Windows 10技術預覽版的早期報道大 都將重點放在新的開始菜單、虛擬桌面和高度吸引眼球的用戶體驗上。另一方面，即使從這些早期預覽版也可以看到許多巨大變化的蛛絲馬跡，特別是在重要安全領域的變化。

到目前為止最讓人浮想聯翩的當屬名為“下一代身份驗證”（Next Generation Credentials）的新服務。多數新發布的預覽版本已經安裝了此服務，但服務未啟動。

日前，微軟透露了有關計劃的更多細節，計劃“推動世界遠離諸如密碼的單因素認證”。目前，Windows 10的技術預覽版本尚未啟用該功能。該功能啟用后，Windows 10設備（個人電腦、平板電腦或手機）的用戶即可以將設備設為可信任，繼而用于身份驗證的目的。該功能與PIN或生物證據（如指紋）結合，用戶即能夠登錄任何支持此類功能的移動服務。

微軟稱，PIN碼可以是字母數字的任意組合，并不是僅僅限于很短的數字代碼。如果密碼在數據庫泄漏或釣魚攻擊中被竊，偷竊者仍然無法訪問任何服務，原因是偷竊者手里沒有雙因素身份驗證所要求的硬件部分。同樣，如果設備被盜，但由于沒有密碼，偷竊者手里的設備也是沒有用處的。

此認證方式不是專有的，而是基于FIDO聯盟標準。FIDO聯盟成員包括一堆的計算巨頭（谷歌、微軟、聯想等等）、銀行和支付公司（美國銀行、支付寶、Visa和萬事達卡）以及諸如RSA和IdentityX等著名安全公司。

至于設備本身所需要的公共密鑰和私人密鑰，企業可以利用現有的PKI基礎設施簽發這些密鑰，消費電子設備所需要的密鑰則可以由Windows 10產生和安全地存儲。

據微軟介紹，Windows 10用戶可以在自己的任何設備或所有的設備上啟動這些身份驗證功能。其中的一個做法是，用戶選一個設備啟動該身份驗證功能，然后將其作為虛擬智能卡使用。例如，智能手機可以提供雙因素認證，做法是通過藍牙或WiFi登陸到本地設備或訪問遠程資源。

用戶訪問令牌本身則可以存儲在一個虛擬化的安全容器（基于Hyper-V技術）上，從而可以降低諸如Pass The Hash（送上哈希）一類的攻擊的有效性。

微軟在今天公告的還提出了兩項新的Windows 10功能，可望為企業客戶加強安全性。

第一個新功能是一組信息保護功能，使得企業即使在員工擁有的設備上也可以保護數據。微軟稱，Windows 10此項功能允許網絡管理員設定策略，確保能自動加密敏感信息，包括企業應用程序、數據、電子郵件和公司內部專用網站內容。

由于常見的Windows控件（如打開和保存對話框）的API加入了對這些加密的支持，所有使用這些控制的Windows應用程序也具備該新功能。如果有必要采用更嚴格的安全措施，管理員還可以創建應用程序表，指定哪些應用程序可以訪問加密數據，哪些應用程序不容許訪問加密數據，譬如，網絡管理員可以選擇禁止訪問諸如Dropbox的云服務。

一勞久逸的安全措施對很多部門（如銀行和其他受管制的行業、國防承包商和處理網絡間諜的政府機構等部門）來說都是件不可或得的大好事。利用Windows 10企業版和具有特別配置的OEM硬件，管理員可以完全鎖定設備，使得不受信任的代碼無法運行。

在完全鎖定的配置下，唯一可以運行的應用程序只限于那些由微軟簽發的證書簽過名的程序，包括來自Windows應用商店的應用程序，以及那些已提交給微軟認證過的桌面應用程序。有些企業有自己的業務應用程序內部產品，這些企業可以獲取自己的密鑰生成器，這樣做以后這些應用程序就可以在企業網絡上運行，但在外面的網絡上則運行不了。