Windows Defender 应用程序控制和基于虚拟化的代码完整性保护

Windows 包括一组硬件和 OS 技术,一起配置后,企业可以“锁定”Windows 系统,使其行为更类似于展台设备。 在此配置中,Windows Defender应用程序控制 (WDAC) 用于限制设备仅运行已批准的应用,而 OS 则使用内存完整性来强化针对内核内存攻击。

注意

内存完整性有时称为 虚拟机监控程序保护的代码完整性 (HVCI) 虚拟机监控程序强制实施的代码完整性,最初作为 Device Guard 的一部分发布。 除了在 组策略 或 Windows 注册表中查找内存完整性和 VBS 设置外,不再使用 Device Guard。

WDAC 策略和内存完整性是可以单独使用的强大保护。 但是,当这两种技术配置为协同工作时,它们为 Windows 设备提供强大的保护功能。 使用 WDAC 将设备限制为仅授权的应用比其他解决方案具有以下优势:

  1. Windows 内核处理 WDAC 策略的强制实施,不需要其他服务或代理。
  2. WDAC 策略在启动序列的早期生效,在几乎所有其他 OS 代码之前和传统防病毒解决方案运行之前。
  3. WDAC 允许你为在 Windows 上运行的任何代码(包括内核模式驱动程序,甚至作为 Windows 的一部分运行的代码)设置应用程序控制策略。
  4. 客户可以通过对策略进行数字签名来保护 WDAC 策略,甚至防止本地管理员篡改。 更改已签名的策略需要管理权限和对组织的数字签名过程的访问权限。 使用已签名策略会使攻击者(包括设法获得管理权限的攻击者)难以篡改 WDAC 策略。
  5. 可以使用内存完整性保护整个 WDAC 强制机制。 即使内核模式代码中存在漏洞,内存完整性也会大大降低攻击者成功利用它的可能性。 如果没有内存完整性,入侵内核的攻击者通常可以禁用大多数系统防御措施,包括 WDAC 或任何其他应用程序控制解决方案强制实施的应用程序控制策略。

WDAC 与内存完整性之间没有直接的依赖关系。 可以单独部署它们,也可以一起部署它们,并且没有必须按顺序部署它们。

内存完整性依赖于基于 Windows 虚拟化的安全性,并且具有某些旧系统无法满足的硬件、固件和内核驱动程序兼容性要求。

WDAC 没有特定的硬件或软件要求。