Windows 安全中心应用中的设备安全性

内存完整性 - 也称为虚拟机监控程序保护的代码完整性 (HVCI) - 是一项 Windows 安全功能，它提高了恶意程序使用低级驱动程序劫持计算机的难度。

驱动程序是一种支持操作系统（本例中为 Windows）和设备（例如键盘或网络摄像机）相互通信的软件。 如果设备需要 Windows 执行某些操作，它会使用驱动程序发送该请求。

内存完整性是通过使用硬件虚拟化创建隔离环境来实现的。

请把它想象成在上锁的隔间里的保安。 这种隔离环境（在类比中是上锁的隔间）防止了内存完整性功能被攻击者篡改。 想要运行一段可能危险的代码的程序必须将代码传递给该虚拟隔间内的内存完整性，以便对其进行验证。 当内存完整性确信代码是安全的时，它会将代码交回 Windows 运行。 通常情况下，这发生得非常快。

如果未运行内存完整性，安全机制将完全暴露在外，攻击者可以更轻松地对其进行干扰或破坏，从而降低恶意代码躲过防护并引发问题的难度。

可以使用切换按钮打开或关闭内存完整性。

如果它显示有不兼容的驱动程序，该怎么办？

如果无法启用内存完整性，系统可能会提示你安装了不兼容的设备驱动程序。 请与设备制造商联系，看看他们是否有更新的驱动程序。 如果他们没有可用的兼容驱动程序，可能可以移除使用该不兼容驱动程序的设备或应用。

硬件强制堆栈保护是基于硬件的安全功能，可提高恶意程序使用低级别驱动程序劫持电脑的难度。

驱动程序是一种支持操作系统（本例中为 Windows）和设备（例如键盘或网络摄像机）相互通信的软件。 如果设备需要 Windows 执行某些操作，它会使用驱动程序发送该请求。

硬件强制堆栈保护的工作原理是阻止通过修改内核模式内存中的返回地址来启动恶意代码的攻击。 此安全功能需要使用具备验证运行代码返回地址能力的 CPU。

在内核模式下执行代码时，恶意程序或驱动程序可能会篡改内核模式堆栈上的返回地址，以将正常代码执行重定向到恶意代码。 在支持的 CPU 上，CPU 会在驱动程序无法修改的只读影子堆栈上维护有效返回地址的第二个副本。 如果常规堆栈上的返回地址已被修改，则 CPU 可以通过检查影子堆栈上的返回地址副本来检测到此差异。 出现这种差异时，计算机会提示停止错误（有时称为蓝屏），以阻止恶意代码执行。

并非所有驱动程序都与此安全功能兼容，因为少数合法驱动程序会出于非恶意目的修改返回地址。 Microsoft 一直在与众多驱动程序发布者合作，以确保其最新驱动程序与硬件强制堆栈保护兼容。

可以使用切换按钮打开或关闭硬件强制堆栈保护。

要使用硬件强制堆栈保护，必须启用内存完整性，并且必须运行支持 Intel 控制流强制技术或 AMD 卷影堆栈的 CPU。

如果系统提示存在不兼容的驱动程序或服务，该怎么办？

如果无法打开硬件强制堆栈保护，系统可能会提示你安装了不兼容的设备驱动程序或服务。 请与设备制造商或应用程序发布者联系，以查看他们是否提供可用的更新驱动程序。 如果他们没有可用的兼容驱动程序，则可能可以移除使用该不兼容驱动程序的设备或应用。

部分应用程序可能会在应用程序安装期间安装服务而不是驱动程序，并且仅在启动应用程序时安装驱动程序。 为了更准确地检测不兼容的驱动程序，还会枚举已知与不兼容驱动程序关联的服务。

此安全功能也称为内核 DMA 保护，可以保护设备防范恶意设备插入 Thunderbolt 端口等外围组件互连 (PCI) 端口时可能发生的攻击。

其中一个攻击的简单例子是，如果有人离开电脑去喝咖啡，在他们不在的时候，攻击者会介入，插入类似 USB 的设备，然后从机器中拿走敏感数据，或者注入使其能够远程控制电脑的恶意软件。 

除特殊情况以外（特别是当电脑已锁定或用户注销时），内存访问保护可通过拒绝直接访问这些设备的内存来防止此类攻击。

每个设备都有一些软件被写入设备的只读存储器 - 基本上是写入系统板上的芯片 - 用于设备的基本功能，例如加载运行所有常用应用的操作系统。 由于该软件难以修改（但并非不可能），我们将其称为固件。

由于固件首先加载并在操作系统之下运行，因此在操作系统中运行的安全工具和功能很难检测到或防御它。 就像房子以来稳固的地基来保障安全一样，计算机也需要安全的固件来确保计算机上的操作系统、应用程序及数据处于安全状态。

