注意
App Control for Business 的部分功能僅在特定 Windows 版本上提供。 了解更多關於 App Control 功能可用性的資訊。
Microsoft 對核心中執行的程式碼有嚴格的要求。 因此,惡意行為者開始利用合法且已簽署的核心驅動程式中的漏洞,在核心中執行惡意軟體。 Windows 平台的眾多優勢之一是我們與獨立硬體廠商 (IHV) 及 OEM 的緊密合作。 Microsoft 與我們的 IHV 及安全社群密切合作,確保客戶能享有最高等級的驅動程式安全。 當驅動程式發現漏洞時,我們會與合作夥伴合作,確保能迅速修補並推送到生態系統中。 易受攻擊的驅動程式封鎖清單旨在幫助系統在 Windows 生態系統中強化對非 Microsoft 開發驅動程式的防禦,具備以下任一屬性:
- 已知的安全漏洞,攻擊者可利用這些漏洞提升 Windows 核心的權限
- 惡意行為 (用於簽署惡意軟體的惡意軟體) 或憑證
- 這些行為並非惡意,但會繞過 Windows 安全性模型,攻擊者可能會利用它來提升 Windows 核心的權限
驅動程式可透過 Microsoft 安全情報驅動程式提交頁面提交至 Microsoft 進行安全分析。 欲了解更多驅動程式提交資訊,請參閱「 透過全新 Microsoft 漏洞與惡意驅動程式報告中心提升核心安全性」。 若要回報問題或請求更改封鎖清單,包括在驅動程式有固定版本後更新封鎖規則,請造訪 Microsoft 安全情報入口網站。
注意
阻擋驅動程式可能導致裝置或軟體故障,極少數情況下甚至會出現藍屏。 漏洞驅動程式封鎖清單並不保證能封鎖所有被發現有漏洞的驅動程式。 當我們製作封鎖名單時,Microsoft 試圖在風險驅動程式的安全風險與對相容性和可靠性可能造成的影響之間取得平衡。 本文及相關可下載檔案中的封鎖清單通常包含比作業系統版本更完整的已知有漏洞驅動程式,且由 Windows Update 提供。 我們常常需要保留部分封鎖,以避免破壞現有功能,同時與合作夥伴合作,協助用戶更新至已修補的版本。 一如既往,Microsoft 建議盡可能採用明確的允許清單安全策略,但當這不可行時,使用此封鎖清單是干擾惡意行為者的關鍵工具。
Microsoft 易受攻擊的驅動程式封鎖清單
自 Windows 11 2022 更新後,所有裝置預設啟用了易受攻擊的驅動程式封鎖清單,並可透過 Windows 安全性應用程式開啟或關閉。 除了 Windows Server 2016 外,當記憶體完整性(也稱為虛擬機監控程式保護的程式碼完整性 (HVCI) )、Smart App Control 或 S 模式啟用時,也會強制執行有漏洞的驅動程式封鎖清單。 使用者可透過 Windows 安全性應用程式選擇啟用 HVCI,且大多數新 Windows 11 裝置預設為 HVCI。
封鎖名單每季更新一次。 此外,封鎖名單更新會透過每月的 Windows 更新,作為標準服務流程的一部分,以協助保護客戶。
想要最新驅動程式封鎖清單的客戶,也可以使用企業版應用程式控制,套用本文中最新推薦的驅動程式封鎖清單。 為了方便起見,本文末尾提供最新的易受攻擊駕駛人封鎖清單下載,並附上如何套用該清單的說明。
使用 App Control 封鎖易受攻擊的驅動程式
Microsoft 建議啟用 HVCI 或 S 模式,以保護你的裝置免受安全威脅。 如果無法設定此設定,Microsoft 建議在現有的 App Control for Business 政策中封鎖 此驅動程式清單 。 未經充分測試就封鎖核心驅動程式可能導致裝置或軟體故障,極少數情況下甚至出現藍屏。 你應該先在 稽核模式下 驗證此政策,並檢視稽核區塊事件,然後再部署強制版本。
重要
Microsoft 也建議啟用攻擊面減少 (ASR) 規則 「阻擋被利用的漏洞簽署驅動 程式濫用」,以防止應用程式將有漏洞的簽署驅動程式寫入磁碟。 ASR 規則不會阻止系統中已存在的驅動程式載入,但啟用 Microsoft 的易受攻擊驅動程式封鎖清單 或套用此 App Control 政策,會阻止現有驅動程式載入。
下載並套用易受攻擊驅動程式封鎖清單二進位檔的步驟
如果您偏好套用易受攻擊駕駛者封鎖名單,請依照以下步驟操作:
- 下載 App Control 政策刷新工具
- 下載並解壓 易受攻擊的驅動程式封鎖清單二進位檔
- 選擇僅審計版本或強制版本,並將檔案重新命名為 SiPolicy.p7b
- Copy SiPolicy.p7b to %windir%\system32\CodeIntegrity
- 請執行你在第一步下載的 App Control 政策刷新工具,啟動並刷新電腦上的所有 App Control 政策
要確認保單是否在您的電腦上成功套用:
- 開啟事件檢視器
- 瀏覽至 應用程式與服務日誌 - Microsoft - Windows - CodeIntegrity - 操作
- 選擇 篩選 目前日誌...
- 將「<所有事件 ID」>替換成「3099」並選擇確定。
- 你應該會找到一個 3099 事件,其中 PolicyNameBuffer 和 PolicyIdBuffer 與本文中 Blocklist App Control Policy XML 中 PolicyInfo 設定的名稱和 ID 相符。 注意:若有其他 App 控制政策存在,您的電腦可能會有多個 3099 事件。
注意
如果已經有任何漏洞驅動程式在執行,且該政策會阻擋,你必須重啟電腦才能阻擋這些驅動程式。 啟動新的 App Control 政策時,執行中的程序不會停止,且不需重啟。
易受攻擊的驅動程式封鎖清單 XML
建議的封鎖清單 XML 政策檔案可從 Microsoft 下載中心下載。
本政策包含 「允許所有 規則」。 如果您的 Windows 版本支援 App Control 多重政策,建議將此政策與現有的 App Control 政策一同部署。 如果你打算將此政策與其他政策合併,且該政策明確適用允許清單,請先移除「 允許全部 」規則。 欲了解更多資訊,請參閱 建立應用程式控制拒絕政策。
注意
若要在 Windows Server 2016 使用此政策,您必須在運行較新作業系統的裝置上轉換該政策 XML。 本文前述 Microsoft 下載中心連結提供的政策也包含 Windows Server 2016 版本。