「Microsoft 易受攻擊的驅(qū)動(dòng)程序阻止列表」是 Windows Defender 應(yīng)用程序控制（WDAC）框架的核心組件之一。它能與內(nèi)存完整性（HVCI）或「智能應(yīng)用控制」（SAC）協(xié)同工作，阻止「已知的」惡意或存在安全漏洞的驅(qū)動(dòng)程序。通過阻止未經(jīng)簽名或有風(fēng)險(xiǎn)的內(nèi)核模式驅(qū)動(dòng)程序加載，來增強(qiáng)系統(tǒng)的整體安全性。

開啟這個(gè)「阻止列表」，能夠有效抵御日益猖獗的 BYOVD 攻擊（利用自有易受攻擊的驅(qū)動(dòng)程序），這也是微軟官方推薦的安全基線配置。但是，在某些特定場(chǎng)景下，比如要兼容老舊硬件或定制驅(qū)動(dòng)程序時(shí)，你可能需要將它關(guān)閉。

1.「Microsoft 易受攻擊的驅(qū)動(dòng)程序阻止列表」要開嗎？

是否打開或關(guān)閉「阻止列表」，取決于你的安全要求，以及它可能帶來的影響。你可以從以下幾個(gè)方面來評(píng)估系統(tǒng)的穩(wěn)定性和兼容性：

1.1 驅(qū)動(dòng)程序兼容性

• 「阻止列表」的設(shè)計(jì)初衷，是阻止那些已知存在漏洞或風(fēng)險(xiǎn)的驅(qū)動(dòng)程序運(yùn)行，哪怕它們有數(shù)字簽名。
• 但有時(shí)候，保護(hù)力度過猛也可能存在誤傷。那些用于舊版軟件或硬件的、沒簽名或老舊驅(qū)動(dòng)，很可能會(huì)被誤判。
• 因此，在啟用「阻止列表」之前，強(qiáng)烈建議你測(cè)試所有關(guān)鍵應(yīng)用和硬件驅(qū)動(dòng)，確保它們能夠正常工作。

1.2 與「智能應(yīng)用控制」 聯(lián)動(dòng)

• 「智能應(yīng)用控制」（SAC）是 Windows 11 中的一項(xiàng)安全功能，主要用來阻止不受信任或未經(jīng)簽名的應(yīng)用和驅(qū)動(dòng)。當(dāng) SAC 處于「打開」或「評(píng)估」模式時(shí)，如果系統(tǒng)判定兼容性和安全性足以執(zhí)行「阻止列表」，可能會(huì)自動(dòng)啟用「Microsoft 易受攻擊的驅(qū)動(dòng)程序阻止列表」。
• 如果 SAC 誤阻止了某個(gè)正常的驅(qū)動(dòng)程序加載，你可能需要關(guān)閉 SAC 功能，或通過「Windows Defender 應(yīng)用程序控制」將該驅(qū)動(dòng)程序加入白名單。

2. 準(zhǔn)備工作

在動(dòng)手配置「阻止列表」之前，請(qǐng)確保滿足以下前提條件：

• 操作系統(tǒng)：Windows 11 22H2 或更高版本。
• 管理員權(quán)限：你需要擁有管理員權(quán)限，才能進(jìn)行相關(guān)配置。
• 核心安全功能：設(shè)備需要支持并已啟用「內(nèi)存完整性」或「智能應(yīng)用控制」功能。

3.開啟或關(guān)閉「Microsoft 易受攻擊的驅(qū)動(dòng)程序阻止列表」

3.1 通過「Windows 安全中心」

1、按Windows + R快捷鍵打開「運(yùn)行」對(duì)話框，執(zhí)行windowsdefender:（有冒號(hào)）打開「Windows 安全中心」。

2、進(jìn)入「設(shè)備安全性」>「內(nèi)核隔離詳細(xì)信息」。

3、根據(jù)你的需要，打開或關(guān)閉「Microsoft 易受攻擊的驅(qū)動(dòng)程序阻止列表」開關(guān)。

4、重啟電腦讓更改生效。

在「設(shè)置」中啟用阻止列表

3.2 通過組策略

1、按Windows + R快捷鍵打開「運(yùn)行」對(duì)話框，輸入gpedit.msc并回車，打開「本地組策略編輯器」。

2、展開「計(jì)算機(jī)配置」>「管理模板」>「系統(tǒng)」>「Device Guard」。

3、將「打開基于虛擬化的安全」策略設(shè)置為「已啟用」。

4、將「選擇平臺(tái)安全級(jí)別」設(shè)置為：

• 安全啟動(dòng)：提供基本防護(hù)。
• 安全啟動(dòng)和 DMA 保護(hù)：推薦用于最高安全性。

5、將「基于虛擬化的代碼完整性保護(hù)」設(shè)置為：

• 使用 UEFI 鎖啟動(dòng)：?jiǎn)⒂檬鼙Ｗo(hù)進(jìn)程（PPL，Protected Process Light）。
• 無鎖啟用：?jiǎn)⒂?PPL + 驅(qū)動(dòng)簽名驗(yàn)證。

通過組策略啟用阻止列表

6、保存配置后重啟電腦，讓配置生效。

以上配置將強(qiáng)制激活「虛擬機(jī)監(jiān)控程序保護(hù)的代碼完整性」（HVCI），阻止未簽名或已知的易受攻擊內(nèi)核模式驅(qū)動(dòng)程序，嚴(yán)格執(zhí)行「Microsoft 易受攻擊的驅(qū)動(dòng)程序阻止列表」的策略。

3.3 更改注冊(cè)表

1、按Windows + R打開「運(yùn)行」對(duì)話框，執(zhí)行regedit打開注冊(cè)表編輯器。

2、導(dǎo)航到以下位置：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CI\Config

3、找到或新建一個(gè)名為VulnerableDriverBlocklistEnable的 DWORD (32 位) 值，并將其值設(shè)置為：

• 1：開啟「阻止列表」。
• 0：關(guān)閉「阻止列表」。

通過 VulnerableDriverBlocklistEnable 注冊(cè)表設(shè)置啟用或禁用阻止列表

4、重啟電腦讓更改生效。

4.常見問題解答

為什么「Microsoft 易受攻擊的驅(qū)動(dòng)程序阻止列表」變成了灰色？

Microsoft 易受攻擊驅(qū)動(dòng)程序阻止列表灰色

• 在啟用了「內(nèi)存完整性」后，系統(tǒng)會(huì)強(qiáng)制啟用「驅(qū)動(dòng)程序阻止列表」。這是微軟的安全設(shè)計(jì)，用于防止存在已知安全風(fēng)險(xiǎn)的內(nèi)核級(jí)驅(qū)動(dòng)加載。
• 啟用「智能應(yīng)用控制」或 S 模式后，「阻止列表」功能也會(huì)自動(dòng)鎖定，變成灰色。

「Microsoft 易受攻擊驅(qū)動(dòng)程序阻止列表」有助于保護(hù) Windows 11 系統(tǒng)免受基于驅(qū)動(dòng)程序的漏洞威脅。根據(jù)你的使用環(huán)境和管理需求，可通過「Windows 安全中心」、組策略或注冊(cè)表來進(jìn)行管理。在配置此功能時(shí)，你需要自行在安全性和驅(qū)動(dòng)兼容性之間取得平衡。

最新評(píng)論