Windows Defender 應用程式控制和虛擬式程式碼完整性保護

適用於

  • Windows 10
  • Windows Server 2016

Windows 10包含一組硬體和 OS 技術,在一起設定時,可讓企業「鎖定」Windows 10系統,使其行為更像行動裝置。 在此設定中,Windows Defender應用程式控制 (WDAC) 是用來限制裝置只執行已核准的應用程式,而 OS 則會使用受 Hypervisor 保護的程式碼完整性 (HVCI) 來強化作業系統以抵禦核心記憶體攻擊。

WDAC 原則和 HVCI 是功能強大的保護,可個別使用。 不過,當這兩項技術設定為一起運作時,它們會為Windows 10裝置提供強大的保護功能。

使用Windows Defender應用程式控制將裝置限制為僅限授權的應用程式,比其他解決方案有下列優點:

  1. WDAC 原則是由 Windows 核心本身強制執行,而且在幾乎所有其他作業系統程式碼之前和傳統防毒軟體解決方案執行之前,原則會在開機順序初期生效。
  2. WDAC 可讓您針對在使用者模式中執行的程式碼、核心模式硬體和軟體驅動程式,甚至是當做 Windows 一部分執行的程式碼,設定應用程式控制原則。
  3. 客戶甚至可以透過數位簽署原則來保護 WDAC 原則,以避免本機系統管理員遭到竄改。 若要變更已簽署的原則,需要組織數位簽章程式的系統管理許可權和存取權。 這會讓攻擊者難以竄改 WDAC 原則,包括已成功取得系統管理許可權的攻擊者。
  4. 您可以使用 HVCI 保護整個 WDAC 強制機制。 即使核心模式程式碼中有弱點存在,HVCI 也可大幅降低攻擊者成功利用它的可能性。 這很重要,因為入侵核心的攻擊者通常可能會停用大部分的系統防禦,包括 WDAC 或任何其他應用程式控制解決方案所強制執行的防禦。

為什麼我們不再使用 Device Guard 品牌

當我們最初升級 Device Guard 時,會考慮到特定的安全性承諾。 雖然 WDAC 和 HVCI 之間沒有直接的相依性,但我們刻意著重在討論在一起使用鎖定狀態時所達成的鎖定狀態。 不過,由於 HVCI 依賴以 Windows 虛擬化為基礎的安全性,因此它具有某些較舊系統無法滿足的硬體、韌體和核心驅動程式相容性需求。 這誤導了許多人,認為如果系統無法使用 HVCI,他們也無法使用 WDAC。

WDAC 除了執行Windows 10之外,沒有特定的硬體或軟體需求,這表示客戶因為 Device Guard 混淆而無法獲得此強大應用程式控制功能的優點。

自初次發行Windows 10以來,全球都曾遭受過許多入侵和惡意程式碼攻擊,其中應用程式控制本身可能完全防止了攻擊。 考慮到這一點,我們現在會討論並記錄Windows Defender應用程式控制作為安全性堆疊內的獨立技術,並提供它自己的名稱:Windows Defender應用程式控制。 我們希望這項變更可協助我們更有效地溝通在組織內採用應用程式控制的選項。