注意
商務用應用程控的某些功能僅適用於特定的 Windows 版本。 深入了解 應用程控功能可用性。
Microsoft在核心中執行的程式代碼有嚴格的需求。 因此,惡意執行者會轉向惡意探索合法和已簽署核心驅動程式中的弱點,以在核心中執行惡意代碼。 Windows 平臺的許多優點之一,就是我們與獨立硬體廠商 (IHV) 和 OEM 的強大共同作業。 Microsoft與 IHV 和安全性社群密切合作,以確保客戶擁有最高層級的驅動程序安全性。 找到驅動程式中的弱點時,我們會與合作夥伴合作,以確保它們已快速修補並推出至生態系統。 易受攻擊的驅動程式封鎖清單旨在協助強化系統,以針對 Windows 生態系統中具有下列任何屬性的非Microsoft開發驅動程式:
- 攻擊者可能利用的已知安全性弱點,提升 Windows 核心中的許可權
- 惡意行為 (用來簽署惡意代碼的惡意代碼) 或憑證
- 不是惡意但規避 Windows 安全性 模型的行為,攻擊者可能會利用這些行為來提高 Windows 核心中的許可權
您可以在 [Microsoft 安全情報 驅動程式提交] 頁面將驅動程式提交至Microsoft進行安全性分析。 如需驅動程式提交的詳細資訊,請參閱 使用新的Microsoft易受攻擊和惡意驅動程序報告中心來改善核心安全性。 若要回報問題或要求變更封鎖清單,包括在修正驅動程序之後更新區塊規則,請流覽 Microsoft 安全情報 入口網站。
注意
封鎖驅動程式可能會導致裝置或軟體故障,在極少數的情況下,會導致藍色畫面。 易受攻擊的驅動程式封鎖清單不保證會封鎖發現有弱點的每個驅動程式。 Microsoft嘗試平衡易受攻擊驅動程式的安全性風險,以及產生封鎖清單的相容性和可靠性潛在影響。 一如往常,Microsoft建議盡可能使用明確的允許清單方法來取得安全性。
Microsoft易受攻擊的驅動程式封鎖清單
使用 Windows 11 2022 更新時,預設會針對所有裝置啟用易受攻擊的驅動程式封鎖清單,並可透過 Windows 安全性 應用程式開啟或關閉。 除了 Windows Server 2016 之外,當記憶體完整性 (也稱為受 Hypervisor 保護的程式代碼完整性或 HVCI) 、Smart App Control 或 S 模式為作用中時,也會強制執行易受攻擊的驅動程式封鎖清單。 使用者可以使用 Windows 安全性 應用程式選擇加入 HVCI,而 HVCI 預設為開啟大部分新 Windows 11 裝置。
注意
Windows 安全性 會與作系統分開更新,並隨附於現用。 具有易受攻擊驅動程式封鎖清單切換的版本會在最後一個驗證通道中,而且很快就會寄送給所有客戶。 一開始,您只能檢視組態狀態,而切換會呈現灰色。開啟或關閉切換的功能將隨附於未來的 Windows 更新。
針對 Windows 測試人員,啟用 HVCI、智慧應用程控或 S 模式時,使用 Windows 安全性 設定開啟或關閉Microsoft易受攻擊驅動程式封鎖清單的選項會呈現灰色。 您必須停用 HVCI 或 Smart App Control,或將裝置切換出 S 模式,然後重新啟動裝置,才能關閉Microsoft易受攻擊的驅動程式封鎖清單。
封鎖清單會隨著 Windows 的每個新主要版本一起更新,通常每年 1-2 次。 最新的封鎖清單現在也適用於 Windows 10 20H2 和 Windows 11 21H2 使用者,作為 Windows Update 的選擇性更新。 Microsoft偶爾會透過一般 Windows 服務發佈未來的更新。
一律想要最新驅動程式封鎖清單的客戶也可以使用商務用應用程控來套用最新的建議驅動程序封鎖清單。 為了方便起見,我們提供最新易受攻擊驅動程序封鎖清單的下載,以及在本文結尾將它套用至計算機的指示。
使用應用程控封鎖易受攻擊的驅動程式
Microsoft建議啟用 HVCI 或 S 模式,以保護您的裝置免於遭受安全性威脅。 如果無法進行此設定,Microsoft建議您封鎖現有商務用應用程控原則內 的驅動程式清單 。 封鎖沒有足夠測試的核心驅動程式可能會導致裝置或軟體故障,而在極少數的情況下則是藍色畫面。 建議您先在 稽核模式 中驗證此原則,並檢閱稽核封鎖事件。
重要
Microsoft也建議啟用 ASR (降低攻擊面) 規則 封鎖惡意探索易受攻擊的已簽署驅動程式濫用 ,以防止應用程式將易受攻擊的已簽署驅動程式寫入磁碟。 ASR 規則不會封鎖系統上已存在的驅動程式進行載入,但啟用 Microsoft易受攻擊的驅動程式封鎖清單 或套用此應用程控原則,將會防止現有驅動程式載入。
下載並套用易受攻擊驅動程式封鎖清單二進位檔的步驟
如果您要套用易受攻擊的驅動程式封鎖清單,請遵循下列步驟:
- 下載 應用程控原則重新整理工具
- 下載並擷取 易受攻擊的驅動程式封鎖清單二進位檔
- 選取僅稽核版本或強制執行的版本,並將檔案重新命名為 SiPolicy.p7b
- 將 SiPolicy.p7b 複製到 %windir%\system32\CodeIntegrity
- 執行您在上述步驟 1 中下載的應用程控原則重新整理工具,以啟用和重新整理計算機上的所有應用程控原則
若要檢查是否已在您的電腦上成功套用原則:
- 開啟事件檢視器
- 瀏覽至 應用程式和服務記錄 - Microsoft - Windows - CodeIntegrity -作
- 選 取 [篩選目前的記錄...
- 將 [<所有事件標識符>] 取代為 “3099”,然後選取 [確定]。
- 尋找 3099 事件,其中 PolicyNameBuffer 和 PolicyIdBuffer 符合本文中封鎖清單應用程式控制原則 XML 底部的 Name 和 Id PolicyInfo 設定。 注意:如果其他應用程控原則也存在,您的計算機可能會有一個以上的 3099 事件。
注意
如果任何易受攻擊的驅動程式已在執行中,而該驅動程式會遭到原則封鎖,您必須重新啟動計算機,才能封鎖這些驅動程式。 在未重新啟動的情況下啟用新的應用程控原則時,不會關閉執行中的進程。
易受攻擊的驅動程式封鎖清單 XML
建議的封鎖清單 xml 原則檔案可從 Microsoft下載中心下載。
此原則包含 允許所有 規則。 如果您的 Windows 版本支援應用程控多個原則,建議您將此原則與任何現有的應用程控原則一起部署。 如果您打算將此原則與另一個原則合併,如果另一個原則套用明確的允許清單,則可能需要先移除 [ 允許所有 規則] 再合併它。 如需詳細資訊,請 參閱建立應用程控拒絕原則。
注意
若要搭配 Windows Server 2016 使用此原則,您必須在執行較新作系統的裝置上轉換原則 XML。