解决Windows 10恶意软件的Device Guard长什么样?

在启用VBS的同时，Device Guard在与Windows内核以及操作系统其余部分隔离的VSM容器中运行自己的Windows准系统实例，这不会被其他软件篡改。但Device Guard不只是内核模式代码签名的更新版本;它还提供用户模式代码完整性检查，以确保在用户模式运行的事物(例如设备、通用Windows平台应用或典型的Windows应用)得到签名和受信任。即使恶意软件感染机器，它也无法访问Device Guard容器或绕过代码签名检查来执行恶意负载。这将让攻击者更难运行恶意软件--即使他拥有完整的系统权限，攻击者也很难安装代码坚持到重新启动后，再通过高级持续威胁来永久地感染设备。

虽然Microsoft Device Guard并不意味着Windows 10恶意软件的终结，但它提高了攻击者安装恶意代码的障碍。我们都知道，数字签名的应用已经存在很长时间，但这是第一次管理员可轻松地管理它们以确保企业设备的完整性以及执行自己的综合信任模型。只有企业授权的应用将被信任，而不是防病毒程序认为受信任的应用，但这里仍然需要部署这两个解决方案：Device Guard阻止可执行文件和基于脚本的恶意软件，而防病毒程序可涵盖Device Guard无法涵盖的攻击媒介，例如基于JIT的应用以及Office文档内的宏。

Credential Guard

据微软称，约80%到90%数据泄露事故是源自凭证被盗，攻击者使用偷来的域和用户登录凭证来访问网络和其他计算机。Window NT局域网管理器(NTLM)身份验证是微软使用的挑战-响应身份验证协议，它存在大多数Windows环境中，这种协议的最大问题是，攻击者并不一定需要获取用户的明文密码，就可以进行身份验证来访问远程服务器或服务;而是使用他们密码的哈希值。当用户登录到Windows时，系统中安装的恶意软件可收集哈希值，并可使用它们来模拟用户。这种攻击被称为“哈希传递”和“票据传递”攻击，名称取决于攻击者以哪种登录凭证为目标。尽管微软的Kerberos安全包改进了NTLM的安全性，但通过使用这些攻击技术来绕过身份验证系统，NTLM仍可能受到攻击。