状态分离和隔离

• 适用于:

  HoloLens 2

状态分离和隔离可防止HoloLens 2作系统的关键部分发生更改，例如作系统启动到受信任状态所需的部分。 使用隔离技术，将不受信任的应用移动到隔离的沙盒环境，以确保它们不会影响系统安全性。

状态分离

HoloLens 2上的状态分离极大地提高了 (更新) 的安全性和可维护性，并有助于保护应用程序数据。 状态分离的工作原理如下：

• 核心作系统存储在核心作系统卷中， (受信任或验证Microsoft作系统更新作系统) 。
• 可在运行时更改的作系统部分， (例如可下载的驱动程序和配置) ，使用进一步的状态分离来对数据进行分区，并将其存储在安全的单独存储位置。
• 每个安全存储位置都有与之关联的不同安全策略，提供不同的安全优势，如以下部分所述。

状态分离优势

• 安全性：HoloLens 2中提供的状态分离显著提高了平台完整性、恶意软件防护和用户数据保护。 通过将作系统的不可更改部分分离并使其为只读或完整性保护，状态分离使得恶意软件在冷重新启动时难以持久保存。
• 汇报：使用 HoloLens 2，一旦核心作系统不可修改，并且已与设备上的其余数据完全分离，更新就会变得简单可靠。 此外，状态分离为大幅加快更新奠定了重要基础，从而允许在原子单元) (一个步骤中替换作系统。
• 设备重置：HoloLens 2重置会清除设备上的用户生成的数据和用户应用数据，包括内部和外部存储位置。 它保留当前 OS 应用和安全关键应用，以及当前Microsoft和 OEM 自定义应用 (预安装) 。 重置完成后，这些预安装的应用可以在设备上解除冻结

状态分离状态

状态分离确保作系统只能由Microsoft受信任的设备组件更改，并且仅允许高价值状态在重新启动后保留;其他系统状态仅在启动会话期间存在，并在重新启动后被丢弃。 状态分离可快速将设备恢复为出厂状态。 Windows Holographic for Business状态可分为以下不同类别：

• 核心作系统 - 不可更改状态
• 作系统数据 - 可更改状态
• 用户数据 - 可更改状态

以下部分介绍了其中每个HoloLens 2运行状态。

核心作系统

不可变状态包括不可更改的可执行文件和数据，只能在安装更新期间Microsoft进行更改。 在核心作系统的此类更新期间，将启用包含最新所需作状态的新映像。 不可更改状态被标记为只读 (否则会受到完整性保护) ，从而防止任何具有提升权限的恶意软件的持久性。 以下可执行文件和数据处于不可变状态受到保护：

• Windows Holographic 收件箱驱动程序
• 作系统二进制文件
• Windows 收件箱驱动程序
• 存储在 Windows 注册表配置单元中的静态 Windows 全息设置 (HKLM)
  • 示例：HKLM 存储计算机上安装的应用的配置信息。 它还存储用于检测硬件和相应驱动程序的信息。 通过在不可变 (完整性和只读受保护的) 状态中保护它们，我们可确保核心作系统始终启动到受信任的状态。 此外，重置设备时，我们可以确保设备仅启动到此不可变部分中的组件。

作系统数据

请务必注意，在运行时 (可更改且对作系统功能) 不重要的可执行文件和数据在数据损坏或泄露时会被丢弃并重新创建。 在功能上需要高值可更改状态才能由作系统持久保存，或者预计在作系统关闭和/或重新启动时由受支持的 Windows作系统和设备方案保留。 高值可变状态的示例包括：

• IT 管理员配置的全局设备设置，例如禁用所有用户的位置。
• Wi-Fi 网络连接访问数据设备记住的网络和关联的连接密码。
• 故障转储，包括设置、日志。
• 为新发现的设备按需下载的驱动程序。 HoloLens 2上的高值可更改状态驻留在作系统数据安全位置上，可以是磁盘上保存的文件，也可以是持久注册表配置单元中的文件。

用户数据

最后一类状态表示 UWP 应用程序或作系统生成或保留的用户数据。 所有已知的用户文件夹（如下载、文档、视频、用户配置文件和HKEY_CURRENT_USER配置单元）也存储在此位置。 如果没有适当的凭据，无法提取此数据;若要详细了解如何保护数据，请参阅 加密和数据保护。

隔离

为了实现这种平衡，HoloLens 2具有一个核心作系统，用于启动、硬件控制、登录等主要功能。只有两组应用程序在核心作系统上运行 - 预安装的应用程序和 UWP 应用。

代码签名

通过数字签名代码，可以证实可执行文件和脚本由受信任的源签名后尚未修改，因此可提供真实性和完整性。 默认情况下，HoloLens 2信任的颁发机构Microsoft和Microsoft Store。 IT 管理员可以通过 ClientCertificateInstall 和 RootCATrustedCertificates CSP 向设备添加新证书。 他们还可以使用 AllowAllTrustedApps 策略 信任其他旁加载 应用或业务线应用。 使用“设备”时，证书驻留在 HKLM/Root 中存储的本地计算机证书存储中;如果使用“用户”，则驻留在 HKCU 中。

Defender 保护

HoloLens 2使用Microsoft服务为用户提供高级安全级别：

• Defender SmartScreen 由作系统在 Windows 全息版上自动启用，并防止网络钓鱼和恶意软件，以及在 Edge 上下载潜在的恶意文件。 用户无法将其关闭，但可以通过策略禁用。

• Defender 防火墙 阻止未经授权的网络流量流入和流出设备。 默认情况下，它已启用，客户无法通过本地作或策略进行配置。

• Windows Defender 应用程序控制：HoloLens 2支持 WDAC，它允许 IT 管理员将应用程序控制策略推送到设备上。 有关详细信息，请参阅在具有 MSFT Intune的 HoloLens 2 设备上使用 WDAC。

IT 管理员可以通过 AllowSmartScreen 管理 SmartScreen 行为，并通过 这些策略管理浏览器行为。