系统极客一直在努力
专注操作系统及软件使用技能

Windows Defender System Guard Runtime Attestation功能简介

微软在 2017 年 10 月推出 Fall Creators Update 更新版本操作系统时,便向 Windows 10 操作系统中新增了一项名为 Windows Defender System Guard 的安全新功能。Windows Defender System Guard 旨在「创造条件,确保系统完整性不受影响」,以防止系统(启动)引导级别类型的攻击,例如:rootkit 和 bootkit。

Windows Defender System Guard 新的防御功能包括保护、维护和验证 Windows 10 系统在启动期间以及使用本地和远程凭据时的功能完整性。

其实微软早在 Windows 8 中便引入了 Secure Boot(安全启动)功能作为应对引导级别攻击的安全防御策略,Secure Boot 是统一可扩展固件接口(UEFI)的一项功能,它添加了一个基于硬件的信任根,以阻止其它代码在 Windows 引导加载之前执行。

Windows Defender System Guard 从 Windows 10 引导启动时就开始提供安全保护,它能够确保只有正确签名且安全的 Windows 文件和驱动程序(包括第三方)才能在设备上启动。

在 Windows 10 启动过程结束时,System Guard 将启动系统的反恶意软件解决方案,扫描所有第三方驱动程序。而且该功能有助于确保操作系统以完整的方式安全引导,并保护操作系统的安全防护功能在完全启动之前不会受到攻击。

目前,微软已经在 Windows 10 Version 1803 系统更新中对 Windows Defender System Guard 安全防护功能进行了升级更新,并将其称为 Runtime Attestation(运行时认证)。Windows Defender System Guard Runtime Attestation (如 Credential Guard)可以利用「基于虚拟化的安全性(VBS)」中相同的硬件根安全技术来缓解软件攻击。

Windows Defender System Guard runtime attestation architecture

简单来说,Windows Defender System Guard Runtime Attestation 可以为很多应用多场景提供帮助,包括:

  • 检测内核篡改、Rootkit 和漏洞的痕迹
  • 为反病毒 ISV、端点检测和响应(EDR)提供补充信号(包括与 Windows Defender Advanced Threat Protection 集成)
  • 敏感交易场景(银行应用程序或交易平台)
  • 条件访问场景(启用和增强基于设备安全的访问策略)
  • 游戏中的反作弊场景(例如检测可导致游戏状态改变的进程保护旁路)

随着 Windows 10 Version 1803 更新的推出,微软目前正在实施「Windows Defender System Guard 运行时认证」的第一阶段,以为未来在这一安全领域的创新打下基础。

赞(0) 赞赏

评论 1

  1. #1

    1803可以改1805了。这更新,还是很缓慢的

    絮沫纷飞6年前 (2018-04-24)回复

微信赞赏