微软宣布推出新的Windows平台安全技术

微软周四宣布推出Windows Defender System Guard运行时认证，这是一种新的Windows平台安全技术，将推向Windows的所有版本。

微软表示，为了缓解软件攻击，运行时证明利用基于虚拟化的安全性（VBS）中与硬件相关的安全技术相同的证书。

新的安全技术可以为终端检测和响应（EDR）和防病毒供应商提供补充信号，并且可以检测到内核篡改，rootkit和漏洞的瑕疵。此外，它可以用于防止游戏中的作弊行为，保护敏感交易（银行应用程序，交易平台）以及提供条件访问（启用基于设备安全性的访问策略）。

“应用程序和服务可以利用这种认证技术来确保系统不受篡改，并且关键流程按预期运行。这种基于硬件的“健康证明”可用于识别受感染的计算机或对关键云服务的门禁访问。运行时认证可用作各种高级安全应用程序的平台，“Microsoft指出。

微软表示，Windows Defender System Guard运行时认证的第一阶段将在下一次Windows 10更新中推出，为未来的创新奠定基础。它将允许构建新的操作系统功能，以便在系统完全受到损害的情况下（例如通过内核级漏洞利用）检测和传达违反安全承诺的行为。

微软还致力于提供使用运行时认证的客户端API。该API将提供一个运行时报告，其中包含来自Windows Defender System Guard运行时证明的系统安全状态信息，其中包括敏感系统属性的运行时间测量。

“对于运行时报告具有任何重要意义，它必须以对篡改提供合理阻力的方式生成，”微软解释说。

因此，运行时报告生成必须与攻击者隔离，隔离必须是可证实的，并且报告必须以加密方式进行签名，以便攻击者无法在隔离环境外进行再现。

这是基于虚拟化的安全飞地进入的地方。这些连接运行NT内核的'正常'世界和运行安全内核的'安全'世界之间的连接。在VBS飞地中，运行时证明可以证明报告中包含的一组安全属性。

“VBS飞地还可以暴露由特定于VBS的签名密钥签署的飞地认证报告。如果Windows Defender System Guard可以获得主机系统在VSM处于活动状态下运行的证据，则可以使用此证明和签署的会话报告来确保特定飞地正在运行，“该技术巨人解释说。

运行时报告使用永不离开飞地的私钥进行签名。由Windows Defender System Guard认证服务后端生成的会话报告也会被签名。这两份报告都可以通过依赖方对照会话证书检查签名进行验证，并确保证书有效签名，并以相关Microsoft CA为根。

微软表示，虽然在飞地与Windows Defender System Guard认证服务之间的网络呼叫是由NT内核创建的，但认证协议的设计方式确保了即使在不可信的传输机制下也能防止篡改。

将安全级别分配给每个证明服务签名的会话报告，从而通知运行时报告中的信任级别。最高级别的信任可能需要支持VBS的硬件和OEM配置; 引导时的动态信任根测量; 安全启动以验证管理程序，NT，一个SK图像; 以及确保受管理程序保护的代码完整性（HVCI）强制的内核模式代码完整性（KMCI）的安全策略，并禁用测试签名和内核调试。

“会议报告中公开的安全级别本身就是一个重要而有趣的指标。但是，Windows Defender System Guard可以提供更多功能 - 特别是在系统安全状态的运行时间测量方面，“Microsoft指出。

断言逻辑将在Windows的下一次更新中带内传递，但Microsoft的目标是在未来的带外提供脚本。该方法将允许公司立即响应安全事件，而无需通过服务提供组件更新。

“未来的创新将使持久性变得更难，暂时的恶意变化更加困难。这个想法是不断提升整个Windows 10安全堆栈的防御能力，从而将攻击者推入影响安全状态的系统更改可检测到的角落。人们可以将运行时认证视为更多的是检测可能指示攻击的微小症状，而不是寻找闪烁的信号，“微软说。