应用对象
Windows 10 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise, version 1809 Windows Server 2019 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Local, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

原始发布日期: 2024 年 8 月 13 日

KB ID: 5042562

对 Windows 10 的支持将于 2025 年 10 月结束。

2025 年 10 月 14 日之后,Microsoft 将不再为 Windows 10 提供来自 Windows 更新的软件更新、技术协助或安全修补程序。 你的电脑仍可正常工作,但我们建议迁移到 Windows 11。

了解详细信息

有关 SkuSiPolicy.p7b 策略的重要说明

有关应用更新的策略的说明,请参阅 部署Microsoft签名的吊销策略 (SkuSiPolicy.p7b) 部分。 

本任务的内容

摘要

Microsoft已注意到 Windows 中的一个漏洞,该漏洞允许具有管理员权限的攻击者替换具有较旧版本的更新的 Windows 系统文件,这为攻击者重新引入 基于虚拟化的安全 (VBS)打开了大门。  回滚这些二进制文件可能允许攻击者绕过 VBS 安全功能并泄露受 VBS 保护的数据。 CVE-2024-21302 中介绍了此问题 |Windows 安全内核模式特权提升漏洞

若要解决此问题,我们将撤销未更新的易受攻击的 VBS 系统文件。 由于必须阻止大量与 VBS 相关的文件,因此我们使用替代方法来阻止未更新的文件版本。

影响范围

此问题会影响支持 VBS 的所有 Windows 设备。 这包括本地物理设备和虚拟机 (VM) 。 Windows 10 及更高版本的 Windows 以及 Windows Server 2016 及更高版本的 Windows Server 版本支持 VBS。

可以通过 Microsoft 系统信息工具 (Msinfo32.exe)检查 VBS 状态。 此工具收集有关设备的信息。 启动 Msinfo32.exe 后,向下滚动到 基于虚拟化的安全 行。 如果此行的值为“正在运行”,则启用 VBS 并正在运行。

系统信息对话框,其中突出显示了“基于虚拟化的安全性”行

还可以使用 Win32_DeviceGuard WMI 类通过 Windows PowerShell 检查 VBS 状态。 若要从 PowerShell 查询 VBS 状态,请打开提升的Windows PowerShell会话,然后运行以下命令:

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

运行上述 PowerShell 命令后,VBS 状态应为以下状态之一。

字段名称

状态

VirtualizationBasedSecurityStatus

  • 如果字段等于 0,则不启用 VBS。

  • 如果字段等于 1,则启用 VBS 但未运行。

  • 如果字段等于 2,则启用 VBS 并运行。

可用缓解措施

对于所有受支持的 Windows 10 版本、版本 1507 及更高版本的 Windows 版本以及Windows Server 2016及更高Windows Server版本,管理员可以 (SkuSiPolicy.p7b) 部署Microsoft签名的吊销策略。 这将阻止作系统加载未更新的 VBS 系统文件的易受攻击版本。  

将 SkuSiPolicy.p7b 应用于 Windows 设备时,策略也将通过向 UEFI 固件添加变量来锁定到设备。 在启动期间,策略会加载,Windows 会阻止加载违反策略的二进制文件。 如果应用了 UEFI 锁,并且策略被删除或替换为旧版本,则 Windows 启动管理器将不会启动,并且设备也不会启动。 此启动失败不会显示错误,系统将转到下一个可用的启动选项,这可能会导致启动循环。

其他Microsoft签名的 CI 策略,该策略默认启用,无需添加其他部署步骤,该步骤未绑定到 UEFI。 此签名的 CI 策略将在启动期间加载,强制实施此策略将阻止在该启动会话期间回滚 VBS 系统文件。 与 SkuSiPolicy.p7b 不同,如果未安装更新,设备可以继续启动。 此策略包含在所有受支持的 Windows 10 版本 1507 及更高版本中。 管理员仍可应用 SkuSkiPolicy.p7b,为跨启动会话的回滚提供额外的保护。   

