微软在 2017 年 10 月推出 Fall Creators Update 更新版本操作系统时,便向 Windows 10 操作系统中新增了一项名为 Windows Defender System Guard 的安全新功能。Windows Defender System Guard 旨在「创造条件,确保系统完整性不受影响」,以防止系统(启动)引导级别类型的攻击,例如:rootkit 和 bootkit。
Windows Defender System Guard 新的防御功能包括保护、维护和验证 Windows 10 系统在启动期间以及使用本地和远程凭据时的功能完整性。
其实微软早在 Windows 8 中便引入了 Secure Boot(安全启动)功能作为应对引导级别攻击的安全防御策略,Secure Boot 是统一可扩展固件接口(UEFI)的一项功能,它添加了一个基于硬件的信任根,以阻止其它代码在 Windows 引导加载之前执行。
Windows Defender System Guard 从 Windows 10 引导启动时就开始提供安全保护,它能够确保只有正确签名且安全的 Windows 文件和驱动程序(包括第三方)才能在设备上启动。
在 Windows 10 启动过程结束时,System Guard 将启动系统的反恶意软件解决方案,扫描所有第三方驱动程序。而且该功能有助于确保操作系统以完整的方式安全引导,并保护操作系统的安全防护功能在完全启动之前不会受到攻击。
目前,微软已经在 Windows 10 Version 1803 系统更新中对 Windows Defender System Guard 安全防护功能进行了升级更新,并将其称为 Runtime Attestation(运行时认证)。Windows Defender System Guard Runtime Attestation (如 Credential Guard)可以利用「基于虚拟化的安全性(VBS)」中相同的硬件根安全技术来缓解软件攻击。
简单来说,Windows Defender System Guard Runtime Attestation 可以为很多应用多场景提供帮助,包括:
- 检测内核篡改、Rootkit 和漏洞的痕迹
- 为反病毒 ISV、端点检测和响应(EDR)提供补充信号(包括与 Windows Defender Advanced Threat Protection 集成)
- 敏感交易场景(银行应用程序或交易平台)
- 条件访问场景(启用和增强基于设备安全的访问策略)
- 游戏中的反作弊场景(例如检测可导致游戏状态改变的进程保护旁路)
随着 Windows 10 Version 1803 更新的推出,微软目前正在实施「Windows Defender System Guard 运行时认证」的第一阶段,以为未来在这一安全领域的创新打下基础。
