Microsoft 推荐的驱动程序阻止规则

适用于: ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

注意

适用于企业的 App Control 的某些功能仅适用于特定 Windows 版本。详细了解应用控制功能可用性。

Microsoft对内核中运行的代码有严格的要求。因此，恶意参与者正在利用合法且已签名的内核驱动程序中的漏洞在内核中运行恶意软件。 Windows 平台的众多优势之一是我们与独立硬件供应商 (IHV) 和 OEM 的紧密协作。 Microsoft与我们的 IHV 和安全社区密切合作，确保为客户提供最高级别的驱动程序安全性。发现驱动程序中的漏洞后，我们会与合作伙伴合作，确保快速修补这些漏洞并将其推广到生态系统。易受攻击的驱动程序阻止列表旨在通过以下任何属性帮助强化系统，使其免受 Windows 生态系统中非Microsoft开发的驱动程序的侵害：

攻击者可能利用这些漏洞提升 Windows 内核中的特权
恶意行为 (恶意软件) 或用于对恶意软件进行签名的证书
不是恶意行为，但会绕过Windows 安全中心模型，攻击者可能利用这些行为来提升 Windows 内核中的特权

驱动程序可以提交到Microsoft，以便在Microsoft 安全智能驱动程序提交页进行安全分析。有关驱动程序提交的详细信息，请参阅使用新的Microsoft易受攻击和恶意驱动程序报告中心提高内核安全性。若要报告问题或请求更改阻止列表（包括在驱动程序的固定版本可用后更新阻止规则），请访问 Microsoft 安全智能门户。

注意

阻止驱动程序可能会导致设备或软件出现故障，在极少数情况下会导致蓝屏。不保证易受攻击的驱动程序阻止列表会阻止发现存在漏洞的每个驱动程序。生成阻止列表时，Microsoft尝试平衡易受攻击驱动程序的安全风险和对兼容性和可靠性的潜在影响。本文中包含的阻止列表和关联的可下载文件中通常包含一组比操作系统中的版本更完整的已知易受攻击的驱动程序集，并由Windows 更新提供。我们通常需要保留一些块，以避免破坏现有功能，同时我们与合作伙伴合作，让他们的用户将其更新到已修补的版本。与往常一样，Microsoft建议尽可能使用显式允许列表方法来确保安全性，但如果这不可行，则使用此阻止列表是破坏恶意参与者的关键工具。

Microsoft易受攻击的驱动程序阻止列表

自 Windows 11 2022 更新以来，默认为所有设备启用易受攻击的驱动程序阻止列表，并且可以通过 Windows 安全中心应用打开或关闭。除Windows Server 2016外，当内存完整性（也称为受虚拟机监控程序保护的代码完整性 (HVCI) 、智能应用控制或 S 模式处于活动状态）时，也会强制实施易受攻击的驱动程序阻止列表。用户可以使用 Windows 安全中心应用选择加入 HVCI，并且对于大多数新Windows 11设备，HVCI 默认处于启用状态。

阻止列表每季度更新一次。此外，阻止列表更新通过每月 Windows 更新提供，作为标准服务过程的一部分，以帮助保护客户。

始终需要最新驱动程序阻止列表的客户也可以使用适用于企业的 App Control 来应用本文中包含的最新推荐驱动程序阻止列表。为方便起见，本文末尾提供了最新的易受攻击驱动程序阻止列表的下载内容，以及将其应用于计算机的说明。

使用应用控制阻止易受攻击的驱动程序

Microsoft建议启用 HVCI 或 S 模式，以保护设备免受安全威胁。如果无法进行此设置，Microsoft建议在现有企业应用控制策略中阻止此驱动程序列表。在未进行充分测试的情况下阻止内核驱动程序可能会导致设备或软件发生故障，在极少数情况下会导致蓝屏。应首先在审核模式下验证此策略，并在部署强制版本之前查看审核块事件。

重要提示

Microsoft还建议启用攻击面减少 (ASR) 规则 阻止被攻击的易受攻击的已签名驱动程序的滥用 ，以防止应用程序将易受攻击的已签名驱动程序写入磁盘。 ASR 规则不会阻止系统上已存在的驱动程序加载，但是启用 Microsoft易受攻击的驱动程序阻止列表 或应用此应用控制策略会阻止加载现有驱动程序。

下载和应用易受攻击的驱动程序阻止列表二进制文件的步骤

如果希望应用易受攻击的驱动程序阻止列表，请执行以下步骤：

下载应用控制策略刷新工具
下载并提取易受攻击的驱动程序阻止列表二进制文件
选择“仅审核版本”或“强制版本”，并将文件重命名为 SiPolicy.p7b
将 SiPolicy.p7b 复制到 %windir%\system32\CodeIntegrity
运行在上述步骤 1 中下载的应用控制策略刷新工具，以激活和刷新计算机上的所有应用控制策略

若要检查已成功在计算机上应用策略，请执行以下操作：

打开事件查看器
浏览到 应用程序和服务日志 - Microsoft - Windows - CodeIntegrity - 操作
选择 “筛选当前日志...”
将“<所有事件 ID>”替换为“3099”，然后选择“确定”。
应发现一个 3099 事件，其中 PolicyNameBuffer 和 PolicyIdBuffer 与本文的阻止列表“应用控制策略 XML”中的 PolicyInfo 设置的名称和 ID 匹配。注意：如果存在其他应用控制策略，则计算机可能有多个 3099 事件。

注意

如果已运行策略会阻止的任何易受攻击的驱动程序，则必须重新启动计算机才能阻止这些驱动程序。在不重新启动的情况下激活新的应用控制策略时，不会停止正在运行的进程。

易受攻击的驱动程序阻止列表 XML

建议的阻止列表 xml 策略文件可以从 Microsoft下载中心下载。

此策略包含 “允许所有” 规则。如果你的 Windows 版本支持多个应用控制策略，我们建议将此策略与任何现有应用控制策略一起部署。如果确实计划将此策略与其他策略合并，请在合并之前删除 “允许所有” 规则（如果另一个策略应用显式允许列表）。有关详细信息，请参阅创建应用控制拒绝策略。

注意

若要将此策略与Windows Server 2016一起使用，必须在运行较新操作系统的设备上转换策略 XML。本文前面提供的Microsoft下载中心链接中提供的策略还包括Windows Server 2016的版本。

反馈

此页面是否有帮助？

Last updated on 2026-05-04