所在位置：首页 — 系统文章 — IT新闻咨询

Windows10成微软最安全的系统

作者：系统天地日期：2018-09-25

基于虚拟化的安全功能可保护公司免受恶意软件和黑客攻击的操作系统攻击。

发布三年后，它将很快从Windows 7转移到windows10，成为最受欢迎的Windows操作系统。 Microsoft已经开发了基于虚拟化的安全功能 - 即Device Guard和Credential Guard - 来保护Windows 10，并在更新期间添加了其他基于虚拟化的服务。

访问：

微软官方原版镜像免激活Win10纯净版

Windows Defendert于2017年被命名为Windows Security，现在提供反恶意软件和威胁检测，防火墙，网络安全，应用程序和浏览器管理以及设备和帐户保护服务。 Windows安全性在Microsoft 365服务之间共享状态信息，并与Windows Defender高级威胁防护基于云的分析工具协作。

Device Guard和Credential Guard是windows10最突出的两项安全功能：保护核心内核免受恶意程序攻击，并防止远程攻击者控制计算机。 Microsoft还介绍了Windows安全防护下的其他基于虚拟化的安全功能，包括Windows Defender Application Guard。 Device Guard使用基于Windows 10虚拟化的保护，仅允许受信任的应用程序在设备上运行。 Credential Guard通过在基于硬件的虚拟环境中隔离它们来保护企业身份。 Microsoft还隔离了虚拟机上的关键Windows服务，以阻止内核和其他有趣的攻击尝试。

windows10成微软最安全的系统.jpg

使用Applications Guard，Microsoft Edge Browser会在隔离的Hyper-V容器中打开不受信任的网页，因此将保护主机操作系统免受潜在恶意站点的攻击。

只有受信任的应用才能运行

Device Guard使用硬件和软件工具来保护计算机，以便它们只能运行受信任的应用程序。当应用程序来自Windows应用商店时，应用程序必须具有软件开发人员或Microsoft的有效加密签名。设备保护基金假设所有软件都是可疑的。虽然新闻来自黑客窃取使用恶意程序作为签名的凭据，但大多数恶意程序都不是签名代码。因此，Device Guard可以阻止大多数恶意程序。

虽然这种方法类似于Apple在App商店中的做法，但存在很大差异：微软已经认识到公司需要广泛的应用程序。企业可以注册自己的软件而无需更改代码，也可以签署他们信任的应用程序（例如他们购买的定制开发的程序）。通过这种方式，组织可以创建受信任的应用程序列表，无论开发人员是否已请求Microsoft的有效签名。因此，公司可以监控Device Guard程序的可信任性。此外，Device Guard还提供工具，可以轻松注册最初未由开发人员签名的通用应用程序和Win32程序。

但Device Guard不仅仅是一种新的白名单机制，因为它可以通过虚拟机有效地保护信息。也就是说，即使已被授予管理权限的攻击者或恶意程序也无法操纵此数据。即使恶意程序感染计算机也无法访问容器。只有受信任签名者签署的更新策略才能更改适用于您设备的应用程序管理要求。

Windows Defender ATP - 一种用于分析攻击和威胁的基于云的控制台 - 使公司能够将计算机运行数据上传到云服务，以监控横向移动，勒索活动和其他广泛的攻击模式。管理员可以使用API将遥测数据，病毒扫描和Device Guard事件组合在一起以发出警报。

保护秘密

Credential Guard可能不像Device Guard那样令人兴奋，但它是企业IT安全的一个非常重要的元素：域验证数据存储在远离内核和操作系统的虚拟容器中。因此，即使计算机受到网络犯罪分子的控制，它们也不会受到损害。高级持久性攻击基于被盗域和用户登录信息，允许攻击者在网络中移动并访问其他计算机。

通常，当有人登录到计算机时，其加密的登录信息将存储在计算机的内存中。早期版本的Windows占本地安全机构中的登录信息，操作系统通过远程过程调用访问信息。受伤的攻击者或恶意程序能够窃取这些加密的标识符并将其用于传递哈希攻击。通过在虚拟容器中隔离这些标识符，Credential Guard可以防止攻击者窃取加密的哈希数据，从而无法访问网络的其余部分。 Credential Guard保护NTLM密码哈希值，Kerberos票证授予票证和应用程序存储的ID。

在容器中运行

Windows Defender Application Guard使企业管理员能够监控如何从危险的网页中识别和阻止Microsoft Edge。 Edge浏览器在隔离的Hyper-V容器中打开不受信任的站点，以保护主机操作系统免受潜在危险站点的攻击。

隔离容器中没有用户数据，因此攻击者无法访问虚拟环境中的用户登录凭据。启用后，Application Guard允许公司阻止外部网页，限制打印，限制剪贴板的使用，并隔离浏览器以仅访问本地网络资源