Windows 10中的Device Guard阻止恶意软件

Windows 10 中的Device Guard是一种固件，它不会让未经身份验证的未签名未授权程序以及操作系统加载。我们已经讨论过我们如何需要一个操作系统来执行所有的操作，并将它们加载到RAM中执行。尽管我们没有太多的选择，但仅仅依赖于反恶意软件，这些日子并不是一件明智的事情。反恶意软件是一个单独的应用程序，需要在开始扫描正在加载到内存中的应用程序之前将其加载到内存中。

我们之前讨论过Windows 8.1如何成为反恶意软件操作系统。它在自身和其他应用程序上运行，以便在加载界面之前查看它们是否是计算机所需的真正应用程序，以便在正在运行的计算机上添加安全级别。简而言之，它提供了 可信任引导，一种引导时间恶意软件保护服务，以防止恶意软件陷入困境。但是恶意软件编写者很聪明，他们可以使用某些技术来绕过这种检查。因此，微软已经引入了另一个功能，可以在启动过程中采取更强硬的反恶意软件措施。

Windows 10中的Device Guard

随着安全问题的不断升级，微软现在引入了一个固件，在启动之前，只允许加载正确签名的应用程序和脚本。这被称为 Windows Device Guard ，并且OEM准备好将其安装到他们制造的计算机上。

Device Guard是微软在Windows 10中最高级别的安全功能之一。OEM，如宏碁，富士通，惠普，NCR，Lenovo，PAR和Toshiba也都认可它。

Device Guard是硬件和软件安全功能的组合，如果配置在一起，它将锁定设备，使其只能运行受信任的应用程序。它使用Windows 10中新的基于虚拟化的安全机制，将代码完整性服务与Windows内核本身隔离开来，让服务使用企业控制策略定义的签名来帮助确定可信的内容。

设备的基本功能在 Windows 10 中的Guard将在引导过程之前和期间测试每个正在加载到内存中执行的进程。它会根据应用程序的正确签名来检查真实性，并防止任何缺乏正确签名的进程加载到内存中。

Microsoft的Device Guard采用嵌入在硬件级别的技术 - 而不是软件级别，这可能会漏检恶意软件。它还采用虚拟化技术来实现正确的决策过程，这将告诉计算机要允许的内容以及防止加载到内存中的内容。即使攻击者完全控制安装了防护装置的系统，这种隔离也可以防止恶意软件。他们可能会尝试，但无法执行代码，因为Guard有自己的算法，可以阻止恶意软件的执行。

微软说：

这比传统的反病毒软件具有明显的优势， AppLocker，Bit9等应用程序控制技术以及受管理员或恶意软件篡改的其他应用程序控制技术。

Device Guard与防病毒软件

Windows用户仍需要安装反恶意软件才能在其设备上运行以查找恶意软件来自其他来源。 Windows Device Guard将保护您的唯一方法是在启动期间尝试加载到内存中的恶意软件，在该防病毒软件能够保护您之前。

由于新的Device Guard可能无法访问宏中的内容文件和基于脚本的恶意软件，微软表示用户除Guard外还必须使用反恶意软件。 Windows现在具有内置的称为Windows Defender的反恶意软件。您可以依靠它或使用第三方反恶意软件来更好地保护自己。

Device Guard是否允许其他操作系统

Windows Guard将只允许在启动期间处理预先批准的应用程序。 IT开发人员可以选择允许受信任的供应商提供所有应用程序，或者可以对其进行配置以检查每个应用程序的审批。不管配置如何，Windows Guard都将只允许批准的应用程序运行。在大多数情况下，批准的应用程序将由应用程序开发人员的签名决定。

这为启动选项提供了一个转折点。那些没有经过验证的数字签名的操作系统将不会被Windows Guard允许加载。然而，获取任何应用程序或操作系统以获得认证并不需要太多。

Device Guard所需的硬件和软件

要使用Device Guard，需要安装和配置以下硬件和软件：

1. Windows 10. Device Guard仅适用于运行Windows 10的设备。
2. UEFI。它包含一项称为安全启动的功能，可帮助保护设备在固件本身内的完整性。
3. 受信任的引导。这是一种体系结构变更，有助于防御rootkit攻击。
4. 基于虚拟化的安全性。受Hyper-V保护的容器，可隔离敏感的Windows 10进程。 T
5. 包装检查工具。一种可帮助您创建需要对经典Windows应用程序进行签名的文件的目录

您可以在TechNet上阅读有关此内容的更多信息。

在Windows 10中阅读有关Enterprise Data Protection的详细信息。