八戒装机

您现在的位置是:首页 < IT资讯 <

Windows Defender:易受攻击的驱动程序阻止列表可防止恶意或可利用的驱动程序

2022年11月12日 10:20:09 小猪 IT资讯

  Windows Defender:易受攻击的驱动程序阻止列表可防止恶意或可利用的驱动程序

  易受攻击的驱动程序阻止列表是 Windows 10、Windows 11 和 Windows Server 2016 或更新设备上的 Windows Defender 的一项新安全功能,可防止恶意或可利用的驱动程序。

Windows Defender:易受攻击的驱动程序阻止列表可防止恶意或可利用的驱动程序-图示1

  微软企业和操作系统安全副总裁 David Weston 在 Twitter 上宣布,微软的易受攻击的驱动程序阻止列表是一项新的安全功能,默认情况下可在 Windows 10 S 模式设备和具有核心隔离内存完整性的设备上使用。已启用,Microsoft 也可能将其称为 Hypervisor Protected Code Integrity (HVCI),已启用。

  内存完整性或 HVCI 利用 Microsoft 的 Hyper-V 技术保护 Windows 内核模式进程免受恶意代码注入。此功能在首次发货时未在现有设备上启用,但似乎在新的 Windows 安装中默认启用。

  一些用户报告了某些启用了 HVCI 的设备的问题,禁用它可以解决他们遇到的问题。

  新保护功能背后的核心思想是维护将被 Windows Defender 阻止的驱动程序列表,因为驱动程序至少具有以下属性之一:

  • 已知的安全漏洞可能允许攻击者提升 Windows 内核中的权限

  • 恶意操作(恶意软件)或用于签署恶意软件的证书

  • 绕过 Windows 安全模型且可被攻击者利用以提升 Windows 内核权限的非恶意行为

  Microsoft 与硬件供应商和 OEM 合作维护黑名单。可疑的驱动程序可能会提交给 Microsoft 进行分析,制造商可能会要求对易受攻击的阻止列表中的驱动程序进行更改,例如,在问题得到修补之后。

  在 S 模式下运行 Windows 10 的设备和启用 HVCI 的设备可以在向设备推出该功能时抵御这些安全威胁。

Windows Defender:易受攻击的驱动程序阻止列表可防止恶意或可利用的驱动程序-图示2

  Windows 用户和管理员可以通过以下方式在非 Windows 10 S 模式设备上启用内存完整性先决条件:

  1. 选择开始,然后选择设置,或使用键盘快捷键 Windows-I 打开设置应用程序。

  2. 在 Windows 10 上,转到更新和安全 > Windows 安全。选择打开 Windows 安全。

  3. 在 Windows 11 上,转到隐私和安全 > Windows 安全 > 选择打开 Windows 安全。

  4. 从左侧边栏中选择设备安全。

  5. 激活核心隔离详细信息链接。

  6. 将内存完整性设置切换为开以启用该功能。

  7. 重启设备。

  一旦该功能可用,Windows 管理员将在 Windows 安全性的核心隔离页面上看到一个新的 Microsoft 易受攻击的驱动程序阻止列表。该功能可以打开或关闭,或以其他方式管理。大卫韦斯顿指出,打开它可以使黑名单更具侵略性。

  微软表示建议启用 HVCI 或使用 S 模式,但管理员也可以使用现有的 Windows Defender 应用程序控制策略来阻止列表中的驱动程序。本文档列出了一个 XML 文件,其中包含可供使用的已阻止驱动程序。

文章评论

共有5条评论来说两句吧...