現在端點再次成為信息安全戰爭的中心。惡意軟件感染每天都在發生，安全團隊每天都在努力保護網絡免受惡意代碼影響。對此，Windows 10企業版引入了各種安全創新技術，例如Windows Hello多因素生物特征身份驗證以及Microsoft Passport—目前完全支持FIDO(快速身份認證)聯盟標準。其中可阻止惡意代碼永久損害Windows 10設備的關鍵安全控制是Microsoft Device Guard，它可保護核心內核抵御惡意軟件。Windows安全專業人士應該了解這個新的安全技術的工作原理以及企業應該將它部署在哪里以抵御Windows 10惡意軟件和當今的網絡攻擊。

應用白名單采用信任為中心的模式，只允許明確允許執行的應用。對于一次性設備，只需要運行數量有限的已知程序，白名單是抵御惡意軟件和糟糕用戶行為的有效安全控制，它還可幫助抵御零日攻擊、多態病毒和未知惡意軟件變體。然而，考慮到企業內需要管理的應用、版本以及補丁的數量，企業很難采用應用白名單的做法。微軟試圖通過Device Guard來改變這種局面，讓企業范圍內的白名單更容易管理和執行，并可鎖定用戶的設備，讓他們只能運行可信的應用。

Microsoft Device Guard結合硬件和軟件安全功能來限制Windows 10企業操作系統，讓其只能運行受信任方簽名的代碼--企業的代碼完整性政策中定義了受信任方。對于沒有加密簽名的內部以及第三方開發的應用，可使用鏈到微軟的證書進行認證，而不需要重新打包應用。只有由受信任簽名者簽署的更新策略可以變更設備的應用控制策略，這與AppLocker相比是顯著的改進，AppLocker可被具有管理權限的攻擊者訪問。

Device Guard的工作原理是利用設備處理器和主板芯片組中IOMMU(輸入輸出內存管理單元)功能來隔離其本身與Windows的其他部分。這種虛擬化輔助安全技術利用了一種新的Hyper-V組件，稱為虛擬安全模式(VSM)，這是受保護的VM，它直接位于管理程序中，并與Windows 10內核隔離。當設備啟動時，通用可擴展固件接口(UEFI)安全啟動可確保Windows啟動組件先于其他組件啟動，以防止啟動工具包執行。接下來，Hyper-V虛擬安全(VBS)技術開始運行來隔離核心Windows服務，這些服務主要用于確保操作系統安全性和完整性的關鍵。通過阻止惡意軟件在啟動過程運行或啟動后在內核運行，這種隔離可保護內核、特權驅動程序和系統防御(例如反惡意軟件程序)。同時，可信平臺模塊(TPM)也將啟動，這是獨立的硬件組件，它可保護用戶憑證和證書等敏感數據。另外，TPM可存儲系統安全啟動的證明，這可用來在允許設備連接到網絡之前驗證其完整性。

在啟用VBS的同時，Device Guard在與Windows內核以及操作系統其余部分隔離的VSM容器中運行自己的Windows準系統實例，這不會被其他軟件篡改。但Device Guard不只是內核模式代碼簽名的更新版本;它還提供用戶模式代碼完整性檢查，以確保在用戶模式運行的事物(例如設備、通用Windows平臺應用或典型的Windows應用)得到簽名和受信任。即使惡意軟件感染機器，它也無法訪問Device Guard容器或繞過代碼簽名檢查來執行惡意負載。這將讓攻擊者更難運行惡意軟件--即使他擁有完整的系統權限，攻擊者也很難安裝代碼堅持到重新啟動后，再通過高級持續威脅來永久地感染設備。

雖然Microsoft Device Guard并不意味著Windows 10惡意軟件的終結，但它提高了攻擊者安裝惡意代碼的障礙。我們都知道，數字簽名的應用已經存在很長時間，但這是第一次管理員可輕松地管理它們以確保企業設備的完整性以及執行自己的綜合信任模型。只有企業授權的應用將被信任，而不是防病毒程序認為受信任的應用，但這里仍然需要部署這兩個解決方案：Device Guard阻止可執行文件和基于腳本的惡意軟件，而防病毒程序可涵蓋Device Guard無法涵蓋的攻擊媒介，例如基于JIT的應用以及Office文檔內的宏。

