微软的新KDP技术通过将部分Windows内核设为只读来阻止恶意软件

2020-07-09 23:39:15

微软今天公布了第一批关于即将成为Windows10一部分的新安全功能的技术细节。

名为内核数据保护(KDP)的微软表示,这一功能将阻止恶意软件或恶意威胁行为者修改(破坏)操作系统的内存。

根据微软的说法,KDP的工作方式是允许开发人员访问编程API,这些API允许他们将Windows内核的某些部分指定为只读部分。

例如,我们已经看到攻击者使用签名但易受攻击的驱动程序来攻击策略数据结构,并安装恶意的未签名驱动程序,微软的基础内核团队今天表示。KDP通过确保策略数据结构不会被篡改来减轻此类攻击。

微软表示,这项新技术的开发考虑到了安全性,但它也有其他应用程序,如反作弊和数字版权管理(DRM)软件。

性能改进-KDP减轻了证明组件的负担,证明组件将不再需要定期验证已受写保护的数据变量。

可靠性改进-KDP使诊断不一定代表安全漏洞的内存损坏错误变得更容易。

激励驱动程序开发人员和供应商提高与基于虚拟化的安全性的兼容性,促进这些技术在生态系统中的采用。

雷蒙德说,在幕后,KDP工作在该公司一直致力于增加到Windows10上的一项新技术之上。这项技术被称为基于虚拟化的安全(VBS),它使用计算机的底层硬件,在虚拟安全模式下将安全内存区域与正常操作系统隔离开来。这项技术被称为基于虚拟化的安全(VBS)技术,它利用计算机的底层硬件在虚拟安全模式下将安全内存区域与正常操作系统隔离开来。

KDP的工作原理是将内核内存标记作为只读,并将其移动到VBS";虚拟安全模式中,在该模式下,即使是操作系统本身也不能篡改它。

微软表示,要将KDP与Windows 10上的应用程序配合使用,VBS支持是唯一要求。

任何支持VBS的计算机本身也将支持KDP。目前,VBS在任何支持以下条件的计算机上都受支持:

二级地址转换:AMD的NPT、Intel的EPT、ARM的阶段2地址转换。

微软即将推出的安全核心PC系列本身也支持VBS。事实上,微软在今年早些时候3月份的官方安全核心PC公告中首次对KDP功能进行了调侃。

目前,KDP已包含在最新的Windows 10 Insider内部版本中。它何时会包含在主要的Windows10稳定版中,目前还没有时间表。