Windows Defender：易受攻击的驱动程序阻止列表可防止恶意或可利用的驱动程序

　　Windows Defender：易受攻击的驱动程序阻止列表可防止恶意或可利用的驱动程序

　　易受攻击的驱动程序阻止列表是 Windows 10、Windows 11 和 Windows Server 2016 或更新设备上的 Windows Defender 的一项新安全功能，可防止恶意或可利用的驱动程序。

　　微软企业和操作系统安全副总裁 David Weston 在 Twitter 上宣布，微软的易受攻击的驱动程序阻止列表是一项新的安全功能，默认情况下可在 Windows 10 S 模式设备和具有核心隔离内存完整性的设备上使用。已启用，Microsoft 也可能将其称为 Hypervisor Protected Code Integrity (HVCI)，已启用。

　　内存完整性或 HVCI 利用 Microsoft 的 Hyper-V 技术保护 Windows 内核模式进程免受恶意代码注入。此功能在首次发货时未在现有设备上启用，但似乎在新的 Windows 安装中默认启用。

　　一些用户报告了某些启用了 HVCI 的设备的问题，禁用它可以解决他们遇到的问题。

　　新保护功能背后的核心思想是维护将被 Windows Defender 阻止的驱动程序列表，因为驱动程序至少具有以下属性之一：

　　• 已知的安全漏洞可能允许攻击者提升 Windows 内核中的权限

　　• 恶意操作（恶意软件）或用于签署恶意软件的证书

　　• 绕过 Windows 安全模型且可被攻击者利用以提升 Windows 内核权限的非恶意行为

　　Microsoft 与硬件供应商和 OEM 合作维护黑名单。可疑的驱动程序可能会提交给 Microsoft 进行分析，制造商可能会要求对易受攻击的阻止列表中的驱动程序进行更改，例如，在问题得到修补之后。

　　在 S 模式下运行 Windows 10 的设备和启用 HVCI 的设备可以在向设备推出该功能时抵御这些安全威胁。

　　Windows 用户和管理员可以通过以下方式在非 Windows 10 S 模式设备上启用内存完整性先决条件：

　　1. 选择开始，然后选择设置，或使用键盘快捷键 Windows-I 打开设置应用程序。

　　2. 在 Windows 10 上，转到更新和安全 > Windows 安全。选择打开 Windows 安全。

　　3. 在 Windows 11 上，转到隐私和安全 > Windows 安全 > 选择打开 Windows 安全。

　　4. 从左侧边栏中选择设备安全。

　　5. 激活核心隔离详细信息链接。

　　6. 将内存完整性设置切换为开以启用该功能。

　　7. 重启设备。

　　一旦该功能可用，Windows 管理员将在 Windows 安全性的核心隔离页面上看到一个新的 Microsoft 易受攻击的驱动程序阻止列表。该功能可以打开或关闭，或以其他方式管理。大卫韦斯顿指出，打开它可以使黑名单更具侵略性。

　　微软表示建议启用 HVCI 或使用 S 模式，但管理员也可以使用现有的 Windows Defender 应用程序控制策略来阻止列表中的驱动程序。本文档列出了一个 XML 文件，其中包含可供使用的已阻止驱动程序。