"Аварийный" режим, удаленное исцеление и запрет на открытый Wi-Fi: Windows больше не позволит вашему устройству работать вразнос

Windows получает крупное обновление в области безопасности и устойчивости, которое меняет то, как операционная система работает с агентными механизмами, защищает данные и восстанавливает устройства при сбоях. Компания расширила набор функций, опираясь на платформу, где взаимодействуют человек, ИИ-агенты и облачные сервисы, и одновременно усилила контроль над тем, что происходит внутри системы. Новый подход сформирован вокруг идеи доверия, поскольку любая автоматизация требует точных границ, прозрачной атрибуции действий и управляемых привилегий. Поэтому в Windows усиливаются базовые механизмы защиты, повышается надёжность драйверов и обновляется инфраструктура восстановления, чтобы предприятия могли быстрее реагировать на сбои.

Агентные механизмы и контроль над средой выполнения

Одним из ключевых направлений стали методы изоляции и отслеживания действий ИИ-агентов. В системе появляется отдельная среда, где автоматизированные процессы выполняют задачи без доступа к пользовательской сессии. Такая зона существует как самостоятельное пространство с собственной учётной записью, собственным набором политик и ограниченными каталогами. Любое действие, которое агент выполняет внутри этой среды, отличается от тех, что делает человек, а значит, остаётся видимым и поддаётся аудиту. Доступ разрешён только к определённым локальным ресурсам, а стандартные механизмы вроде списков контроля доступа предотвращают несанкционированное использование. Пользователь сам решает, активировать ли такую возможность. Пока она находится на стадии закрытого тестирования.

Наряду с локальным исполнением Microsoft переносит те же принципы в облако, чтобы разработчики могли выбирать место выполнения кода без изменений архитектуры. Для этого служат виртуальные рабочие окружения, сохранённые в облачной инфраструктуре и управляемые корпоративными политиками. Такой подход обеспечивает единообразное применение ограничений, позволяет IT-подразделениям использовать привычные инструменты и исключает расхождение между локальными и облачными методами контроля.

Чтобы механизмы связывания приложений и агентных сервисов работали предсказуемо и безопасно, в систему добавляется реестр с поддержкой промежуточного слоя управления. Этот слой отвечает за согласие, политику, журналирование и применение ограничений при работе с MCP-серверами. В режиме стандартной безопасности допускаются только компоненты, которые соответствуют требованиям по упаковке, подписи, декларации возможностей и изоляции. Для отладки у разработчиков остаётся возможность временно ослабить проверки, но только на собственном устройстве.

IT-администраторы получают доступ к новым средствам централизованного управления. Через Intune, Entra или групповую политику можно отключать или включать агентную среду, регулировать параметры реестра агентов и назначать разные уровни безопасности, например для разработчиков. Все действия, которые выполняют отдельные агентные учётные записи, становятся видимыми в стандартных средствах учёта и журналирования.

Криптография, доступ и сетевые технологии

Параллельно Microsoft продолжает расширять набор защитных функций. Для защиты данных в Windows включены API для алгоритмов Post Quantum Cryptography, рассчитанных на угрозы со стороны квантовых вычислений. В перспективе такие алгоритмы должны заменить привычные криптографические решения, уязвимые к новым методам взлома. В дополнение объявлено оборудование-ускорение для шифрования дисков: операции с ключами теперь могут выполняться в специализированных блоках, а сами ключи хранятся в изолированном аппаратном модуле. Это снижает нагрузку на процессор и уменьшает риск атак на память. Первые устройства с такой возможностью появятся весной 2026 года.

Аутентификация пользователей получает дополнительную защиту за счёт обновлённого Windows Hello и поддержки менеджеров Passkey. Вместе с ноябрьским обновлением 2025 года в систему интегрируются решения крупных разработчиков, что позволяет использовать ключи доступа на разных устройствах, сохраняя удобство и синхронизацию.

Чтобы уменьшить риски от неподписанного или вредоносного ПО, Windows усиливает режим контроля приложений и драйверов. Система допускает к выполнению только те компоненты, которые прошли проверку и удовлетворяют требованиям корпоративной политики. Это усложняет распространение вредоносных вложений и повышает устойчивость в условиях атак через социальную инженерию.

Особое внимание уделено наблюдению за действиями внутри ОС. В ближайшее время в Windows появятся встроенные функции, основанные на возможностях Sysmon. Это расширяет объём данных, который получает служба безопасности, упрощает развёртывание и повышает скорость реагирования на угрозы.

Одновременно усиливается защита сетевых соединений. Windows внедряет Zero Trust DNS, который направляет трафик только через доверенные серверы и применяет принципы нулевого доверия к разрешению доменных имён. Wi-Fi 7 для корпоративного сегмента дополняется требованием использования WPA3-Enterprise, что повышает защиту при подключении к беспроводным сетям и улучшает работу в сложных условиях.

Устойчивость, диагностика и восстановление Windows

Вторым крупным направлением стало развитие устойчивости Windows. За год с момента запуска инициативы для повышения надёжности в систему внедряется целый набор механизмов, направленных на уменьшение числа инцидентов и их последствий. Значительная часть проблем возникает из-за ошибок драйверов, поэтому компания усиливает требования к их качеству. Для антивирусных решений уже введён новый уровень требований к подписанию, а для остальных производителей расширяется набор встроенных драйверов и API. Это позволит отказаться от значительной части собственных модулей, которые работают в ядре. Расширенные тесты, изоляция, защитные механизмы компилятора и проверка доступа к памяти сократят вероятность выхода системы из строя.

При работе с инцидентами предприятия смогут привлекать инженеров Windows через компонент службы Mission Critical Services. В случаях, когда физический ПК выходит из строя или теряется, компании могут использовать временные облачные окружения, которые быстро подготавливаются под корпоративные политики и приложения.

Для администраторов добавляется сигнал о том, что устройство загрузилось в среду восстановления. Это ускоряет диагностику проблем, когда Windows не может загрузиться в обычном режиме. Аналогичные показатели появятся для виртуальных машин Windows Server в Azure. Для систем, которые обслуживают публичные экраны, создаётся режим, скрывающий служебные сообщения. Если возникает ошибка, она отображается не более пятнадцати секунд, а затем экран отключается до вмешательства техперсонала.

Следующий пласт изменений касается восстановления. Инструменты, которые появились много лет назад, перерабатываются с учётом современных SSD, облачных хранилищ и централизованного управления через Intune. Быстрое восстановление машины, представленное в августе, позволяет Microsoft вернуть работоспособность устройств, которые массово перешли в среду WinRE из-за ошибки. В планах — улучшенное управление сетевыми параметрами в среде восстановления и интеграция с Autopatch, что позволит администрировать такие обновления наравне с обычными.

Для отдельных ПК появится удалённое восстановление через WinRE: администратор сможет отправить сценарии, применить корректирующие действия и вернуть устройство в рабочее состояние. Такой же подход будет доступен в Azure для серверных виртуальных машин.

Дополняют набор два новых механизма. Первый — восстановление состояния до определённого момента времени, позволяющее откатить изменения, связанные с обновлениями, конфликтами драйверов или ошибками конфигурации. Второй — облачная переустановка, при которой устройство скачивает образы Windows через Intune и выполняет перестройку без обращения в сервисный центр. После завершения процесс автоматически проходит через Autopilot и получает нужные политики, а данные восстанавливаются через OneDrive и корпоративный вариант Windows Backup. Это значительно уменьшает время простоя и позволяет обойтись без физического вмешательства.