Credential Guard

據微軟稱，約80%到90%數據泄露事故是源自憑證被盜，攻擊者使用偷來的域和用戶登錄憑證來訪問網絡和其他計算機。Window NT局域網管理器(NTLM)身份驗證是微軟使用的挑戰-響應身份驗證協議，它存在大多數Windows環境中，這種協議的最大問題是，攻擊者并不一定需要獲取用戶的明文密碼，就可以進行身份驗證來訪問遠程服務器或服務;而是使用他們密碼的哈希值。當用戶登錄到Windows時，系統中安裝的惡意軟件可收集哈希值，并可使用它們來模擬用戶。這種攻擊被稱為“哈希傳遞”和“票據傳遞”攻擊，名稱取決于攻擊者以哪種登錄憑證為目標。盡管微軟的Kerberos安全包改進了NTLM的安全性，但通過使用這些攻擊技術來繞過身份驗證系統，NTLM仍可能受到攻擊。

這種攻擊被用在很多高知名度的數據攻擊事故中，其中包括美國人事管理局攻擊事件。為了防止這種攻擊，Windows 10企業版使用了被稱為Credential Guard的新功能來保護VSM內的登錄憑證，VSM只有足夠的功能運行登錄服務用于身份驗證代理。訪問令牌和票據以完全隨機且全長度哈希值存儲，可避免暴力攻擊。通過使用與Device Guard相同的基于硬件和虛擬化的安全技術，即使惡意代碼獲得完整的系統權限，攻擊者都無法訪問Credential Guard存儲的任何數據。

企業將需要投資于硬件和軟件來利用Windows 10企業版的很多新安全功能，其中Microsoft Device Guard和Credential Guard需要滿足以下要求：

· UEFI 2.3.1或更高版本

· 虛擬化擴展，例如Intel VT-d或AMD-Vi

· 64位版本的Windows Enterprise 10

· IOMMU

· TPM芯片2.0版

· Secure Boot

硬件供應商已經開始生產Device Guard-capable或Device Guard-ready設備，包括惠普、宏碁、聯想和東芝等，但這些設備并不是輕量級、低成本、消費類設備。Device Guard-ready意味著設備具有所需的IOMMU硬件、為Device Guard優化的內核驅動程序，并啟用了安全功能，而Device Guard-capable設備只有IOMMU硬件，驅動程序安裝和配置主要取決于系統管理員。另一個要求是域控制器運行Windows Server 2016。

部署Microsoft Device Guard

如果企業想要利用Windows 10企業版新安全功能，最好的方法是創建一個新域，其中為設備符合硬件要求的用戶啟用Device Guard、Credential Guard和其他功能。微軟提供了多種選項來創建代碼完整性政策，包括掃描系統來對所有安裝應用創建清單。在默認情況下，政策創建時啟用了審核模式，這意味著政策不會被執行，而是會記錄所有被阻止在事件日志的文件，這讓管理員可在完全實施該政策之前評估所有問題。而那些無法升級的機器或遺留系統會保留在現有域中，讓安全團隊可專注于保護特權賬戶以及部署惡意軟件檢測和解決方案。

Device Guard和Credential Guard相結合，再加上Microsoft Passport和Windows Hello，這肯定會減少很多常見攻擊技術的成功率，并可幫助保護Windows環境，但有效地使用這些功能不僅需要正確的硬件，還需要人員培訓。SANS一致認為計算機安全漏洞的主要原因之一是“指派未經培訓的人員來維護安全，既不提供培訓也不提供時間來讓人員學習和完成工作”。Windows 10安全功能很不同，企業應該安排時間讓IT團隊來學習如何更好地使用和部署這些安全功能。

Device Guard能否成功阻止惡意軟件感染取決于基于管理程序的安全的堅固性，這仍然有些不明確。Device Guard可能在自己嚴格控制的安全執行環境中運行，但此前“安全執行環境”已經被擊敗，同時，盡管可阻止哈希傳遞攻擊，Credential Guard無法抵御按鍵記錄程序。此外，對于提交到Windows Store的應用，企業完全需依靠審批過程的質量，而企業和軟件供應商將需要保護簽名證書，否則整個信任模式都會受影響。

Windows 10提供的這種安全水平需要企業升級原有的硬件，較舊的操作系統可能會減慢廣泛部署。然而，隨著新歐洲數據保護法增加高達4%全球年營業額的罰款金額，企業可以做出決定是否應該全面投資來確保其系統的完整性。