设备保护（Device Guard）概述

ELOHIM

设备保护概述                        

此主题尚未评级 - 评价此主题   

                     
上次更新时间   2015 年 5 月 1 日

[在商业发行之前会发生实质性修改的、与预发布产品相关的一些信息。Microsoft 不对此处提供的信息作任何明示或默示的担保。]

设备保护是硬件和软件安全功能的结合，当两者一起配置时，将锁定设备，以使其只能运行受信任的应用程序。如果应用不受信任，则无法运行。它还意味着，即使攻击者得以获取 Windows 内核的控制权，由于针对何时可以运行哪些内容所作的决策，他/她能够在计算机重新启动后运行恶意可执行代码的可能性将大幅降低。
设备保护使用 Windows 10 中新的基于虚拟化的安全性将代码完整性服务与 Windows 内核本身隔离开，使该服务使用由企业控制的策略所定义的签名，从而帮助确定哪些内容值得信任。实际上，代码完整性服务与 Windows 虚拟机监控程序保护容器中的内核并行运行。


为什么使用设备保护
由于每天会创建数千个新的恶意文件，因此使用基于签名的检测等传统方法抵御恶意软件不足以防御新的攻击。Windows 10 上的设备保护从除非防病毒程序或其他安全解决方案阻止否则信任应用的模式，转变为操作系统只信任由企业授权的应用的模式。
设备保护还有助于抵御零天攻击，并且还能有效地应对多态病毒挑战。


使用设备保护的优点
你可以根据你所启用和使用的功能来充分利用设备保护，如此表中所示：

虚拟扩展提供额外保护	Device Guard for Windows 10	Device Guard for Windows 10 + Virtualization extensions
有助于为企业可管理性提供强大的恶意软件防护	X	X
有助于提供 Windows 平台上曾提供的最高级的恶意软件防护		X
提供改进的防篡改功能		X

设备保护的工作原理
设备保护将 Windows 10 操作系统限制为仅运行由受信任的签署人签名的代码，如代码完整性策略通过特定硬件和安全配置所定义，其中包括：

• 用户模式代码完整性 (UMCI)
• 新内核代码完整性规则（包括新的 Windows 硬件质量实验室 (WHQL) 签名约束
• 带有数据库 (db/dbx) 限制的安全启动
• 可选：基于虚拟化的安全，用于帮助保护系统内存和内核模式应用与驱动程序免受可能的篡改。
• 可选：受信任的平台模块 (TPM) 2.0
  

设备保护适用于映像构建过程，因此你可以为支持的设备启用基于虚拟化的安全功能、配置代码完整性策略并设置 Windows 10 所需的任何其他操作系统设置。此后，设备保护可帮助你保护设备：

• 你的设备使用通用可扩展固件接口 (UEFI) 安全启动进行启动，以便启动工具包无法运行，并且使 Windows 10 在执行所有其他操作之前启动。
• 安全启动 Windows 启动组件后，Windows 10 可以启动基于 Hyper-V 虚拟化的安全服务，包括内核模式代码完整性。这些服务通过防止恶意软件在启动过程早期运行或在启动后在内核中运行，帮助保护系统核心（内核）、特权驱动程序和系统防护（例如反恶意软件解决方案）。
• 设备保护使用 UMCI 确保在用户模式下运行的任何内容（例如某项服务、Universal Windows Platform (UWP) App 或经典 Windows 应用程序）受信任，从而仅允许受信任的二进制文件运行。
• 在 Windows 10 启动的同时，受信任的平台模块 (TPM) 也会启动。TPM 提供一个独立的硬件组件，用于帮助保护敏感信息，例如用户凭据和证书。
  

所需的硬件和软件
若要成功地使用设备保护，你还需要安装和配置此硬件和软件：

• Windows 10。设备保护仅适用于运行 Windows 10 的设备。
• UEFI。针对将计算机固件连接到其操作系统的程序的规范。UEFI 包含一个称为安全启动的功能，可帮助保护固件本身内的设备完整性，从而使你对 Windows 将在任何其他潜在恶意软件（例如启动工具包）之前启动感到更有信心。有关详细信息，请参阅安全启动。
• 受信任启动。依靠 UEFI 规范的安全启动功能的操作系统的一部分，有助于防止恶意应用在系统启动过程中加载。受信任启动是一项体系结构更改，可帮助防御 rootkit 攻击（指通过篡改 Windows 启动进程获取系统访问权限的攻击）。
• 基于虚拟化的安全性。隔离敏感 Windows 10 进程的 Hyper-V 保护的容器。这使恶意软件篡改进程或提取攻击所需的数据变得更困难，即使 Windows 10 内核遭到破坏。此服务适用于你在企业定义的代码完整性策略中允许的签名，以帮助确定哪些内容值得信任。
  要点  若要使用基于虚拟化的安全性，你必须启用虚拟化扩展。
• 程序包检查器工具。一种工具，可帮助你创建需要为经典 Windows 应用程序签名的文件的目录，以便应用可以轻松地由受信任的签署人签名。
  