用于证明电脑启动运行状况的 Windows 测量启动日志包括有关在启动过程中加载的策略版本的信息。 这些日志在启动期间由 TPM 安全地维护,Microsoft证明服务会分析这些日志,以验证是否加载了正确的策略版本。 证明服务强制实施规则,确保加载特定策略版本或更高版本;否则,系统将不会证明为正常。

若要使策略缓解正常工作,必须使用 Windows 服务更新来更新策略,因为 Windows 和策略的组件必须来自同一版本。 如果将策略缓解措施复制到设备,则如果应用了错误的缓解版本,设备可能无法启动,或者缓解措施可能无法按预期工作。 此外, KB5025885 中所述的缓解措施应应用于设备。

在 Windows 11 版本 24H2、Windows Server 2022 和 Windows Server 23H2 上,动态信任根用于度量 (DRTM) 添加了针对回滚漏洞的额外缓解措施。 默认情况下会启用此缓解措施。 在这些系统上,受 VBS 保护的加密密钥绑定到默认启用的启动会话 VBS CI 策略,并且仅在强制实施匹配的 CI 策略版本时取消密封。 为了启用用户启动的回滚,添加了一个宽限期,以启用 1 个版本的 Windows 更新包的安全回滚,而不会失去解封 VSM 主密钥的能力。 但是,仅当未应用 SkuSiPolicy.p7b 时,用户发起的回滚才可能。 VBS CI 策略强制要求所有启动二进制文件尚未回滚到已撤销的版本。 这意味着,如果具有管理员权限的攻击者回滚易受攻击的启动二进制文件,则系统将不会启动。 如果 CI 策略和二进制文件都回滚到早期版本,则受 VSM 保护的数据不会解除密封。

了解缓解风险

在应用Microsoft签名的吊销策略之前,需要了解潜在风险。 在应用缓解 措施之前 ,请查看这些风险并对恢复媒体进行任何必要的更新。

注意 这些风险仅适用于 SkuSiPolicy.p7b 策略,不适用于默认启用的保护。

  • UEFI 锁定和卸载更新。 在设备上使用Microsoft签名吊销策略应用 UEFI 锁后,如果继续应用安全启动,则 (无法通过卸载 Windows 更新、使用还原点或其他方式) 还原设备。 即使重新格式化磁盘,也不会删除缓解措施的 UEFI 锁(如果已应用)。 这意味着,如果你尝试将 Windows OS 还原为未应用缓解的早期状态,则设备将不会启动,不会显示任何错误消息,并且 UEFI 将转到下一个可用的启动选项。 这可能会导致启动循环。 必须禁用安全启动才能删除 UEFI 锁。 在将本文中概述的吊销应用到设备之前,请注意所有可能的影响并仔细测试。

  • 外部启动媒体。 对设备应用 UEFI 锁定缓解措施后,必须使用设备上安装的最新 Windows 更新来更新外部启动媒体。 如果外部启动媒体未更新到相同的 Windows 更新版本,则设备可能无法从该媒体启动。 在应用缓解措施之前,请参阅更新外部启动媒体 部分中的说明。

  • Windows 恢复环境。 在将 SkuSipolicy.p7b 应用到设备之前,必须在设备上使用 2025 年 7 月 8 日发布的最新 Windows 安全作系统动态更新更新设备上的 Windows 恢复环境 (WinRE) 。 省略此步骤可能会阻止 WinRE 运行 “重置电脑”功能。  有关详细信息,请参阅 将更新包添加到 Windows RE

  • 预启动执行环境 (PXE) 启动。 如果缓解措施已部署到设备,并且你尝试使用 PXE 启动,则设备将不会启动,除非最新的 Windows 更新也应用于 PXE 服务器启动映像。 除非 PXE 启动服务器已更新为 2025 年 1 月或之后发布的最新 Windows 更新(包括 PXE 启动管理器),否则不建议将缓解措施部署到网络启动源。  

