微软近期透露了基于管理程序技术的更详细内容
微软已经发布了Win10中新的设备保护功能的技术指南-其中包括如何配置饭恶意软件技术,以及你需要什么硬件支持软件。
我们第一次听说设备保护是在2015年4月旧金山举行的RSA大会上,之后的一个月里只有很少的信息被透露出来。回到当时,它的技术形式似乎是把操作系统的关键部分伸入硬件保护区,硬件保护区被用来抵抗来自应用和Windows操作系统其他部分的侵害。
这个区域被IOMMU和负责确保内核层驱动、其他高权限代码的计算机处理器以及其他插入机器的设备来引导,这个区域无法与操作系统的重要部分进行交互-这个部分在app运行前验证其合法性。IOMMU通过锁定触及系统内存的硬件来工作,防止操作系统和App干预驱动和设备。最后,它会关闭路由到操作系统的最低层。
微软已经确认,或者说,已经在解释设备保护是如何工作的上面花费了很长时间。”用于运行微软Hyper-V虚拟机的type-1 hypervisor技术与分隔Windows服务内核到基于虚拟的保护容器的技术是同一种技术。”TechNet上周发表的一篇文章中解释到。
“这种隔离从用户和内核模式删除这些服务,同时阻隔当今大多数恶意软件。”
换句话说,微软移除了检查驱动和内核层代码放入恶意软件无法触及的容器中时是否合法。这就意味着即使一个恶意软件计划in如Windows操作系统,它也无法破解保护的最后一层。考虑到这点,设备保护的所有其他特征可以建立在这个基础上。
代码签名
设备保护旨在企业和其他大型机构的一些部分看起来像在Windows RT和Windows Phone中实用的保护机制。运行Windows RT和Phone的平板电脑和智能手机被锁定于使用微软加密签名的代码以及你的IT部门允许运行的。现在这些都被移到了Windows 10上。
“从历史上看,UMCI[用户模式代码的完整性]旨在Windows RT和Windows Phone设备,这使得这些设备很难被感染病毒和恶意软件,”TechNet声称。
“在Windows 10中,UMCI标准是可用的。从历史上看,大多数恶意软件一直未签名。通过简单的部署代码完整性策略,组织就可以立刻保护自己免受未签名的恶意软件的侵害,这种方法可以防止95%以上的即刻攻击。”
最重要的是,它可以有选择的把你工作的PC转移到运行审核后的软件的其他手机里,比如苹果。
通过代码完整性策略,一个企业可以精确的选择哪些二进制文件被允许在这用户模式和内核模式下运行,从签名到散列层。当完全执行时,Windows功能的用户模式比如手机,通过允许特定的受信任的应用或签名来运行。
我们被告知此代码的完整性是可以配置的:企业无需修改代码就可以进行软件签名,或者外部受信任的app。改代码的完整性可以从设备保护独立出来,但是微软希望你一起使用。
还有一种叫做凭据保护的机制,存储核心凭据”使用虚拟容器,远离内核和用户模式操作系统。这使得它很难损害系统以获得进入权限的资格证书。”
要使用虚拟机管理程序级别的保护,你需要一个虚拟化处理的处理器-例如Intel VT-x和AMD-V和SLAT的支持,和一个理想化的有IOMMU的处理器,如Intel VT-d和AMD-IOV。
截图显示了如何配置设备保护,你可以在TechNethttps://technet.microsoft.com/en-us/library/mt463091上找到大量的其他阅读材料。
Bootnote
值得一提的是设备保护,尤其是他的虚拟机管理程序的方法,提醒Qubes操作系统https://www.qubes-os.org/的黑客们-使用Xen管理程序到把系统分割到很多轻量级虚拟机的一个项目-你的网上银行,玩游戏等等-然后分离的虚拟机来控制网络、存储、GUI等。理论上来说,如果一个容器收到了破坏,机器的其他部分应该是受保护的。它跟Windows10的设备保护不完全相同,但是看到虚拟机对个人电脑所做的共享是很有趣的-因为它不仅仅瓜分了服务器。