状态分离和隔离

• 适用于:

  HoloLens 2

状态隔离和隔离保护HoloLens 2操作系统的关键部分免受更改，例如操作系统启动到受信任状态所需的部分。 使用隔离技术，不受信任的应用将移动到隔离的沙盒环境，以确保它们不会影响系统安全性。

状态分离

HoloLens 2 的状态分离极大地提高了安全性和可维护性（更新），并有助于保护应用程序数据。 状态分离的工作方式如下：

• 核心操作系统存储在核心操作系统卷中（受信任或经验证的 Microsoft 操作系统更新操作系统）。
• 操作系统中可以在运行时更改的部分（例如可下载的驱动程序和配置），使用进一步的状态分离来对数据进行分区，并将其存储在安全的独立存储位置中。
• 每个安全存储位置都有与之关联的独特安全策略，从而提供了各种安全优势，如以下部分所述。

状态分离优势

• 安全性：HoloLens 2 中的状态分离功能可显著提高平台完整性、抵抗恶意软件和保护用户数据。 通过分离操作系统的不可更改部分并使其为只读或完整性保护，状态分离使得恶意软件难以在冷重启过程中持续存在。
• 更新：使用 HoloLens 2，一旦核心操作系统不可修改且与设备上的其余数据完全分开，更新就变得简单而可靠。 此外，状态分离为显著加快更新速度奠定了重要基础，这使得可以在一个步骤（原子单元）中更换操作系统。
• 设备重置：HoloLens 2 重置可清除设备上用户生成的数据和用户应用数据（包括内部和外部存储位置）。 它将保留当前的 OS 应用和安全关键应用以及当前的 Microsoft 和 OEM 自定义应用（预安装）。 重置完成后，可以在设备上为这些预安装应用解除冻结

状态分离状态

状态分离可确保操作系统只能由 Microsoft 受信任的设备组件更改，并且仅允许高价值状态在重启后保留;其他系统状态仅在启动会话期间存在，并在重新启动后被丢弃。 进行状态分离后，设备会迅速恢复到出厂状态。 Windows Holographic for Business 可以分为以下几种不同类别：

• 核心操作系统 – 不可更改的状态
• 操作系统数据 – 可更改的状态
• 用户数据 – 可更改的状态

下一节逐一介绍了这些 HoloLens 2 工作状态。

核心操作系统

不可变状态包括可执行文件和数据，这些文件和数据不可更改，只能在安装更新期间由 Microsoft 更改。 在核心操作系统的此类更新期间，将启用一个包含最新所需操作状态的新映像。 不可更改的状态被标记为只读（或以其他方式受完整性保护），从而防止任何具有提升特权的恶意软件持续存在。 以下可执行文件和数据以不可变状态受保护：

• Windows Holographic 收件箱驱动程序
• 操作系统二进制文件
• Windows 收件箱驱动程序
• Windows 注册表配置单元 (HKLM) 中存储的静态 Windows Holographic 设置
  • 示例：HKLM 存储安装在计算机上的应用的配置信息。 它还会存储信息来检测硬件和相应的驱动程序。 通过在不可变（完整性和只读保护）状态下保护它们，可确保核心操作系统始终启动到受信任状态。 此外，重置设备后，我们可以确保设备仅启动到该不可变部分的组件中。

操作系统数据

请务必注意，在运行时 (可更改且对操作系统功能) 不重要的可执行文件和数据在数据损坏或泄露时会被丢弃并重新创建。 高值可变状态要么是功能上操作系统要求持续存在，要么应在操作系统关闭期间和/或在受支持的 Windows 操作系统和设备方案重新启动之间持续存在。 高值可变状态的示例如下：

• IT 管理员配置的全局设备设置，例如为所有用户禁用位置。
• Wi-fi 网络连接访问数据设备记住的网络以及关联的连接密码。
• 故障转储（包括设置、日志）。
• 按需为新发现的设备下载的驱动程序。 HoloLens 2 上的高值可更改状态位于操作系统数据安全位置上，既可以作为磁盘上的已保存文件，也可以作为保留的注册表配置单元。

用户数据

最后一个状态类别表示由 UWP 应用程序或操作系统生成或保留的用户数据。 “下载”、“文档”、“视频”等所有已知用户文件夹、用户配置文件和 HKEY_CURRENT_USER 配置单元也存储在此位置。 如果没有适当的凭据，则无法提取此数据;若要详细了解如何保护数据，请参阅 加密和数据保护。

隔离

为了实现这种平衡，HoloLens 2具有用于启动、硬件控制、登录等主要功能的核心操作系统。只有两组应用程序在核心操作系统上运行 - 预安装的应用程序和 UWP 应用。

代码签名

通过数字签名代码可以证明可执行文件和脚本尚未修改，因为它们由受信任的源签名，因此可提供真实性和完整性。 默认情况下，HoloLens 2 信任的机构是 Microsoft 和 Microsoft Store。 IT 管理员可以通过 ClientCertificateInstall 和 RootCATrustedCertificates CSP 向设备添加新证书。 他们还可以使用 AllowAllTrustedApps 策略 信任其他旁加载 应用或业务线应用。 证书驻留在本地计算机证书存储中，如果使用“设备”，则存储在 HKLM/Root 中;如果使用“用户”，则驻留在 HKCU 中。

Defender 保护

HoloLens 2 使用 Microsoft 服务为用户提供更高级别的安全性：

• Defender SmartScreen 由操作系统自动在 Windows Holographic 上启用，可防止 Microsoft Edge 上的网络钓鱼和恶意软件以及潜在的恶意文件下载。 用户无法将其关闭，但可以通过策略将其禁用。

• Defender 防火墙会阻止未经授权的网络流量出入你的设备。 默认情况下，它已启用，客户无法通过本地操作或策略进行配置。

• Windows Defender 应用程序控制：HoloLens 2 支持 WDAC，它使 IT 管理员能够将应用程序控制策略推送到设备上。 有关详细信息，请参阅在具有 MSFT Intune 的 HoloLens 2 设备上使用 WDAC。

IT 管理员可以通过 AllowSmartScreen 管理 SmartScreen 行为，并通过这些策略管理浏览器行为。