设备保护（Device Guard）概述

ELOHIM

munchen 发表于 2015-8-3 00:55
不觉明厉，专业版并没有这个功能，就是是有我也不会去用每天就看几个固定的网站，玩的游戏都是正版 ...

个人来讲这个的确有点大了。
但是企业，有可能会有大量的价值数据，就不一样了。。
不知道设备保护这个功能是自动就启动了还是需要开启什么开关？

ELOHIM

方鸿渐 发表于 2015-8-3 02:16
虚拟化……我又想到了瑞星……

好吧，瑞星。。
狮子王……

驭龙

ELOHIM 发表于 2015-8-3 09:26
个人来讲这个的确有点大了。
但是企业，有可能会有大量的价值数据，就不一样了。。
不知道设备保护这个 ...

需要手动启动，而且好像是组策略才能启动，只是据说，我没有用过

ELOHIM

驭龙 发表于 2015-8-3 11:17
需要手动启动，而且好像是组策略才能启动，只是据说，我没有用过

感谢解答！~

jefffire

瞄了一眼 具体不知道怎么回事 感觉和iOS的启动安全机制类似

驭龙

jefffire 发表于 2015-8-5 18:20
瞄了一眼 具体不知道怎么回事 感觉和iOS的启动安全机制类似

安全启动方面差不多，不过Windows 10企业版开启Device Guard以后，似乎DG会把Windows内核虚拟化隔离起来，好像就是Hyper-V中运行内核，硬件虚拟化技术，有一点沙箱的味道，具体内容我也不清楚，因为没有用企业版，专业版这功能在正式版之前被砍了，所以我没有用过，只是关注一下

ELOHIM

jefffire 发表于 2015-8-5 18:20
瞄了一眼 具体不知道怎么回事 感觉和iOS的启动安全机制类似

COMODO ,卡巴斯基反黑客防火墙里面都有四档或五档模式。
默认是安全默式，程序进出站提示。
如果所有的程序都均经过设置，那现在就可以把档调高。调高一级以后，只允许设定好的程序进出站，其它任何程序都不能访问网络。

微软这个功能是模仿这些防火墙功能，只不过是做成了程序控制。
只有经过设置的或者白名单程序才可以运行，其它所有程序不得运行或者虚拟运行，不对内核产生实质性影响。（这样一来，靠高查杀来博得市场的杀软就会慢慢走向下坡路，因为程序根本运行不起来。而模糊代码查杀的一些杀软也会感到危机。）

当然具体功能肯定比这些描述要复杂很多。也是基于UAC用户账户控制这么多年经验的有效积累、升级和突破。

yeow5243

ELOHIM 发表于 2015-8-5 20:34
COMODO ,卡巴斯基反黑客防火墙里面都有四档或五档模式。
默认是安全默式，程序进出站提示。
如果所有的 ...

程序控制，企业级安全软件一般都有，个人用户卡巴，熊猫都有，不知还有那家有？

微软的device guard之能防exe格式病毒，还有js，vbs，黑加白如何防

ELOHIM

yeow5243 发表于 2015-8-5 22:17
程序控制，企业级安全软件一般都有，个人用户卡巴，熊猫都有，不知还有那家有？

微软的device guard之 ...

这个需要微软解释了。
白加黑应该是白可执行程序调黑库，
黑库的话，应用控制策略也可应对。

软件的限制强过系统级的限制吗？
虽说卡巴可以控制程序，但是系统限制使用卡巴怎么办？

jefffire

驭龙 发表于 2015-8-5 19:25
安全启动方面差不多，不过Windows 10企业版开启Device Guard以后，似乎DG会把Windows内核虚拟化隔离起来 ...

嗯，从目前透露的消息来看是这样的。
内核服务跑R-1 ，其他服务跑R0。这样一般的驱动服务就相当于被装进虚拟机了，前提是没有提权漏洞。
普通应用，必须有可信签名才能运行。实际上就是白名单。

这些措施对确保内核安全性有很大效果。