缓解部署指南

若要解决本文中所述的问题,可以部署Microsoft签名的吊销策略 (SkuSiPolicy.p7b) 。 仅Windows 10版本 1507 及更高版本的 Windows 版本以及Windows Server 2016支持此缓解措施。

注意 如果使用 BitLocker,请确保已备份 BitLocker 恢复密钥。 可以从管理员命令提示符运行以下命令,并记下 48 位数字密码:

manage-bde -protectors -get %systemdrive%​​​​​​​

部署Microsoft签名的吊销策略 (SkuSiPolicy.p7b)

Microsoft签名的吊销策略包含在最新的 Windows 更新中。 此策略应仅应用于设备,方法是安装最新的可用 Windows 更新,然后按照以下步骤作:

注意 如果缺少更新,设备可能无法从应用的缓解措施开始,或者缓解措施可能无法按预期工作。 在部署策略之前,请确保使用最新的可用 Windows 更新更新可启动 Windows 媒体。 有关如何更新可启动媒体的详细信息,请参阅更新外部启动媒体 部分。

  1. 确保已安装 2025 年 1 月或之后发布的最新 Windows 更新。

    • 对于Windows 11版本 22H2 和 23H2,请先安装 2025 年 7 月 22 日 (KB5062663) 或更高版本的更新,然后再执行这些步骤。

    • 对于 Windows 10版本 21H2,请先安装 2025 年 8 月发布的 Windows 更新或更高版本的更新,然后再执行这些步骤。

  2. 在提升的Windows PowerShell提示符下运行以下命令:

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x20 /f

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  3. 重新启动设备。

  4. 使用 Windows 事件日志部分中的信息,确认策略已加载到事件查看器中。

注意

  • 部署后,不应删除 skuSiPolicy.p7b 吊销 (策略) 文件。 如果文件已删除,则设备可能无法再启动。

  • 如果设备未启动,请参阅恢复过程部分。

更新外部启动媒体

若要将外部启动媒体与应用了Microsoft签名吊销策略的设备配合使用,必须使用最新的 Windows 更新(包括启动管理器)更新外部启动媒体。 如果媒体不包含最新的 Windows 更新,则媒体将不会启动。

重要说明 建议先创建恢复驱动器,然后再继续作。 此介质可用于重新安装设备,以防出现重大问题。

使用以下步骤更新外部启动媒体:

  1. 转到已安装最新 Windows 更新的设备。

  2. 将外部启动媒体装载为驱动器号。 例如,将 Thumb 驱动器装载为 D:

  3. 单击“开始”,在“搜索”框中键入“创建恢复驱动器”,然后单击“创建恢复驱动器控制面板”。 按照说明使用装载的 Thumb 驱动器创建恢复驱动器。

  4. 安全移除已装载的闪存驱动器。

如果使用 “使用动态更新 Windows 安装媒体” 指南管理环境中的可安装媒体,请执行以下步骤:

  1. 转到已安装最新 Windows 更新的设备。

  2. 按照 使用动态更新更新 Windows 安装媒体中的步骤创建安装了最新 Windows 更新的媒体。

Windows 事件日志

Windows 记录加载代码完整性策略(包括 SkuSiPolicy.p7b)以及由于策略强制而阻止加载文件时的事件。 可以使用这些事件来验证是否已应用缓解措施。

> Microsoft Windows > CodeIntegrity > Windows > CodeIntegrity > > 应用程序和服务日志 > 服务日志 > Microsoft > Windows > AppLocker > MSI 和脚本,代码完整性日志在 Windows 事件查看器 下提供。

有关代码完整性事件的详细信息,请参阅 Windows Defender 应用程序控制作指南

策略激活事件

策略激活事件在 Windows 事件查看器“应用程序和服务日志”下提供,> Microsoft > Windows > CodeIntegrity > Operational

