Windows 11
微软最新的操作系统

Windows Defender:易受攻击的驱动程序阻止列表可防止恶意或可利用的驱动程序

易受攻击的驱动程序阻止列表是 Windows Defender 在 Windows 10、Windows 11 和 Windows Server 2016 或更新设备上的一项新安全功能,可防止恶意或可利用的驱动程序。

windows-defender-vulnerable-driver-blocklist

Microsoft 企业和操作系统安全副总裁 David Weston在 Twitter 上宣布,Microsoft 易受攻击的驱动程序阻止列表是一项新的安全功能,在 Windows 10 S 模式设备和具有核心隔离功能内存完整性的设备上默认启用,Microsoft 也可能将其称为受 Hypervisor 保护的代码完整性 (HVCI),已启用。

内存完整性或 HVCI 利用 Microsoft 的 Hyper-V 技术来保护 Windows 内核模式进程免受恶意代码注入。该功能在首次发布时并未在现有设备上启用,但在新安装 Windows 的设备上似乎默认启用。

一些用户报告了启用 HVCI 的某些设备的问题,并且禁用它解决了他们遇到的问题。

新保护功能背后的核心思想是维护将被 Windows Defender 阻止的驱动程序列表,因为驱动程序至少具有以下属性之一:

  • 已知的安全漏洞,攻击者可利用这些漏洞提升 Windows 内核中的权限
  • 用于签署恶意软件的恶意行为(恶意软件)或证书
  • 非恶意但绕过 Windows 安全模型且可被攻击者利用以提升 Windows 内核权限的行为

Microsoft 与硬件供应商和 OEM 合作维护黑名单。可疑的驱动程序可能会提交给 Microsoft 进行分析,制造商可能会要求对易受攻击的阻止列表中的驱动程序进行更改,例如,在修补问题之后。

在 S 模式下运行 Windows 10 的设备和启用了 HVCI 的设备在向设备推出该功能后可抵御这些安全威胁。

memory-integrity

Windows 用户和管理员可以通过以下方式在非 Windows 10 S 模式设备上启用内存完整性先决条件:

  1. 选择开始,然后选择设置,或使用键盘快捷键 Windows-I 打开设置应用程序。
  2. 在 Windows 10 上,转到更新和安全 > Windows 安全。选择打开 Windows 安全。
  3. 在 Windows 11 上,转到隐私和安全 > Windows 安全 > 选择打开 Windows 安全。
  4. 从左侧边栏中选择设备安全性。
  5. 激活“核心隔离详细信息”链接。
  6. 将内存完整性设置切换为开以启用该功能。
  7. 重启设备。

一旦该功能可用,Windows 管理员将在 Windows 安全的核心隔离页面上看到新的 Microsoft 易受攻击的驱动程序阻止列表。该功能可以打开或关闭,也可以通过其他方式进行管理。David Weston 指出,将其打开将启用更具侵略性的黑名单。

微软表示它建议启用 HVCI 或使用 S 模式,但管理员也可以使用现有的 Windows Defender 应用程序控制策略阻止列表中的驱动程序。该文档列出了一个 XML 文件,其中包含可供使用的已阻止驱动程序。

赞(0) 打赏
未经允许不得转载:Win 11系统之家 » Windows Defender:易受攻击的驱动程序阻止列表可防止恶意或可利用的驱动程序

虚拟币交易所最新域名,持续更新最新地址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