win10安全核心PC保护Windows免受驱动程序攻击

　　Windows平台安全团队讨论了保护核心PC可以保护Windows免受内核攻击(例如，受到破坏的驱动程序攻击)的技术。

　　win10安全核心PC保护Windows免受驱动程序攻击

　　我最近已经阅读了这些信息，但是通过以下推文，我再次意识到了本文。

　　很酷的新博客，介绍了如何使用安全核心PC防止Windows驱动程序攻击EDR和EPP。一探究竟!!https://t.co/nRCG3VlwP9pic.twitter.com/KRQt5Bn3ih

　　-戴夫·dwizzzle·韦斯顿(@dwizzzleMSFT)2020年3月17日

　　在这篇文章中，Microsoft的人们讨论了通过利用合法的内核驱动程序来获得内核特权的方法。

　　滥用内核驱动程序进行特权升级

　　通过利用合法但易受攻击的内核驱动程序来获取内核特权已成为高级攻击者的首选选择。包括RobbinHood，Uroburos，Derusbi，GrayFish和Sauron在内的几种恶意软件攻击，以及威胁演员STRONTIUM的攻击，都利用了驱动程序漏洞(例如CVE-2008-3431，CVE-2013-3956，CVE-2009-0824，CVE -2010-1592等)以获取内核特权，并在某些情况下有效地禁用受感染计算机上的安全代理。

　　安全的核心PC作为对策

　　在2019年10月，Microsoft推出了一项新的开发，即Secured Core PC，它具有针对固件攻击的附加保护。我曾在博客文章Microsoft Introduced Secured Core PC w。中对此进行了报道。固件保护。

　　安全核心PC是使用多种安全技术来防止固件级攻击的设备。Microsoft打算在操作系统和相关服务上集成基于软件的保护。Microsoft与OEM合作伙伴Lenovo，HP，Dell，Panasonic，Dynabook和Getac进行了内部和外部合作，推出了一种称为安全核心PC的新型设备。

　　这些Secured Core PC必须满足“一组特定的设备要求，这些要求适用于隔离的最佳安全实践，并且对支持Windows操作系统的固件层或设备核心的依赖性最低。该设备面向处理高度敏感信息的公司，例如金融机构，政府机构等。

　　可以在此博客文章中了解有关Microsoft设想如何使用TPM 2.0或更高版本，Windows Defender System Guard，HVCI内核DMA保护等保护安全核心PC的详细信息。