在近期的 TechNet 上,Win 10 的系统安全指引中说明了这样一个东西 Device Guard.
按照 TechNet 的说明,Device Guard 是一个软硬结合的安全特性,组合使用时可以锁定设备并让它只运行可信的应用。如果应用不可信就不可以运行,即便是周期性的。这也意味着即使有黑客获取了 Windows 的内核控制权,在计算机重启之后也极大可能无法运行恶意可执行代码,因为这一特性设计的如此:
Device Guard 使用了全新的基于虚拟化的安全防护来从 Windows 内核中分离编码集成 (Code Integrity)服务,让这个服务使用由企业控制分发的签名来决定哪些是可信的。实际上,编码集成 (Code Integrity)服务独立于内核运行在一个被保护的管理程序容器中。
提到的另一个根本点是思路的转变,从传统的每一个程序都可以运行直到被反病毒程序或者其他安全措施隔离掉,变成企业内部控制的只运行可信软件的方式。
| Device Guard for Windows 10 |
Device Guard for Windows 10 + Virtualization extensions |
|
| Helps provide strong malware protection with enterprise manageability
在企业管理下帮助提供高等级恶意软件防护 |
X | X |
| Helps provide the most advanced malware protection ever offered on the Windows platform帮助提供在 Windows 平台下至今最强大的恶意软件防护 | X | |
| Offers improved tamper resistance提供增强的干扰防护 | X |
DeviceGuard 的作用原理
DeviceGuard 通过限制 Windows 10 操作系统运行可信程序提供保护,这一功能基于企业的指定的硬件和安全配置策略,包括如下方面:
- 用户模式代码集成
- 新的内核代码集成规则(包括新的Windows硬件质量实验室 WHQL 签名)
- 数据库控制的安全启动
- 可选:基于虚拟化的安全措施帮助保护内存、内核程序以抵抗潜在威胁
- 可选:可信平台模块2.0 TPM 2.0
DeviceGuard 可以和镜像制作一起配合使用,所以你可以为兼容设备开启虚拟化安全特性、配置代码集成策略以及其他系统设置来满足安全需求,设置完成之后 DeviceGuard 可以按照如下方式保护设备:
- 使用 UEFI 设备并且通过 SecureBoot 启动的,那么其他的 boot 套件在 Windows 10 启动之前无法使用
- 安全启动 Windows 10 boot 套件之后,Windows 10 就可以启动基于 Hyper-V 的安全服务,包括内核代码集成等,这些服务保护系统内核、验证过的驱动以及反病毒解决方案,可以阻止恶意代码在 boot 进程的早期阶段就开始有所作用
- DeviceGuard 使用 UMCI 确保在用户模式运行的任何服务,如统一平台应用、典型的 windows 程序等可信的二进制文件执行
- 同时在 Windows 启动后,TPM 也已经启动
DeviceGuard 的软硬件需求:
- Windows 10 操作系统:最低需求,新特性仅在 Windows 10 具备
- UEFI: 已有很长时间的技术,参考 secure boot 相关技术
- TrustedBoot: UEFI 中的一种特定技术
- Virtualization-based security:基于Hyper-V 的容器,感知 Windows 10 的进程,得益于容器技术和 hypervisor 的特性,即便内核被控制也具备保护能力
重要注意:使用该技术需要开启虚拟化扩展
- Package inspector tool:一种可以创建目录清单要求这些典型 windows 程序提供可信签名的工具
2015.08.07补充一个 Win8.1 及之后的 Windows 启动的过程图解:
- UEFI 启动:防止未知的操作系统启动
- 第2步是整个的蓝色大框,内核载入前期就要加载的反病毒措施,检查第三方驱动和启动代码
- TPM 记录启动中的计量数据
- 反病毒软件可以根据 TPM 计量数据向远程验证中心证明客户端是否健康,注意用词是健康而不是安全,安全是一个最低程度的健康标准;健康在 server 环境中经常用到,用来表明客户端除了安全之外,是否升级到最新的版本,是否安装了指定的补丁以及是否处于正常的生命周期等等。