  • PolicyNameBuffer - Microsoft Windows SKU SI 策略

  • PolicyGUID – {976d12c8-cb9f-4730-be52-54600843238e}

  • PolicyHash – 107E8FDD187C34CF8B8EA46A4EE99F0DB60F491650DC989DB71B4825DC73169D

Microsoft Windows SKU SI 策略

如果已将审核策略或缓解措施应用到设备,并且不存在应用策略的 CodeIntegrity 事件 3099,则不会强制实施该策略。 请参阅 部署说明 ,验证是否已正确安装策略。

注意 Windows 10 企业版 2016、Windows Server 2016 和 Windows 10 企业版 2015 长期服务 版本不支持代码完整性事件 3099。 若要验证是否已 (审核或吊销策略) 应用策略,必须使用 mountvol.exe 命令装载 EFI 系统分区,并查看是否已将策略应用于 EFI 分区。 请务必在验证后卸载 EFI 系统分区。

SkuSiPolicy.p7b - 吊销策略

已应用 SkuSiPolicy.p7b 策略

审核和阻止事件

代码完整性审核和阻止事件在 Windows 事件查看器的“应用程序和服务日志”下提供,> Microsoft > Windows > CodeIntegrity > > 应用程序和服务日志 > Microsoft > Windows > AppLocker > MSI 和 Script

以前的日志记录位置包括有关可执行文件、dll 和驱动程序控件的事件。 后一个日志记录位置包括有关 MSI 安装程序、脚本和 COM 对象的控制的事件。

“CodeIntegrity –作”日志中的 CodeIntegrity 事件 3077 指示已阻止加载可执行文件、.dll 或驱动程序。 此事件包含被阻止的文件和强制执行的策略相关的信息。 对于缓解措施阻止的文件,CodeIntegrity 事件 3077 中的策略信息将与 CodeIntegrity 事件 3099 中的 SkuSiPolicy.p7b 的策略信息匹配。 如果设备上没有任何违反代码完整性策略的可执行文件、.dll 或驱动程序,则 CodeIntegrity 事件 3077 将不存在。

有关其他代码完整性审核和阻止事件,请参阅 了解应用程序控制事件

策略删除和恢复过程

如果在应用缓解措施后出现问题,可以使用以下步骤删除缓解措施:

  1. 如果已启用 BitLocker,请暂停它。 从提升的命令提示符窗口中运行以下命令:

    Manager-bde -protectors -disable c: -rebootcount 3

  2. 从 UEFI BIOS 菜单中关闭 安全启动关闭安全启动的过程因设备制造商和型号而异。 有关查找关闭安全启动的位置的帮助,请参阅设备制造商提供的文档。 可在 禁用安全启动中找到更多详细信息。

  3. 删除 SkuSiPolicy.p7b 策略。

    1. 正常启动 Windows,然后登录。必须从以下位置删除 SkuSiPolicy.p7b 策略:

      • <EFI 系统分区>\Microsoft\Boot\SkuSiPolicy.p7b

    2. 从提升的Windows PowerShell会话运行以下命令,从这些位置清理策略:

      $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 's:' $EFIPolicyPath = "$MountPoint\EFI\Microsoft\Boot\SkuSiPolicy.p7b" $EFIDestinationFolder="$MountPoint\EFI\Microsoft\Boot" mountvol $MountPoint /S if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force } if (Test-Path   $EFIPolicyPath ) {Remove-Item -Path $EFIPolicyPath -Force } ​​​​​​​mountvol $MountPoint /D

  4. 从 BIOS 打开安全启动请参阅设备制造商提供的文档,了解如何在何处启用安全启动。如果在步骤 1 中关闭了安全启动,并且驱动器受 BitLocker 保护, 请暂停 BitLocker 保护 ,然后从 UEFI BIOS 菜单打开安全启动。

  5. 打开 BitLocker。 从提升的命令提示符窗口中运行以下命令:

    Manager-bde -protectors -enable c:

