微软公布Windows 11 22H2版新安全功能 智能应用控制和驱动完整性保护

在此前博客中微软就透露Windows 11 内置的 Microsoft Defender 防病毒软件将会提供新功能提高安全性。

现在新版本发布微软也详细介绍这些功能，主要包括智能应用程序控制和驱动程序代码完整性检查等新特性。

这些功能目的都是用来启发式识别恶意软件，避免恶意软件直接感染或通过驱动程序进程进行内核发起攻击。

此功能默认开启：由人工智能模型提供强力支持，开启后会自动检测应用程序安全性阻止可能不需要的软件。

智能应用程序控制功能基于此前的应用程序控制，在初次未检测到安全问题后，在执行时还会再次执行检测。

此功能仅在用户全新安装Windows 11 22H2才能开启，所以直接升级上来的话是不能开启和使用该功能的。

此功能默认开启：包含利用虚拟机保护代码完整性和使用易受攻击的驱动程序阻止列表用来提高系统安全性。

其中代码完整性保护实际是使用内核模式进行保护的，并不是在内核隔离模式中使用虚拟化来运行驱动程序。

代码完整性保护可以确保在内核运行的驱动程序必须经过有效签名验证，因此这属于内核级的安全缓解措施。

易受攻击的驱动列表更好理解：此前英伟达被攻击后泄露驱动签名，后来黑客拿这些驱动签名发布恶意软件。

当时微软是有苦说不出，因为一旦直接禁用签名会导致很多用户安装的驱动出错，可能会影响用户正常使用。

但如果不封禁又可能被黑客利用，最终微软什么都没做直到英伟达更新签名，后来微软就开发签名校验功能。

微软称该功能主要有以下特点：阻止攻击者利用漏洞提权、阻止合法证书签署恶意软件、阻止绕过安全模型。

通过阻止列表微软仅允许运行正常的驱动程序，如果攻击者尝试绕过安全模型或进行权限提升都会自动阻止。