解决Windows 10恶意软件的Device Guard长什么样?

这种攻击被用在很多高知名度的数据攻击事故中，其中包括美国人事管理局攻击事件。为了防止这种攻击，Windows 10企业版使用了被称为Credential Guard的新功能来保护VSM内的登录凭证，VSM只有足够的功能运行登录服务用于身份验证代理。访问令牌和票据以完全随机且全长度哈希值存储，可避免暴力攻击。通过使用与Device Guard相同的基于硬件和虚拟化的安全技术，即使恶意代码获得完整的系统权限，攻击者都无法访问Credential Guard存储的任何数据。

企业将需要投资于硬件和软件来利用Windows 10企业版的很多新安全功能，其中Microsoft Device Guard和Credential Guard需要满足以下要求：

·UEFI 2.3.1或更高版本

·虚拟化扩展，例如Intel VT-d或AMD-Vi

·64位版本的Windows Enterprise 10

·IOMMU

·TPM芯片2.0版

·Secure Boot

硬件供应商已经开始生产Device Guard-capable或Device Guard-ready设备，包括惠普、宏碁、联想和东芝等，但这些设备并不是轻量级、低成本、消费类设备。Device Guard-ready意味着设备具有所需的IOMMU硬件、为Device Guard优化的内核驱动程序，并启用了安全功能，而Device Guard-capable设备只有IOMMU硬件，驱动程序安装和配置主要取决于系统管理员。另一个要求是域控制器运行Windows Server 2016。

部署Microsoft Device Guard

如果企业想要利用Windows 10企业版新安全功能，最好的方法是创建一个新域，其中为设备符合硬件要求的用户启用Device Guard、Credential Guard和其他功能。微软提供了多种选项来创建代码完整性政策，包括扫描系统来对所有安装应用创建清单。在默认情况下，政策创建时启用了审核模式，这意味着政策不会被执行，而是会记录所有被阻止在事件日志的文件，这让管理员可在完全实施该政策之前评估所有问题。而那些无法升级的机器或遗留系统会保留在现有域中，让安全团队可专注于保护特权账户以及部署恶意软件检测和解决方案。