  6. 重新启动设备。

更改日期

描述

2025 年 7 月 22 日

  • 更新了“部署Microsoft签名的吊销策略 (SkuSiPolicy.p7b) ”部分中的说明步骤。

2025 年 7 月 10 日

  • 删除了“部署审核模式策略”部分,因为该功能已在 2025 年 7 月 8 日或之后安装 Windows 更新版本后停止使用。

  • 删除了不再适用的“CodeIntegrity 事件 3099”部分。

  • 在“了解缓解风险”部分中,更新了“Windows 恢复环境”主题 从:

    Windows 恢复环境。 在将 SkuSipolicy.p7b 应用到设备之前,必须使用设备上安装的最新 Windows 更新更新设备上的 Windows 恢复环境 (WinRE)。 省略此步骤可能会阻止 WinRE 运行“重置电脑”功能。  有关详细信息,请参阅将更新包添加到 Windows RE

    到:

    Windows 恢复环境。 在将 SkuSipolicy.p7b 应用到设备之前,设备上 Windows恢复环境 (WinRE) 必须在设备上使用 2025 年 7 月或之后发布的最新 Windows 安全作系统动态更新。 省略此步骤可能会阻止 WinRE 运行“重置电脑”功能。  有关详细信息,请参阅将更新包添加到 Windows RE

    如果安全 OS DU 更新不可用,请部署最新的 Cumulative 更新。

  • 在“可用缓解措施”部分中,替换了以下段落:

    其他Microsoft签名的 CI 策略,该策略默认启用,无需添加其他部署步骤,该步骤未绑定到 UEFI。 此签名的 CI 策略将在启动期间加载,强制实施此策略将阻止在该启动会话期间回滚 VBS 系统文件。 与 SkuSiPolicy.p7b 不同,如果默认启用的策略已被篡改或删除,设备可以继续启动。 此缓解措施在具有 Windows 10 22H2 及更高版本的设备上可用。 管理员仍可应用 SkuSkiPolicy.p7b,为跨启动会话的回滚提供额外的保护。  

    使用以下段落:

    其他Microsoft签名的 CI 策略,该策略默认启用,无需添加其他部署步骤,该步骤未绑定到 UEFI。 此签名的 CI 策略将在启动期间加载,强制实施此策略将阻止在该启动会话期间回滚 VBS 系统文件。 与 SkuSiPolicy.p7b 不同,如果未安装更新,设备可以继续启动。 此策略包含在所有受支持的 Windows 10 版本 1507 及更高版本中。 管理员仍可应用 SkuSkiPolicy.p7b,为跨启动会话的回滚提供额外的保护。

  • 在“可用缓解措施”部分中,向最后一段的第一句添加了以下 Windows 版本:Windows 11、版本 24H2、Windows Server 2022 和 Windows Server 23H2

  • 删除了“策略激活事件”部分中“SiPolicy.p7b - 审核策略”列表的图像。

2025 年 4 月 8 日

  • 删除了“有关 SkuSiPolicy.p7b 策略的重要说明”部分的第一句话,因为最新更新目前并非适用于所有 Windows 版本。

  • 更新了“可用缓解措施”部分,添加了更多详细信息。

  • 为启动会话添加了默认缓解措施,以防止回滚Windows 10版本 22H2 及更高版本的二进制文件,以及针对 Windows 11 版本 24H2 上的基于 DRTM 的设备的安全启动或基于 DRTM 的 VBS 数据保护。

2025 年 2 月 24 日

  • 更新了“策略激活事件”部分中的“ 注释 ”,并添加了目录列表的第二个屏幕截图,其中显示了“SiPolicy.p7b - Audit Policy”文件。

2025 年 2 月 11 日

  • 更新了“部署Microsoft签名的吊销策略 (SkuSiPolicy.p7b) ”部分中的步骤 1 中的脚本。

  • 在“策略激活事件”部分的末尾添加了注释,并添加了目录列表的屏幕截图,其中显示了“SkuSiPolicy.p7b - 吊销策略”文件。

  • 更新了“策略删除和恢复过程”部分的步骤 3b 中的脚本。

2025 年 1 月 14 日

  • 在本文顶部添加了有关 SkuSiPolicy.p7b 策略的重要说明。*

  • 删除了 2024 年 11 月 12 日添加的以下说明 (,) 从“可用缓解措施”部分添加,因为不再需要:“注意对 skuSIPolicy.p7b 和 VbsSI_Audit.p7b 策略的支持,Windows 10版本 1507、Windows 10 企业版 2016 和 Windows Server 2016已添加为 2024 年 10 月 8 日和之后发布的最新 Windows 更新的一部分。 较新版本的 Windows 和 Windows Server在 2024 年 8 月 13 日更新中引入了这些策略。”

