Windows Defender：易受攻击的驱动程序阻止列表可防止恶意或可利用的驱动程序

　　Windows Defender：易受攻击的驱动程序阻止列表可防止恶意或可利用的驱动程序

　　易受攻击的驱动程序阻止列表是 Windows Defender 在 Windows 10、Windows 11 和 Windows Server 2016 或更新设备上的一项新安全功能，可防止恶意或可利用的驱动程序。

　　Microsoft 企业和操作系统安全副总裁 David Weston在 Twitter 上宣布，Microsoft 易受攻击的驱动程序阻止列表是一项新的安全功能，在 Windows 10 S 模式设备和具有核心隔离功能内存完整性的设备上默认启用，Microsoft 也可能将其称为受 Hypervisor 保护的代码完整性 (HVCI)，已启用。

　　内存完整性或 HVCI 利用 Microsoft 的 Hyper-V 技术来保护 Windows 内核模式进程免受恶意代码注入。该功能在首次发货时并未在现有设备上启用，但在新安装 Windows 的设备上似乎默认启用。

　　一些用户报告了启用 HVCI 的某些设备的问题，并且禁用它解决了他们遇到的问题。

　　新保护功能背后的核心思想是维护将被 Windows Defender 阻止的驱动程序列表，因为驱动程序至少具有以下属性之一：

　　• 已知的安全漏洞，攻击者可利用这些漏洞提升 Windows 内核中的权限

　　• 用于签署恶意软件的恶意行为(恶意软件)或证书

　　• 非恶意但绕过 Windows 安全模型且可被攻击者利用以提升 Windows 内核权限的行为

　　Microsoft 与硬件供应商和 OEM 合作维护黑名单。可疑的驱动程序可能会提交给 Microsoft 进行分析，制造商可能会要求对易受攻击的阻止列表中的驱动程序进行更改，例如，在修补问题之后。

　　在 S 模式下运行 Windows 10 的设备和启用了 HVCI 的设备在向设备推出该功能后可以防止这些安全威胁。

　　Windows 用户和管理员可以通过以下方式在非 Windows 10 S 模式设备上启用内存完整性先决条件：

　　1. 选择开始，然后选择设置，或使用键盘快捷键 Windows-I 打开设置应用程序。

　　2. 在 Windows 10 上，转到更新和安全 > Windows 安全。选择打开 Windows 安全。

　　3. 在 Windows 11 上，转到隐私和安全 > Windows 安全 > 选择打开 Windows 安全。

　　4. 从左侧边栏中选择设备安全性。

　　5. 激活“核心隔离详细信息”链接。

　　6. 将内存完整性设置切换为开以启用该功能。

　　7. 重启设备。

　　一旦该功能可用，Windows 管理员将在 Windows 安全的核心隔离页面上看到新的 Microsoft 易受攻击的驱动程序阻止列表。该功能可以打开或关闭，也可以通过其他方式进行管理。David Weston 指出，将其打开将启用更具侵略性的黑名单。

　　微软表示它建议启用 HVCI 或使用 S 模式，但管理员也可以使用现有的 Windows Defender 应用程序控制策略阻止列表中的驱动程序。该文档列出了一个 XML 文件，其中包含可供使用的已阻止驱动程序。