在公司中使用设备保护之前
你必须先设置环境和策略，才能成功地使用设备保护。


对应用进行签名
设备保护模式支持 UWP App 和经典 Windows 应用程序。当使用你确定值得信任的签名为应用签名时，设备保护和应用之间发生信任。不是所有签名都会起效。
此签名可通过以下方式发生：

• 使用 Windows 应用商店发布过程。所有来自 Microsoft 应用商店的应用都使用特殊签名自动进行签名，这些特殊签名可汇总到我们的或你自己的证书颁发机构 (CA)。
• 使用你自己的数字证书或公钥基础结构 (PKI)。ISV 和企业可以自行对他们自己的经典 Windows 应用程序进行签名，将他们自己添加到受信任的签署人列表中。
• 使用非 Microsoft 签名颁发机构。ISV 和企业可以使用受信任的非 Microsoft 签名颁发机构对所有他们自己的经典 Windows 应用程序进行签名。
• 使用 Microsoft 提供的 Web 服务（今年下半年推出）。ISV 和企业将能够使用更安全的 Microsoft 提供的 Web 服务对其经典 Windows 应用程序进行签名。
  

代码完整性策略
在你可以使用设备保护中所含的应用保护之前，你必须先使用 Microsoft 提供的工具创建一个代码完整性策略，但是需使用你的当前管理工具（如组策略）进行部署。代码完整性策略是二进制编码的 XML 文档，此文档包含同时适用于 Windows 10 的用户和内核模式的配置设置以及对 Windows 10 脚本主机的限制。此策略限制哪些代码可以在设备上运行。
对于设备保护功能，如果设置由客户提供用于客户提供的映像，设备应仅预配置代码完整性。


注意  此 XML 文档只能在 Windows 10 中进行签名，有助于为防止管理用户更改或删除此策略添加额外保护。


使用 Windows 10 虚拟机监控程序的基于虚拟化的安全性
Windows 10 虚拟机监控程序引入了有关虚拟信任级别的新功能，可帮助 Windows 10 服务在受保护环境下运行，与正在运行的操作系统隔离。 Windows 10 基于虚拟化的安全性有助于保护内核代码完整性，并有助于为本地安全颁发机构 (LSA) 提供凭据隔离。使内核代码完整性服务作为虚拟机监控程序托管的服务运行可提高对根操作系统的保护级别，从而针对任何危害内核层的恶意软件添加额外保护。
要点  使用基于虚拟化的安全性运行内核代码完整性的设备保护设备必须具有兼容的驱动程序（可以更新旧版驱动程序）并且启用所有虚拟化功能。这包括虚拟化扩展和输入/输出内存管理单元 (IOMMU) 支持。

https://technet.microsoft.com/zh-cn/library/dn986865.aspx

白露为霜

win10企业版我在用

ELOHIM

root1605 发表于 2015-8-2 21:47
win10企业版我在用

大神截几个图上来啊。。嘿嘿。
我这边局限在理论了。

白露为霜

ELOHIM 发表于 2015-8-2 21:51
大神截几个图上来啊。。嘿嘿。
我这边局限在理论了。

没在电脑旁
这是平板。


我去叫人，有人用企业版

ELOHIM

root1605 发表于 2015-8-2 21:52
没在电脑旁
这是平板。

OK，，还是大神说话给力。

白露为霜

ELOHIM 发表于 2015-8-2 21:51
大神截几个图上来啊。。嘿嘿。
我这边局限在理论了。

@嵩弦离合

白露为霜

ELOHIM 发表于 2015-8-2 21:55
OK，，还是大神说话给力。

你这是讽刺我啊

ELOHIM

root1605 发表于 2015-8-2 21:58
你这是讽刺我啊

没有讽刺啦，真心地，发自肺腑，发自腹腔的。。

munchen

不觉明厉，专业版并没有这个功能，就是是有我也不会去用每天就看几个固定的网站，玩的游戏都是正版，而且没有破解软在在电脑上

方鸿渐

虚拟化……我又想到了瑞星……