  • 在“部署Microsoft签名的吊销策略 (SkuSiPolicy.p7b) ”部分中添加了详细信息。 原始文本为“注意,如果缺少更新,则设备可能无法从应用的缓解措施开始,或者缓解措施可能无法按预期工作。*

  • 删除了“更新外部启动媒体”部分的第二段。 删除的原始文本为“使用Microsoft签名吊销策略更新的启动媒体,只能用于启动已应用缓解措施的设备。  如果它被用于没有缓解措施的设备,则从启动介质启动期间将应用 UEFI 锁。 后续从磁盘启动将失败,除非使用缓解措施更新设备或删除 UEFI 锁。”*

  • 删除了步骤“装载新创建的媒体后,将 SkuSiPolicy.p7b 文件复制到 <MediaRoot>\EFI\Microsoft\Boot (例如 ,D:\EFI\Microsoft\Boot) ”,因为不再需要此步骤。*

  • 删除了“更新外部启动媒体”部分中“使用动态更新 Windows 安装媒体 指南”过程中的步骤 3 到 5,因为不再需要这些步骤。*

    • 3. 将媒体内容放在 U 盘上,并将该 U 盘作为驱动器号装载。 例如,将 Thumb 驱动器装载为 D:

    • 4. 将 SkuSiPolicy.p7b 复制到 <MediaRoot>\EFI\Microsoft\Boot (,例如 D:\EFI\Microsoft\Boot) 。

    • 5. 安全地移除已装载的 Thumb 驱动器。

  • 更新了“了解缓解风险”部分中“外部启动媒体”主题的第一段。 原始文本为“将 UEFI 锁定缓解措施应用到设备后,必须使用设备上安装的最新 Windows 更新更新外部启动媒体,并使用Microsoft签名的吊销策略 (SkuSiPolicy.p7b) 。 如果未更新外部启动媒体,则设备可能无法从该媒体启动。 在应用缓解措施之前,请参阅更新外部启动媒体部分中的说明。*

  • 删除了“了解缓解风险”部分中“外部启动媒体”主题的第二段。 原始文本为“使用Microsoft签名吊销策略更新的启动媒体,只能用于启动已应用缓解措施的设备。  如果它被用于没有缓解措施的设备,则从启动介质启动期间将应用 UEFI 锁。 后续从磁盘启动将失败,除非使用缓解措施更新设备或删除 UEFI 锁。”*

  • 更新了“了解缓解风险”部分中的“预启动执行环境 (PXE) 启动”主题。 原始文本为“如果缓解措施已部署到设备,并且你尝试使用 PXE 启动,则设备将不会启动,除非缓解措施也应用于) 存在 bootmgfw.efi 的网络启动源 (根。 如果设备从应用了缓解措施的网络启动源启动,则 UEFI 锁将应用于设备并影响后续启动。 除非环境中的所有设备都部署了缓解措施,否则不建议将缓解措施部署到网络启动源。 "*

2024 年 11 月 12 日

  • 在“可用缓解措施”部分中,已添加对 Windows 10 版本 1507 Windows 10 企业版 2016 的 skuSiPolicy.p7b 和 VbsSI_Audit.p7b 策略的支持,Windows Server 2016作为 2024 年 10 月 8 日和之后发布的 Windows 更新的一部分。

  • 将 Windows 发布日期从 2024 年 8 月 13 日更新到 2024 年 11 月 12 日。
订阅 RSS 源

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心