核心隔离

内存完整性

内存完整性，也称为虚拟机监控程序保护的代码完整性 (HVCI) 是 Windows 安全功能，它使恶意程序很难使用低级驱动程序劫持计算机。

驱动程序是软件，可以让操作系统（本例中为 Windows）和设备（例如键盘或网络摄像机）相互通信。 当设备希望 Windows 执行某些操作时，它会使用驱动程序发送该请求。

内存完整性是通过使用硬件虚拟化创建隔离环境来实现的。

请把它想象成在上锁的隔间里的保安。 这种隔离环境（在类比中是上锁的隔间）防止了内存完整性功能被攻击者篡改。 想要运行一段可能危险的代码的程序必须将代码传递给该虚拟隔间内的内存完整性，以便对其进行验证。 当内存完整性确信代码是安全的时，它会将代码交回 Windows 运行。 通常情况下，这发生得非常快。

在没有内存完整性运行的情况下，“保安”没有防备，攻击者更容易干扰或破坏保护，从而使恶意代码更容易偷偷通过并引发问题。

内存访问保护

也称为“内核 DMA 保护”，它可以保护设备免受恶意设备插入 Thunderbolt 端口等 PCI（外围组件互连标准）端口时可能发生的攻击。

其中一个攻击的简单例子是，如果有人离开电脑去喝咖啡，在他们不在的时候，攻击者会介入，插入类似 USB 的设备，然后从机器中拿走敏感数据，或者注入使其能够远程控制电脑的恶意软件。 

内存访问保护通过拒绝直接访问那些设备的内存来防止此类攻击，除非在特殊情况下，特别是当电脑已锁定或用户注销时。

建议打开内存访问保护。

固件保护

每个设备都有一些软件被写入设备的只读存储器 - 基本上是写入系统板上的芯片 - 用于设备的基本功能，例如加载运行所有常用应用的操作系统。 由于该软件很难 (但并非不可能) 修改，我们将其称为 固件。

由于固件首先加载并在操作系统 下运行，因此在操作系统中运行的安全工具和功能很难检测或防御它。 就像依赖良好屋基才安全的房子一样，计算机需要其固件才能安全，以确保计算机上的操作系统、应用程序和客户数据的安全。

Windows Defender System Guard 是一组功能，有助于确保攻击者无法使用不受信任或恶意的固件启动设备。

如果设备支持，建议打开它。

提供固件保护的平台通常也会在不同程度上保护 系统管理模式 (SMM) （一种高特权操作模式）。 可以预期这三个值之一，其数字越大，表示 SMM 保护程度越高：

• 你的设备符合固件保护版本 1：这提供了基础安全缓解措施，帮助 SMM 抵御恶意软件的攻击，并防止机密从 OS (包括 VBS)

• 设备符合固件保护版本 2：除了 固件保护版本 1 外，版本 2 可确保 SMM 无法禁用基于虚拟化的安全 (VBS) 和内核 DMA 保护

• 你的设备满足固件保护版本 3：除了 固件保护版本 2 外，它还阻止访问某些能够破坏 OS (包括 VBS)

Microsoft Defender Credential Guard

使用工作或学校计算机时，它会悄悄地登录并访问贵组织中的各种事项，如文件、打印机、应用和其他资源。 使该流程安全，但对用户来说很容易，表示计算机在任何给定时间都有许多身份验证令牌（通常称为“机密”）。

如果攻击者能够访问其中一个或多个机密，他们可能会使用这些机密来访问该机密所针对的组织资源（敏感文件等）。 Microsoft Defender Credential Guard 将这些机密置于受保护的虚拟化环境中，只有特定服务才能在必要时访问这些机密，从而帮助保护这些机密。

如果设备支持，建议打开它。

Microsoft 易受攻击的驱动程序阻止列表

驱动程序是软件，可以让操作系统（本例中为 Windows）和设备（例如键盘或网络摄像机）相互通信。 当设备希望 Windows 执行某些操作时，它会使用驱动程序发送该请求。 正因为如此，驱动程序在系统中有很多敏感访问权限。

从 Windows 11 2022 更新开始，提供阻止列表，其具有已知安全漏洞、已使用用于签名恶意软件的证书进行签名或规避 Windows 安全模型的驱动程序。

如果打开了内存完整性、智能应用程序控制或 Windows S 模式，则易受攻击的驱动程序阻止列表也将打开。

另请参阅

通过 Windows 安全中心获得长久保护

Microsoft 安全帮助和学习