- 微软的易受攻击的驱动程序阻止列表可防御不安全或恶意的驱动程序。
- 该功能内置于 Windows 10、11 和 Server 中,可由 Microsoft 管理和更新。
- 它的激活是抵御 BYOVD 攻击和勒索软件的关键,可降低系统内核的风险。
如今, 计算机安全 这是任何用户或系统管理员优先关注的问题之一。新的威胁不断出现,试图利用漏洞。这就是 Microsoft 易受攻击的驱动程序黑名单 o Microsoft 易受攻击的驱动程序阻止列表。该功能在现代版本的 Windows 中具有特殊的意义。
Windows 安全中最脆弱的领域之一是 控制器或驱动程序。这个虽小但至关重要的软件容易受到各种 袭击,例如可怕的 BYOVD(“自带易受攻击的驾驶员”)。 在本文中,我们将解释您需要了解的有关此阻止列表的知识以及它的工作原理。
什么是 Microsoft 易受攻击驱动程序阻止列表?
Microsoft 易受攻击的驱动程序阻止列表是 Windows 内置的安全功能 以及其主要的保护解决方案,例如 微软后卫。其目的是防止在操作系统中加载和执行危险的驱动程序。这些驱动程序通常由第三方而不是微软自己开发,可能存在安全漏洞,甚至是恶意设计的,这使它们成为高级攻击的理想网关。
该列表的工作原理如下 一种“黑名单” 其中包括满足以下一个或多个特征的控制器:
- 已识别的漏洞:驱动程序的弱点可被利用来提升 Windows 内核中的权限或绕过保护。
- 恶意行为:包含可能造成损害、安装恶意软件的代码或使用与恶意软件相关的证书进行签名的驱动程序。
- 违反 Windows 安全模型:驱动程序不一定是恶意的,但可以绕过操作系统的安全限制。
简而言之,微软的黑名单充当 防止潜在危险司机驾驶的防护罩,即使他们有数字签名和有效认证。这加强了 Windows 保护的最关键层之一——内核,并大大增加了网络犯罪分子的工作难度。
黑名单的工作原理:它如何保护您的计算机
La Microsoft 易受攻击的驱动程序黑名单 它不是一个静态元素,而是 一个不断更新的生命机制。 微软与硬件制造商 (IHV) 和 OEM 合作,主动监控驱动程序生态系统,以识别和阻止构成威胁的组件。
当驱动程序被识别为易受攻击、恶意或与 Windows 安全标准不兼容时,它会被添加到列表中,并自动阻止在阻止列表处于活动状态的计算机上加载。根据系统的版本和配置,可以通过以下几种方式完成:
- 内存完整性(HVCI 或 管理程序保护的代码完整性):如果启用(许多新的 Windows 11 PC 上默认启用),阻止列表将通过阻止其中包含的驱动程序生效。
- 安全模式:在 S 模式下运行的 Windows 设备拥有更可控、更安全的环境,并且默认启用了黑名单。
- Windows Defender 中的应用程序控制(商业应用程序控制):允许管理员通过自己的安全策略应用推荐列表。
- Windows 安全中心(系统应用):自 Windows 11 22H2 起,该功能默认启用,可从设备安全 > 核心隔离界面进行管理。
阻止列表到底阻止了哪些驱动程序?
并非所有驱动程序都受阻止列表约束,只有那些 符合某些客观标准而构成潜在危险的物质。 将驾驶员添加到此列表中的最常见原因包括:
- 存在安全漏洞 已知且有据可查。
- 在主动攻击中检测到了它的使用,包括勒索软件、恶意软件或高级持续性威胁的利用。
- 使用与恶意活动相关的证书 用于您的数字签名。
- 允许绕过 Windows 安全模型的行为,尽管它不是经典的恶意软件。
名单上可能还包含磁盘实用程序的旧驱动程序、高级硬件管理程序、虚拟化软件,甚至是某些安全性已受到威胁的外围设备的驱动程序。
黑名单更新和支持
Microsoft 易受攻击驱动程序阻止列表的一大优势在于 这是一个动态列表,会随着时间的推移而不断维护。 微软会随着 Windows 的每个新主要版本更新它(通常每年一次或两次重大更新)。此外,如果出现新的威胁,您可以通过 Windows 更新或手动下载发布特定补丁。
虽然黑名单提供了非常高的防御级别, 它的激活可能会对硬件或软件的兼容性和操作产生一定的副作用。 例如,如果某个特定设备的必要驱动程序被阻止,它可能会停止正常工作,在极少数情况下甚至会导致蓝屏死机 (BSOD)。
通过天蛾, 微软建议首先在审核模式下验证策略,并在强制永久阻止之前检查阻止事件。 在企业环境中,这是通过应用程序控制和相应的策略来完成的,允许您监控哪些驱动程序会被阻止并根据具体情况做出决定。
作为一般规则,黑名单足够完善,以最大限度地减少误报和 平衡保护以避免潜在的兼容性问题。 然而,在具有非常特殊的硬件或较旧的软件的系统上可能会发生意外的冲突。在这种情况下,最好通过 Microsoft 渠道报告该问题,以便我们讨论删除或更新受影响的驱动程序。
