BIOS
内存保持完整内存完整性(HVCI)是Windows安全功能,可防止恶意软件通过低级驱动程序劫持设备,确保系统代码的安全与可信。驱动程序是一种软件,能够使操作系统(此处为 Windows)与设备(如键盘或摄像头)进行通信。当设备需要请求 Windows 执行操作时,它会通过驱动程序来发送这个请求。内存完整性借助硬件虚拟化创建隔离环境得以实现。可以将其视为位于上锁房间中的保安。这个隔离环境(即上锁的房间)可防止攻击者篡改内存完整性功能。任何需要运行可能存在风险代码的程序,都必须将代码提交给此隔离环境中的内存完整性功能进行检查。一旦内存完整性确认代码安全,便会将代码返回给 Windows 执行。整个过程通常极为迅速,几乎不会影响系统性能。在没有内存完整性保护运行时,系统防御力下降,攻击者更容易干扰或破坏防护机制,使恶意代码得以潜入并引发问题。内存完整性保护,默认在Windows 11中启用,而Windows 10中可手动开启。可用以开启或关闭:在核心隔离页面中,您会看到内存完整性选项及其开关,可以在此开启或关闭该功能。
重要提示:出于安全考虑,建议开启内存完整性功能。若要启用内存完整性,需在系统UEFI或BIOS里开启硬件虚拟化功能。若内存完整性无法开启,可能是安装了不兼容的设备驱动程序。建议联系设备制造商,询问是否有更新的驱动程序可用。如果无兼容版本提供,可以尝试移除使用该驱动程序的设备或应用以解决问题。
计算机
要启用内核模式硬件强制堆栈保护,需打开内存完整性功能,同时要求使用的 CPU 支持 Intel 控制流强制技术或 AMD 影子堆栈技术才能正常运行。若内核模式硬件强制堆栈保护未能启用,可能是由于安装了不兼容的设备驱动程序或服务。建议联系设备厂商或应用提供商,询问是否有更新的兼容驱动程序可供使用。如果无法获取兼容版本,可尝试卸载导致问题的设备或应用程序以解决此情况。部分应用在安装时会添加服务而非驱动程序,仅当应用启动时才会安装驱动。为更精准检测不兼容驱动,还会列出与这些驱动相关联的已知服务进行排查。
如果在启用内核模式硬件强制堆栈保护后,尝试安装与驱动程序不兼容的设备或应用,也可能遇到类似提示。此时建议同样采取以下措施:访问设备制造商或应用开发商的官网,检查是否有更新的兼容驱动程序可供下载;或者,在 compatible 驱动发布前,暂时避免安装该设备或应用,以确保系统稳定运行。此项功能也叫内核 DMA 保护,能够防止恶意设备通过 Thunderbolt 等 PCI(外围组件互连标准)端口插入时,对系统发动攻击,有效保护设备安全。一个简单的攻击例子是:当用户离开电脑去喝咖啡时,攻击者趁机插入USB类设备,窃取机器中的敏感信息,或注入恶意软件以实现远程控制电脑的目的。内存访问保护可防止直接访问设备内存,从而阻止攻击,除非在电脑锁定或用户注销等特殊情况下。开启内存访问保护建议。如需获取更多技术详情,请参考内核DMA保护相关资料。每个设备都会在只读存储器中预先写入一些软件,通常位于系统板的芯片上,用于实现基础功能,比如加载操作系统以运行常见应用。这类软件不易修改(虽然并非完全不能更改),因此被称为固件。固件先于操作系统加载并运行,因此操作系统中的安全工具和功能难以检测或防御针对固件的攻击。就像房子需要稳固的地基才能安全一样,计算机也需要安全的固件,以保障操作系统、应用程序及客户数据的安全。Windows Defender系统卫士是一组功能,可防止攻击者通过不可信或恶意固件启动设备,从而保障系统安全。若设备支持,建议将其开启。提供固件保护的平台,通常也会对系统管理模式(SMM)进行不同程度的防护。一般来说,有三个可能的数值,数字越大,说明该平台对SMM的保护水平越高。驱动程序是一种软件,能够使操作系统(此处为 Windows)与设备(如键盘或网络摄像头)实现相互沟通。当设备需要请求 Windows 执行特定操作时,会通过驱动程序发送指令。因此,驱动程序在系统中拥有较多敏感权限,以确保通信顺利进行。自 Windows 11 2022 更新起,新增阻止列表,包含存在已知安全漏洞、使用恶意软件签名证书或绕过 Windows 安全模型的驱动程序,有效提升系统安全性。若启用了内存完整性、智能应用控件或 Windows S 模式,易受攻击的驱动程序阻止列表也会被启用。
Copyright © 2025 IZhiDa.com All Rights Reserved.
知答 版权所有 粤ICP备2023042255号
