程式代碼完整性的應用程控和虛擬化型保護
Windows 包含一組硬體和 OS 技術,在一起設定時,可讓企業「鎖定」Windows 系統,使其行為更像 kiosk 裝置。 在此設定中, 商務用應用程控 會用來限制裝置只執行已核准的應用程式,而 OS 則會使用 記憶體完整性強化作業系統來抵禦核心記憶體攻擊。
注意
記憶體完整性有時稱為 受 Hypervisor 保護的程式代碼完整性, (HVCI) 或 Hypervisor 強制執行的程式代碼完整性,最初是作為 Device Guard 的一部分發行。 除了在 群組原則 或 Windows 登錄中尋找記憶體完整性和 VBS 設定之外,不再使用 Device Guard。
應用程控原則和記憶體完整性是功能強大的保護,可個別使用。 不過,當這兩項技術設定為一起運作時,它們會為 Windows 裝置提供強大的保護功能。 使用應用程控將裝置限制為僅限授權的應用程式,比其他解決方案有下列優點:
- Windows 核心會處理應用程控原則的強制執行,而且不需要其他服務或代理程式。
- 應用程控原則會在幾乎所有其他操作系統程式代碼之前以及傳統防病毒軟體解決方案執行之前,於開機順序初期生效。
- 應用程控可讓您針對在 Windows 上執行的任何程式代碼設定應用程控原則,包括核心模式驅動程式,甚至是當做 Windows 一部分執行的程式代碼。
- 客戶甚至可以透過數位簽署原則來保護應用程控原則,以避免本機系統管理員遭到竄改。 變更已簽署的原則需要系統管理許可權和組織數位簽名程式的存取權。 使用已簽署的原則會讓攻擊者難以竄改應用程控原則,包括管理以取得系統管理許可權的攻擊者。
- 您可以使用記憶體完整性來保護整個應用程控強制機制。 即使核心模式程式代碼中有弱點存在,記憶體完整性也可大幅降低攻擊者成功利用它的可能性。 如果沒有記憶體完整性,入侵核心的攻擊者通常可以停用大部分的系統防禦,包括應用程控或任何其他應用程控解決方案強制執行的應用程控原則。
應用程控與記憶體完整性之間沒有直接相依性。 您可以個別或一起部署它們,而且沒有必須部署它們的順序。
記憶體完整性依賴以 Windows 虛擬化為基礎的安全性,並具有某些較舊系統無法滿足的硬體、韌體和核心驅動程式相容性需求。
應用程控沒有特定的硬體或軟體需求。