狀態分隔和隔離

• 適用於:

  HoloLens 2

狀態分隔和隔離可保護 HoloLens 2作系統的重要部分不受變更，例如作系統開機進入受信任狀態所需的部分。 使用隔離技術時，不受信任的應用程式會移至隔離的沙箱環境，以確保不會影響系統安全性。

狀態分隔

HoloLens 2 上的狀態區隔可大幅改善更新) (的安全性和服務性，並協助保護您的應用程式數據。 狀態分隔的運作方式如下：

• 核心作系統會儲存在核心作系統磁碟區中， (信任或驗證Microsoft作系統更新作系統) 。
• 可在運行時間變更的作系統部分， (例如可下載的驅動程式和設定) 、使用進一步的狀態分隔來分割數據，以及將它儲存在安全的個別儲存位置。
• 每個安全儲存位置都有與其相關聯的不同安全策略，提供各種安全性優點，如下一節所述。

狀態分隔優點

• 安全性：HoloLens 2 中精選的狀態區隔可大幅改善平臺完整性、惡意代碼防護和用戶數據保護。 藉由分隔作系統的不可變更部分，並使其成為唯讀或完整性受保護，狀態區隔會讓惡意代碼難以在冷重新啟動時持續存在。
• 匯報：使用 HoloLens 2，一旦核心作系統無法修改，且已與裝置上的其餘數據完全分開，更新就會變得簡單且可靠。 此外，狀態分隔為大幅加快更新速度打下重要基礎，讓作系統能夠在單一步驟中取代， (不可部分完成的單位) 。
• 裝置重設：HoloLens 2 重設會清除使用者在裝置上產生的數據和使用者應用程式數據，包括內部和外部儲存位置。 它會保留目前的 OS 應用程式和安全性關鍵應用程式，以及目前Microsoft和 OEM 自定義應用程式 (預安裝) 。 這些預安裝的應用程式可以在重設完成後於裝置上解除凍結

狀態分隔狀態

狀態區隔可確保作系統只能透過Microsoft受信任的裝置元件來變更，而且只允許在重新啟動期間保存高價值狀態;其他系統狀態只存在於開機會話期間，且會在重新啟動後捨棄。 讓狀態分隔可讓裝置快速回到原廠狀態。 Windows Holographic for Business 狀態可以分成下列不同類別：

• 核心作系統 – 無法變更的狀態
• 作系統數據 – 可改變狀態
• 用戶資料 – 可改變狀態

下一節會說明每個 HoloLens 2 作業狀態。

核心作系統

不可變狀態包含不可改變的可執行文件和數據，而且只能在安裝更新期間由Microsoft變更。 在這類核心作系統更新期間，會啟用包含最新所需作狀態的新映像。 無法變更的狀態會標示為唯讀 (或受到完整性保護的) ，以防止任何具有較高許可權的惡意代碼持續存在。 下列可執行檔案和資料會在不可變狀態下受到保護：

• Windows 全像攝影收件匣驅動程式
• 作系統二進位檔
• Windows 收件匣驅動程式
• 儲存在 Windows 登錄區中的靜態 Windows 全像攝影 (HKLM)
  • 範例：HKLM 會儲存電腦上所安裝應用程式的設定資訊。 它也會儲存資訊來偵測硬體和對應的驅動程式。 藉由在不可變 (完整性和只讀受保護的) 狀態中保護這些專案，我們確保核心作系統一律會開機到受信任的狀態。 此外，重設裝置時，我們可以確保裝置只會開機到此不可變區段上的元件。

作系統數據

請務必注意，可在運行時間 (變更且對作系統函式) 不重要的可執行檔和數據，可以在數據損毀或遭入侵時捨棄並重新建立。 高價值的可改變狀態是作系統在功能上必須保存的狀態，或預期會在作系統關機之間持續存在，以及/或透過支援的 Windows作系統和裝置案例跨重新啟動。 高價值可變動狀態的範例包括：

• IT 管理員 設定的全域裝置設定，例如停用所有使用者的位置。
• Wi-fi 網路連線可存取資料裝置記憶的網路和相關聯的連線密碼。
• 損毀傾印，包括設定、記錄。
• 針對新探索到的裝置隨選下載的驅動程式。 HoloLens 2 上的高價值可改變狀態位於作系統數據安全性位置，可能是磁碟上的已儲存盤案或保存的登錄區中。

使用者資料

狀態的最後一個類別代表UWP應用程式或作系統所產生或保存的用戶數據。 所有已知的使用者資料夾，例如下載、檔、影片、使用者配置檔和HKEY_CURRENT_USER區也會儲存在此位置。 如果沒有適當的認證，就無法擷取此數據;若要深入瞭解如何保護您的數據，請 參閱加密和數據保護。

隔離

為了達到此平衡，HoloLens 2 具有核心作系統，可用於開機、硬體控制、登入等主要功能。在核心作系統上執行的應用程式只有兩組 – 預安裝的應用程式和 UWP 應用程式。

程式代碼簽署

數字簽署程式代碼允許可執行檔和腳本因為由受信任來源簽署而尚未修改的證明，因此可提供真確性和完整性。 根據預設，HoloLens 2 信任的授權單位為 Microsoft 和 Microsoft Store。 IT 系統管理員可以透過 ClientCertificateInstall 和 RootCATrustedCertificates CSP，將新憑證新增至裝置。 他們也可以使用 AllowAllTrustedApps 原則 來信任其他側載或 企業營運應用程式。 如果使用「裝置」，憑證會位於儲存在 HKLM/Root 的本機電腦證書存儲中，如果使用「使用者」，則位於 HKCU 中。

Defender 保護

HoloLens 2 使用Microsoft服務為使用者提供進階的安全性層級：

• 作系統會在 Windows 全像攝影版上自動啟用 Defender SmartScreen，並防止網路釣魚和惡意代碼，以及在 Edge 上下載潛在惡意檔案。 使用者無法關閉它，但可以透過原則停用。

• Defender 防火牆會 封鎖未經授權的網路流量流向和流出您的裝置。 默認會啟用此功能，且客戶無法透過本機動作或原則進行設定。

• Windows Defender 應用程控：HoloLens 2 支援 WDAC，可讓 IT 系統管理員將應用程控原則推送至裝置。 如需詳細資訊，請參閱搭配 MSFT Intune 在 HoloLens 2 裝置上使用 WDAC。

IT 系統管理員可以透過 AllowSmartScreen 管理 SmartScreen 行為，並透過 這些原則管理瀏覽器行為。