Windows 10 设备防护:对抗进化威胁的五大安全支柱

本文详细介绍了Windows 10 Enterprise的设备防护功能,通过硬件安全UEFI安全启动、虚拟化安全技术、代码完整性验证、TPM硬件保护和集中管理五大支柱,有效防御APT攻击、零日漏洞和新型恶意软件。

设备防护:进化威胁对抗,Windows 10 的安全功能

我是安全响应团队的莫里斯!今天介绍 Windows 10 Enterprise 的安全功能“设备防护”。大致来说,设备防护是可控制可执行应用程序和驱动程序的若干功能的总称。在巧妙的目标型攻击(APT)、新型和变种病毒、零日攻击等流行的现代,是企业有效的对抗措施之一。

背景

近年来,企业必须应对的攻击变得更加巧妙和现实,这已经是耳熟能详的话题。据说每天新增超过30万个新型和变种病毒。无论是热门的初创公司还是知名大企业,信息泄露的报道屡见不鲜。此外,还有预算几乎无限的犯罪组织和情报机构的崛起。

为了对抗上述进步威胁,设备防护颠覆了传统的病毒防护软件方法。设备防护不是逐个应对不断出现的病毒和恶意软件,而是只允许企业信任的软件运行。无论是内核模式驱动程序还是用户模式应用程序,基本上不运行不受信任的应用程序。(脚本根据脚本类型和执行环境,有的受限制,有的不受限制。)通过这种限制,设备防护有助于预防使用多态代码的病毒和零日攻击。

设备防护的五大支柱

  1. 硬件安全 UEFI 安全启动
    利用 UEFI 安全启动,开机后启动 Windows 10。包括恶意启动工具在内,签名无效的代码不会执行。

  2. 虚拟化技术实现的 OS 核心防护(Virtualization Based Security = VBS)
    Windows 的内核和核心服务(如本地安全认证服务、虚拟 TPM(仅服务器)、HVCI = Hypervisor Code Integrity 等)通过类似于 Hyper-V 虚拟化的 Type 1 虚拟机监控程序技术,隔离在 VSM=Virtual Secure Mode 中。这样,即使是本地管理员或夺取了本地管理员权限的恶意软件,也难以篡改核心服务。也有助于对抗 Pass-the-Hash 攻击。

  3. 仅运行可信应用程序和驱动程序,如同智能手机
    通过内核模式代码完整性(KMCI)和用户模式代码完整性(UMCI),只允许运行可信的应用程序和驱动程序。KMCI 确保只有由可信证书签名的驱动程序才能运行。UMCI 确保只有由可信证书签名的应用程序(Universal Windows Platform = UWP 应用程序、Classic Windows 应用程序)才能运行。可信证书可由管理员设置。

  4. TPM 保护机密信息
    如果有 TPM,Windows 10 Enterprise 启动时 TPM 也会启动。TPM 提供隔离的硬件组件,用于保护用户认证信息和凭据等机密信息。

  5. 通过 GP、MDM 或 PowerShell 进行简单管理
    OEM 或企业 IT 部门可以通过组策略(GP)、移动设备管理(MDM)或 PowerShell 进行配置和管理。

注意事项

  • 使用设备防护需要 Windows 10 Enterprise。

  • 硬件要求请参考 Device Guard overview(英文)。

  • 设备防护由 OEM 或企业 IT 部门配置。

  • 不仅适用于通用应用程序,也适用于 Classic Windows(Win32 桌面应用程序)。应用程序签名方法有四种:

    1. Windows Store 签名
    2. PKI 或企业证书签名
    3. 非微软签名机构签名
    4. 微软网络服务签名(即将发布)

  • 无论开发者是否有签名,现有的内部应用程序都可以签名。内部应用程序签名方法的详细信息请参考此处(英文)。

  • 设备防护作为严格工具,适用需谨慎考虑。适用于企业完全管理的设备或只运行特定应用程序的设备,不适合 BYOD 环境或用户需要自由安装未管理应用程序的环境。

最后

通过 Windows 10 Enterprise 的设备防护,可以像移动设备一样限制系统中可执行的代码。在适合的环境中引入,可以作为目标型攻击和新型及变种病毒的对抗手段。对企业来说,这是能够逆转与攻击者力量平衡的工具。技术细节和引入方法,请务必参考以下链接。

参考链接

Windows 10 相关博客

更新历史

2016/5/13: 更新了关于脚本的说明。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次