Полное руководство по безопасности Windows 11

w

Аппаратные требования как фундамент безопасности: TPM 2.0 и Secure Boot

Архитектура защиты Windows 11 базируется на строгой аппаратной привязке, отсутствующей в предшественниках. Ключевое отличие — обязательное наличие Trusted Platform Module (TPM) версии 2.0. Спецификация TPM 2.0 (ISO/IEC 11889:2015) обеспечивает аппаратную генерацию и хранение криптографических ключей RSA с длиной до 2048 бит, а также поддержку шифрования ECC по стандарту NIST P-256. В отличие от программных эмуляторов (fTPM), чип дискретного TPM 2.0 (например, Infineon SLB 9672) гарантирует неизвлекаемость ключей даже при физическом доступе к системе. Secure Boot версии UEFI 2.8 проверяет подпись загрузчика (bootloader) и драйверов ядра через PKI-структуру, используя сертификаты Microsoft KEK. Обязательное включение Secure Boot в прошивке платформы (UEFI class 3) отсекает legacy-загрузку, блокируя руткиты уровня bootkit.

Virtualization-Based Security (VBS) и Hypervisor-Protected Code Integrity (HVCI)

Ядро безопасности Windows 11 — Virtualization Based Security (VBS), реализованное через гипервизор Hyper-V второго поколения. VBS создаёт изолированную виртуальную среду (Secure Kernel), физически отделённую от NT-ядра. Для работы VBS требуется процессор с поддержкой VMX (Intel VT-x) или SVM (AMD-V) и Second Level Address Translation (SLAT). HVCI (Memory Integrity) проверяет целостность всех драйверов в режиме ядра, сверяя их хэши с реестром подписей по сертификатам WHQL. Каждый драйвер перед загрузкой выполняется в изоляции VTL1 (Virtual Trust Level 1), где невозможна модификация кода из VTL0. По техническому заданию Microsoft, HVCI блокирует около 97% известных уязвимостей ядра (CVE-2019-1096 и аналоги), включая атаки типа kernel data corruption. В Windows 10 эта функция была опциональна и часто отключалась из-за конфликтов с устаревшими драйверами версии ниже 1.0.0.3.

Credential Guard и управление учётными данными: изоляция LSA

Защита хэшей паролей (NTLM, Kerberos) в Windows 11 реализована через Credential Guard, который запускает процесс lsass.exe в виртуальном контейнере VBS. В отличие от Windows 10, где Credential Guard требовал активации через GPO, в 11-й версии он включён для всех корпоративных редакций (Enterprise, Education) по умолчанию. Изоляция осуществляется через разделение памяти: данные аутентификации хранятся только в защищённой области VTL1, недоступной даже процессам с привилегиями SYSTEM в VTL0. При атаке Pass-the-Hash злоумышленник не может экспортировать хэш из изолированной LSA, так как вызовы NtOpenSection блокируются политиками памяти CONFIG_BOOTBIT. Технически Credential Guard использует защиту по стандарту NIST SP 800-63B для аутентификаторов.

BitLocker и аппаратное шифрование: сравнение с AES-256

BitLocker в Windows 11 использует алгоритм XTS-AES-128 по умолчанию, но поддерживает XTS-AES-256 (ключ 512 бит) при активации через GPO (EnableXTS256). Разница с предшественником — обязательная интеграция с TPM 2.0 для предзагрузки ключа (Boot Measurement). Контроллер диска должен поддерживать DMA-ремоппинг (IOMMU) для защиты от атак cold boot и DMA. Для SSD накопителей с аппаратным шифрованием (TCG Opal 2.0) BitLocker использует eDrive, делегируя операции шифрования контроллеру, что снижает нагрузку на CPU на 15–20% по сравнению с Windows 10. Отказ от Citrix XenDesktop в пользу Hyper-V в Windows 11 даёт прирост пропускной способности зашифрованных каналов до 40% при RAID-конфигурациях на NVMe.

Механизмы защиты браузера Microsoft Defender SmartScreen и Application Guard

Microsoft Defender SmartScreen в версии 11 использует эвристический анализ PE-файлов по хэшам SHA-256 с частотой обновления репозитория каждые 10 минут. Application Guard для Microsoft Edge основан на изолированном контейнере Hyper-V с поддержкой GPU Passthrough (DXGI). В отличие от изоляции sandbox в Windows 10, где допускалась утечка шрифтов и разрешений через GDI, Windows 11 использует редирект системных вызовов через Win32k.sys на уровне VTL1. Ресурсозатраты: каждое вкладка в изоляторе потребляет ~120 МБ RAM, но запуск браузера вне изоляции (normal mode) в 11 в 2 раза быстрее благодаря переработанному менеджеру памяти с технологией PGO (Profile-Guided Optimization).

Сертификация Common Criteria и FIPS 140-3

Windows 11 23H2 (2026) получила сертификацию Common Criteria EAL4+ по защищённому профилю PP-Module for General Purpose Operating Systems. Технически это подтверждает соответствие: уровень изоляции (VBS) — 95.3%, статистическое покрытие тестов (Statement of Security Requirements) — 98%. Для режима FIPS 140-3 (требования NIST) шифрование по алгоритму Triple DES EDE3 заменено на AES-256-CTS. По данным Microsoft, частота сбоев модуля BCrypt в Windows 11 на 30% ниже, чем в Windows 10, из-за внедрения защищённых регистров CPU (SGX 2.0 для Intel Ice Lake+). В версии for Government (CIP) добавлена поддержка ГОСТ Р 34.12-2020 через расширение CNG.

Заключение по аппаратным отличиям от альтернатив

Windows 11 — единственная ОС, где аппаратная привязка TPM 2.0 и Secure Boot является обязательной, а не опциональной (сравнение: Linux дистрибутивы с TPM только для BitLocker-аналогов). Технология VBS, реализованная на уровне гипервизора второго поколения, недоступна в macOS Monterey+ из-за отсутствия гипервизора с изоляцией VTL. По спецификации Microsoft, пропускная способность защищённых операций ввода-вывода (NVMe + BitLocker + HVCI) в Windows 11 достигает 4500 МБ/с, что на 18% выше, чем у Windows 10 с аналогичной конфигурацией (измерения на Intel i7-13800H).

Добавлено: 07.05.2026