注意
适用于企业的 App Control 的某些功能仅适用于特定 Windows 版本。 详细了解 应用控制功能可用性。
Microsoft对内核中运行的代码有严格的要求。 因此,恶意参与者正在利用合法且已签名的内核驱动程序中的漏洞在内核中运行恶意软件。 Windows 平台的众多优势之一是我们与独立硬件供应商 (IHV) 和 OEM 的紧密协作。 Microsoft与我们的 IHV 和安全社区密切合作,确保为客户提供最高级别的驱动程序安全性。 发现驱动程序中的漏洞后,我们会与合作伙伴合作,确保快速修补这些漏洞并将其推广到生态系统。 易受攻击的驱动程序阻止列表旨在通过以下任何属性帮助强化系统,使其免受 Windows 生态系统中非Microsoft开发的驱动程序的侵害:
- 攻击者可能利用的已知安全漏洞来提升 Windows 内核中的特权
- 恶意行为 (恶意软件) 或用于对恶意软件进行签名的证书
- 不是恶意行为,但会绕过Windows 安全中心模型,攻击者可以利用这些行为来提升 Windows 内核中的特权
驱动程序可以提交到Microsoft,以便在Microsoft 安全智能驱动程序提交页进行安全分析。 有关驱动程序提交的详细信息,请参阅 使用新的Microsoft易受攻击和恶意驱动程序报告中心提高内核安全性。 若要报告问题或请求更改阻止列表(包括修复驱动程序后更新阻止规则),请访问Microsoft 安全智能门户。
注意
阻止驱动程序可能会导致设备或软件出现故障,在极少数情况下会导致蓝屏。 不保证易受攻击的驱动程序阻止列表会阻止发现存在漏洞的每个驱动程序。 Microsoft尝试平衡易受攻击的驱动程序的安全风险和对兼容性和可靠性的潜在影响,以生成阻止列表。 与往常一样,Microsoft建议尽可能使用显式允许列表方法来实现安全性。
Microsoft易受攻击的驱动程序阻止列表
使用 Windows 11 2022 更新时,默认为所有设备启用易受攻击的驱动程序阻止列表,并且可以通过 Windows 安全中心 应用打开或关闭。 除Windows Server 2016外,当内存完整性 (也称为虚拟机监控程序保护的代码完整性或 HVCI) 、智能应用控制或 S 模式处于活动状态时,也会强制实施易受攻击的驱动程序阻止列表。 用户可以使用 Windows 安全中心 应用选择加入 HVCI,并且对于大多数新Windows 11设备,HVCI 默认处于启用状态。
注意
Windows 安全中心独立于 OS 进行更新,并随附现成。 具有易受攻击的驱动程序阻止列表切换的版本处于最终验证通道中,并将很快交付给所有客户。 最初,只能查看配置状态,并且切换将灰显。打开或关闭开关的功能将随将来的 Windows 更新一起提供。
对于 Windows 预览体验成员,启用 HVCI、智能应用控制或 S 模式时,使用Windows 安全中心设置打开或关闭Microsoft易受攻击的驱动程序阻止列表的选项将灰显。 必须禁用 HVCI 或智能应用控制,或将设备切换为 S 模式,然后重启设备,然后才能关闭Microsoft易受攻击的驱动程序阻止列表。
阻止列表随 Windows 的每个新主要版本一起更新,通常每年更新 1-2 次。 最新的阻止列表现在也可用于 Windows 10 20H2 和 Windows 11 21H2 用户,作为Windows 更新的可选更新。 Microsoft偶尔会通过常规 Windows 服务发布将来的更新。
始终需要最新驱动程序阻止列表的客户也可以使用适用于企业的 App Control 应用推荐的最新驱动程序阻止列表。 为方便起见,本文末尾提供了最新的易受攻击驱动程序阻止列表的下载内容,以及将其应用于计算机的说明。
使用应用控制阻止易受攻击的驱动程序
Microsoft建议启用 HVCI 或 S 模式,以保护设备免受安全威胁。 如果无法进行此设置,Microsoft建议在现有企业应用控制策略中阻止 此驱动程序列表 。 在未进行充分测试的情况下阻止内核驱动程序可能会导致设备或软件发生故障,在极少数情况下会导致蓝屏。 建议首先在 审核模式下 验证此策略,并查看审核块事件。
重要提示
Microsoft还建议启用攻击面减少 (ASR) 规则 阻止滥用易受攻击的已签名驱动程序 ,以防止应用程序将易受攻击的已签名驱动程序写入磁盘。 ASR 规则不会阻止系统上已存在的驱动程序加载,但是启用 Microsoft易受攻击的驱动程序阻止列表 或应用此应用控制策略将阻止加载现有驱动程序。
下载和应用易受攻击的驱动程序阻止列表二进制文件的步骤
如果希望应用易受攻击的驱动程序阻止列表,请执行以下步骤:
- 下载 应用控制策略刷新工具
- 下载并提取 易受攻击的驱动程序阻止列表二进制文件
- 选择“仅审核版本”或“强制版本”,并将文件重命名为 SiPolicy.p7b
- 将 SiPolicy.p7b 复制到 %windir%\system32\CodeIntegrity
- 运行在上述步骤 1 中下载的应用控制策略刷新工具,以激活和刷新计算机上的所有应用控制策略
若要检查已成功在计算机上应用策略,请执行以下作:
- 打开事件查看器
- 浏览到 应用程序和服务日志 - Microsoft - Windows - CodeIntegrity -作
- 选择 “筛选当前日志...”
- 将“<所有事件 ID>”替换为“3099”,然后选择“确定”。
- 查找 3099 事件,其中 PolicyNameBuffer 和 PolicyIdBuffer 与本文阻止列表应用控制策略 XML 底部的 Name 和 Id PolicyInfo 设置匹配。 注意:如果还存在其他应用控制策略,则计算机可能有多个 3099 事件。
注意
如果任何易受攻击的驱动程序已在运行,而该驱动程序会被策略阻止,则必须重新启动计算机才能阻止这些驱动程序。 在不重新启动的情况下激活新的应用控制策略时,正在运行的进程不会关闭。
易受攻击的驱动程序阻止列表 XML
建议的阻止列表 xml 策略文件可以从 Microsoft下载中心下载。
此策略包含 “允许所有” 规则。 如果你的 Windows 版本支持多个应用控制策略,我们建议将此策略与任何现有应用控制策略一起部署。 如果确实计划将此策略与另一个策略合并,则如果另一个策略应用显式允许列表,则可能需要先删除 “全部允许 ”规则,然后再将其合并。 有关详细信息,请参阅 创建应用控制拒绝策略。
注意
若要将此策略与Windows Server 2016一起使用,必须在运行较新作系统的设备上转换策略 XML。