System Guard 是一组功能，有助于确保攻击者无法使用不受信任或恶意的固件启动设备。

提供固件保护的平台通常还会在不同程度上保护系统管理模式 (SMM) - 一种高度特权的操作模式。 你会看到三个值的其中一个，数字越大，表示 SMM 保护程度越高：

• 你的设备符合固件保护版本一：此版本提供基础安全缓解措施，可帮助 SMM 抵御恶意软件的利用，并防止从操作系统（包括 VBS）外泄机密

• 你的设备符合固件保护版本二：除固件保护版本一以外，版本二可确保 SMM 无法禁用基于虚拟化的安全性 (VBS) 和内核 DMA 保护

• 你的设备符合固件保护版本三：除固件保护版本二以外，它还通过阻止访问某些能够入侵操作系统（包括 VBS）的寄存器来进一步强化 SMM

本地安全机构 (LSA) 保护是一项 Windows 安全功能，可帮助防止用于登录 Windows 的凭据被盗。   

本地安全机构 (LSA) 是 Windows 中涉及用户身份验证的关键过程。 它负责在登录过程中验证凭据，以及管理用于为服务启用单一登录的身份验证令牌和票证。 LSA 保护有助于防止不受信任的软件在 LSA 内运行或访问 LSA 内存。  

如何管理本地安全机构保护？

可以使用切换按钮打开或关闭 LSA 保护。

更改设置后，必须重新启动该设置才能生效。 

如果存在不兼容的软件，该怎么办？ 

如果启用了 LSA 保护并阻止将软件加载到 LSA 服务中，则会显示一条通知，指示被阻止的文件。 你可以移除加载该文件的软件，也可以在系统阻止该文件加载到 LSA 时禁用该文件的后续警告。  

使用工作或学校设备时，它会静默登录并获取访问贵组织中的各种事项（如文件、打印机、应用和其他资源）的权限。 要确保该过程处于安全状态，同时便于用户操作，这意味着你的电脑在任何给定时间都会存储大量身份验证令牌。

如果攻击者能够访问其中一个或多个令牌，他们可能会使用它们来访问该令牌所针对的组织资源（敏感文件等）。 Credential Guard 有助于保护这些令牌，其方法是将其置于受保护的虚拟化环境中，因此只有特定服务才能在必要时访问它们。

驱动程序是一种支持操作系统（本例中为 Windows）和设备（例如键盘或网络摄像机）相互通信的软件。 如果设备需要 Windows 执行某些操作，它会使用驱动程序发送该请求。 正因为如此，驱动程序在系统中有很多敏感访问权限。

Windows 11 随附了驱动程序阻止列表，这些驱动程序存在已知的安全漏洞、使用对恶意软件签名的证书进行签名，或可规避 Windows 安全模型。

如果打开了内存完整性、智能应用程序控制或 Windows S 模式，则易受攻击的驱动程序阻止列表也将打开。

在这里可以找到有关安全处理器制造商和版本号以及有关安全处理器状态的信息。

在电脑上的 Windows 安全中心 应用中，​​​​​​​​​​​​​​ 选择“设备安全性”>“安全处理器详细信息”或使用以下快捷方式：

安全处理器详细信息​​​​​​​

如果安全处理器无法正常工作，则可以选择“安全处理器疑难解答”链接来查看任何错误消息和高级选项，或使用以下快捷方式：

安全处理器疑难解答​​​​​​​

安全处理器故障排除页提供有关 TPM 的任何相关错误消息。 下面是错误消息和详细信息的列表：

邮件​​	详细信息
安全处理器 (TPM) 需要固件更新。	设备主板当前似乎不支持 TPM，但固件更新可能会解决此问题。 请与设备制造商联系，以了解固件更新是否可用以及如何安装它。 固件更新通常是免费的。
TPM 已被禁用，需要注意。	受信任平台模块在系统 BIOS（基本输入/输出系统）或 UEFI（统一可扩展固件接口）中可能处于禁用状态。 有关如何启用它的说明，请参阅设备制造商的支持文档，或与其技术支持联系。
TPM 存储不可用。 请清除你的 TPM。	此页提供了清除 TPM 按钮。 在继续操作之前，需要确保数据备份良好。
设备运行状况证明不可用。 请清除你的 TPM。	此页提供了清除 TPM 按钮。 在继续操作之前，需要确保数据备份良好。
设备运行状况证明在此设备上不受支持。	这意味着设备提供的信息不足，无法确定 TPM 在设备上可能无法正常工作的原因。
你的 TPM 与固件不兼容，可能无法正常工作。	请与设备制造商联系，以查看固件更新是否可用以及如何获取和安装它。 固件更新通常是免费的。
找不到 TPM 测量启动日志。 重新启动设备。
你的 TPM 存在问题。 重新启动设备。

如果解决错误消息后仍然遇到问题，请联系设备制造商以获取帮助。

选择“清除 TPM”可将你的安全处理器重置为其默认设置。