解决Windows 10恶意软件的Device Guard长什么样?

现在端点再次成为信息安全战争的中心。恶意软件感染每天都在发生，安全团队每天都在努力保护网络免受恶意代码影响。对此，Windows 10企业版引入了各种安全创新技术，例如Windows Hello多因素生物特征身份验证以及Microsoft Passport—目前完全支持FIDO(快速身份认证)联盟标准。其中可阻止恶意代码永久损害Windows 10设备的关键安全控制是Microsoft Device Guard，它可保护核心内核抵御恶意软件。Windows安全专业人士应该了解这个新的安全技术的工作原理以及企业应该将它部署在哪里以抵御Windows 10恶意软件和当今的网络攻击。

应用白名单采用信任为中心的模式，只允许明确允许执行的应用。对于一次性设备，只需要运行数量有限的已知程序，白名单是抵御恶意软件和糟糕用户行为的有效安全控制，它还可帮助抵御零日攻击、多态病毒和未知恶意软件变体。然而，考虑到企业内需要管理的应用、版本以及补丁的数量，企业很难采用应用白名单的做法。微软试图通过Device Guard来改变这种局面，让企业范围内的白名单更容易管理和执行，并可锁定用户的设备，让他们只能运行可信的应用。

Microsoft Device Guard结合硬件和软件安全功能来限制Windows 10企业操作系统，让其只能运行受信任方签名的代码--企业的代码完整性政策中定义了受信任方。对于没有加密签名的内部以及第三方开发的应用，可使用链到微软的证书进行认证，而不需要重新打包应用。只有由受信任签名者签署的更新策略可以变更设备的应用控制策略，这与AppLocker相比是显著的改进，AppLocker可被具有管理权限的攻击者访问。

Device Guard的工作原理是利用设备处理器和主板芯片组中IOMMU(输入输出内存管理单元)功能来隔离其本身与Windows的其他部分。这种虚拟化辅助安全技术利用了一种新的Hyper-V组件，称为虚拟安全模式(VSM)，这是受保护的VM，它直接位于管理程序中，并与Windows 10内核隔离。当设备启动时，通用可扩展固件接口(UEFI)安全启动可确保Windows启动组件先于其他组件启动，以防止启动工具包执行。接下来，Hyper-V虚拟安全(VBS)技术开始运行来隔离核心Windows服务，这些服务主要用于确保操作系统安全性和完整性的关键。通过阻止恶意软件在启动过程运行或启动后在内核运行，这种隔离可保护内核、特权驱动程序和系统防御(例如反恶意软件程序)。同时，可信平台模块(TPM)也将启动，这是独立的硬件组件，它可保护用户凭证和证书等敏感数据。另外，TPM可存储系统安全启动的证明，这可用来在允许设备连接到网络之前验证其完整性。