如何启用或禁用 Microsoft 易受攻击驱动程序阻止列表
根据 Windows 版本和设备设置, 可以默认启用或禁用阻止列表。 自 Windows 11 版本 22H2 发布以来,该功能已在所有设备上启用,但仍可手动管理。
那里 控制黑名单状态的两种主要方法:
- 从 Windows 安全界面:
- 打开 Windows 安全应用程序(在开始菜单中搜索)。
- 转到“设备安全”部分,然后转到“核心隔离”。
- 在该屏幕上,根据需要启用或禁用“Microsoft 易受攻击的驱动程序阻止列表”选项。
- 在旧版本(Windows 10 或 11 21H2)中,该选项可能不会出现或可能需要您先启用 HVCI。
- 使用 Windows 注册表:
- 打开注册表编辑器(regedit.exe)。
- 导航到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CI\Config。
- 编辑或创建 DWORD 值“VulnerableDriverBlocklist”,分配 1 以启用该功能,或分配 0 以禁用该功能。
更改后建议重启计算机以使设置生效。
给用户和公司的建议
为了最大限度地利用 Microsoft 易受攻击驱动程序阻止列表提供的保护,家庭用户和系统管理员都应遵循几个简单的步骤: 良好做法:
- 始终保持操作系统完全更新因为新版本通常会对黑名单和 Windows 内核保护进行重大改进。
- 定期检查黑名单是否有效 从 Windows 安全应用程序(尤其是在重大系统更新或设置更改之后)。
- 在企业环境中,部署适用于企业的应用程序控制策略 确保所有设备都继承列表的最新版本,并在实施永久性阻止之前监视潜在问题。
- 首先在审核模式下验证策略,以尽量减少兼容性冲突并解决可能出现的误报。
- 请继续关注 Microsoft 安全公告 和硬件制造商了解可能受影响的新驱动程序。
- 向 Microsoft 提交可疑驱动程序 使用官方工具和门户,为全球保护的不断改进做出贡献。
Microsoft 易受攻击驱动程序阻止列表的高级管理:下载和手动应用
对于高级用户和企业,Microsoft 提供了 从您的下载门户下载二进制或 XML 格式的最新版本的阻止列表。 这在需要最大程度控制的情况下,或者出于安全或合规性原因,您不想仅依赖自动更新的情况下很有用。
通常的程序如下:
- 下载政策更新工具 应用控制.
- 获取并提取易受攻击的驱动程序阻止列表二进制文件。
- 选择适当的文件(审计或应用版本)并将其重命名为 SiPolicy.p7b。
- 将 SiPolicy.p7b 复制到 %windir%\system32\CodeIntegrity 位置。
- 运行更新工具来激活并更新所有应用程序控制策略。
重新启动计算机后,您可以通过查看 Windows 事件查看器中 CodeIntegrity 日志下的 3099 事件来验证该策略是否已正确应用。
对用户体验的影响和已知问题
尽管有这些优势,但并非一切都是光明的。 黑名单管理可能会给最终用户带来一些不便,尤其是在具有高度定制需求的系统中。 最常见的问题通常包括:
- 与旧硬件或旧程序不兼容 其开发已经停止,并且其驱动程序尚未更新以满足新的安全标准。
- 可能出现误报 这会阻止完全合法但不常见的驱动程序,从而导致设备无法运行。
- 蓝屏死机(BSOD)案例 如果一个重要的启动元素被错误地阻止。
为什么黑名单在今天至关重要
BYOVD 攻击、对被遗忘驱动程序的利用以及恶意软件的复杂性使得 系统核心的保护 比以往任何时候都更加重要。网络犯罪分子已经证明他们可以利用任何漏洞,而易受攻击的驱动程序代表着最危险的后门之一,其运行水平非常低,以至于他们可以禁用或操纵几乎任何其他安全措施。
微软维护与供应商和安全社区相连的集中式动态黑名单的策略是 对影响个人用户和大型组织的威胁的最佳响应。
保持 Microsoft 易受攻击驱动程序阻止列表处于活动状态并更新是加强 Windows 安全性并使网络犯罪分子更难攻击的最简单、最有效的方法之一。建议管理员将其与其他保护策略结合使用,并建议家庭用户定期检查 Windows 安全中的设置;这大大提高了您的数据和系统的保护和安心。
专门研究技术和互联网问题的编辑,在不同数字媒体领域拥有十多年的经验。我曾在电子商务、通讯、在线营销和广告公司担任编辑和内容创作者。我还在经济、金融和其他领域的网站上撰写过文章。我的工作也是我的热情所在。现在,通过我的文章 Tecnobits,我尝试探索技术世界每天为我们提供的所有新闻和新机会,以改善我们的生活。