微软近年来持续优化其云端操作系统服务 Windows 365,继推出便捷访问设备 Windows 365 Link 后,近日又宣布一项重要安全升级:默认启用基于虚拟化的安全性(VBS)和受管理程序保护的代码完整性(HVCI)。
这项更新将从使用Windows 11镜像的新配置或重新配置的云电脑开始实施,标志着微软在推动“零信任”安全模型方面迈出坚实一步。
默认禁用数据重定向功能,强化边界防护
除了启用VBS和HVCI外,微软还同步调整了部分默认设置:
- 剪贴板共享
- 驱动器映射
- USB设备重定向
- 打印机连接
这些功能将默认被禁用,以降低因跨设备数据流动带来的潜在泄露风险。这一变更适用于新创建或重新部署的Windows 365云电脑,以及Azure虚拟桌面(AVD)的新主机池。
不过,微软强调,高级重定向功能(如USB连接的摄像头、键盘、鼠标等外设)仍可正常运行,并不会受到影响。
如何启用旧有功能?
对于已经部署的云电脑,IT管理员需要在更新生效后手动重新配置,才能启用上述默认安全策略。
如果企业确实需要恢复剪贴板、驱动器等重定向功能,则需通过 Microsoft Intune 设置目录 或 组策略对象(GPO) 进行相应设置。
VBS 和 HVCI 是什么?为何重要?
为了帮助非技术人员理解,以下是简要说明:
| 技术 | 功能说明 |
|---|---|
| VBS(Virtualization-Based Security) | 利用硬件虚拟化功能,在内存中创建一个隔离的安全区域,用于保护关键系统资源和敏感数据。 |
| 凭据保护(Credential Guard) | 基于VBS,防止攻击者窃取Windows用户凭据(如NTLM哈希)。 |
| HVCI(Hypervisor-Protected Code Integrity) | 确保只有经过签名验证的代码可以在内核中执行,防止恶意驱动或rootkit注入。 |
这三项技术共同构成了Windows系统中的深层防御体系,尤其适合处理敏感数据的企业环境。
评论