以要求 TPM 执行此操作。生成的密钥仅存储在那里，永远不能提取或复制到其他位置。这比由常规处理器生成密钥要安全得多，因为木马或其他恶意软件理论上可以拦截此类密钥。

　　Windows Hello 是 TPM 如何保护您的一个很好的例子。在 Windows 11 中，Microsoft 建议您使用 Microsoft 帐户并关闭使用帐户密码登录，以便您只能使用 Windows Hello 登录 - 通常是 PIN，但您也可以使用面部识别或指纹扫描仪。

　　假设您受到了带有键盘记录器的恶意软件的攻击，该键盘记录器会捕获您在键盘上键入的所有内容。这包括您的 PIN，但由于 PIN 链接到该特定计算机上的加密密钥，因此恶意软件创建者将无法登录到您在另一台计算机上的 Microsoft 帐户。如果您使用帐户密码登录，那么您将只剩下两步身份验证来保护您的帐户免受黑客攻击。

　　基于虚拟化的安全性

　　Windows 11 需要这样一台新计算机的真正硬件要求是基于虚拟化的安全性或VBS。这意味着系统利用现代处理器的能力在具有各自独立工作内存部分的虚拟机中运行代码。

　　虚拟化首先用于在 Windows 或其他系统中运行其他操作系统，以便您可以测试软件或运行无法在常规系统上运行的程序。一个常见的例子是使用虚拟机运行 Windows 的 Mac 用户来访问 Windows 特定的程序。

　　基于虚拟化的安全性使用相同的技术来分离 Windows 的某些部分，以便系统的其他部分无法访问它们。它由几个不同的组件组成，其中一些组件仅在 Windows 企业版中可用，在家庭版中不可用。

　　内存完整性

　　打开Windows 安全性并选择设备安全性。如果 VBS 处于活动状态，您会在核心隔离旁边看到一个绿色勾号，上面写着“基于虚拟化的安全性可保护设备的核心部分”。单击核心隔离信息，您将进入一个子菜单，您可以在其中启用或禁用内存完整性(其背后的技术称为“管理程序强制代码完整性”或 HVCI)。

　　这是 VBS 启用的功能之一，这意味着 Windows 将敏感代码放置在系统其他部分无法访问的虚拟机中，即使具有管理员权限也是如此。这提高了安全性并针对某些恶意软件提供了更好的保护，但也可能导致性能降低 - 在某些计算机上最多降低 25%。因此，游戏玩家或使用计算机进行密集工作的人经常选择禁用该功能，尽管它具有安全优势。

　　如果您已从 Windows 10 进行更新，则默认情况下不会启用内存完整性。在系统附带的新计算机上，确实如此。如果您的计算机遇到性能问题，请检查该功能是否处于活动状态并尝试将其关闭。如果您没有遇到问题，当然最好保持它处于活动状态，以便您的计算机得到尽可能的保护。

　　隐私保护——微软有所改善