Windows Defender 應用程式控制和虛擬式程式碼完整性保護

Windows 包含一組硬體和 OS 技術,在一起設定時,可讓企業「鎖定」Windows 系統,使其行為更像 kiosk 裝置。 在此組態中,Windows Defender 應用程控 (WDAC) 是用來限制裝置只執行已核准的應用程式,同時使用記憶體完整性強化 OS 來抵禦核心記憶體攻擊。

注意

記憶體完整性有時稱為 受 Hypervisor 保護的程式代碼完整性, (HVCI) Hypervisor 強制執行的程式代碼完整性,最初是作為 Device Guard 的一部分發行。 除了在 群組原則 或 Windows 登錄中尋找記憶體完整性和 VBS 設定之外,不再使用 Device Guard。

WDAC 原則和記憶體完整性是可個別使用的強大保護。 不過,當這兩項技術設定為一起運作時,它們會為 Windows 裝置提供強大的保護功能。 使用 WDAC 將裝置限制為僅限授權的應用程式,比其他解決方案有下列優點:

  1. Windows 核心會處理 WDAC 原則的強制執行,而且不需要其他服務或代理程式。
  2. WDAC 原則會在幾乎所有其他操作系統程式代碼之前,以及傳統防病毒軟體解決方案執行之前,於開機順序初期生效。
  3. WDAC 可讓您針對在 Windows 上執行的任何程式代碼設定應用程控原則,包括核心模式驅動程式,甚至是當做 Windows 一部分執行的程式代碼。
  4. 客戶甚至可以透過數位簽署原則來保護 WDAC 原則,以避免本機系統管理員遭到竄改。 變更已簽署的原則需要系統管理許可權和組織數位簽名程式的存取權。 使用已簽署的原則會讓攻擊者難以竄改 WDAC 原則,包括管理以取得系統管理許可權的攻擊者。
  5. 您可以使用記憶體完整性來保護整個 WDAC 強制機制。 即使核心模式程式代碼中有弱點存在,記憶體完整性也可大幅降低攻擊者成功利用它的可能性。 如果沒有記憶體完整性,入侵核心的攻擊者通常可以停用大部分的系統防禦,包括 WDAC 或任何其他應用程控解決方案強制執行的應用程控原則。

WDAC 與記憶體完整性之間沒有直接相依性。 您可以個別或一起部署它們,而且沒有必須部署它們的順序。

記憶體完整性依賴以 Windows 虛擬化為基礎的安全性,並具有某些較舊系統無法滿足的硬體、韌體和核心驅動程式相容性需求。

WDAC 沒有特定的硬體或軟體需求。