启用 内核完整性保护(HVCI) 和 受控文件夹访问(CFA) 是 Windows 操作系统中用于增强系统安全性的两项功能。它们的作用是防止恶意软件的攻击,保护系统的完整性,并帮助防止用户的文件被恶意程序篡改。

HVCI(Hardware-enforced Code Integrity,硬件虚拟化代码完整性)**是Windows系统中的一项安全技术,通过结合硬件虚拟化技术(如Intel VT-x和AMD-V)和操作系统的安全机制,增强代码完整性保护,以防止恶意代码或驱动程序被加载到系统中。HVCI 主要用于防止驱动程序和内核模式代码的攻击,它通过强制使用硬件级别的虚拟化和内存保护来提高防护能力。

HVCI 在 Windows 系统中的发展时间线如下:

1. Windows 10(2015年发布)

  • 首次引入 HVCI:HVCI 技术首次在 Windows 10 中正式引入,作为 Device Guard 的一部分。Device Guard 是一个组合安全特性,旨在通过限制可以在设备上运行的代码,来增强系统的防御能力。HVCI 作为 Device Guard 的一项子功能,通过硬件虚拟化来强制执行内核模式的代码完整性。
  • 技术实现
    • HVCI 依赖于支持硬件虚拟化的 CPU(如 Intel VT-x 和 AMD-V)以及启用了 Windows Defender Device Guard 的系统。HVCI 强制通过虚拟化技术验证内核代码和驱动程序的完整性。
    • 主要作用是防止恶意的驱动程序或恶意代码在内核模式下运行,确保只有经过签名且经过验证的驱动程序才能被加载。
    • Windows 10 在启用 HVCI 后,内核模式代码将运行在一个受保护的环境中,利用虚拟化技术来阻止对内存的恶意操作。

2. Windows 10 Fall Creators Update(2017年10月发布)

  • HVCI 默认启用:在 Windows 10 Fall Creators Update 中,HVCI 的支持进一步增强,且开始在更多的设备和配置中默认为启用。此更新使得 HVCI 成为提高 Windows 操作系统安全性的标准之一。
  • 硬件要求:此版本的 Windows 10 强化了对硬件虚拟化的要求,只有支持硬件虚拟化的 CPU 和启用了安全启动的设备才能启用 HVCI。
  • 性能优化:为了在启用 HVCI 时不会影响系统性能,微软进行了优化,确保了即使在启用 HVCI 的情况下,系统性能依然保持在较高水平。

3. Windows 10 1903(2019年发布)

  • 增强的硬件支持:在 Windows 10 1903 中,HVCI 功能得到了进一步的改进,特别是在对 AMD 处理器的支持上。Windows 10 1903 提供了对更多硬件平台的支持,尤其是对于 支持硬件虚拟化的 Intel 和 AMD 处理器
  • HVCI 性能和兼容性提升
    • 微软在此版本中继续优化了 HVCI 的性能,减少了启用该功能时可能出现的兼容性问题,特别是对一些第三方驱动程序和应用程序的兼容性测试。
    • 进一步提升了对 内核代码和驱动程序的验证,防止未签名或恶意软件加载进系统。

4. Windows 10 2004(2020年发布)

  • 更加全面的 HVCI 保护:在 Windows 10 2004 中,HVCI 得到了进一步的改进,特别是在安全性方面。例如,微软通过对新硬件的支持和增加更强的保护,进一步强化了 HVCI 的作用。
  • 新增的内核保护功能
    • 在 Windows 10 2004 中,HVCI 与 Windows Defender Credential Guard 进行了整合,增强了对恶意攻击者的防护。Credential Guard 是一个用于保护用户凭据的安全功能,而 HVCI 则用于防止恶意代码和驱动程序在内核模式下运行。
    • 系统能够通过 HVCI 加强对虚拟化保护代码(VBS)和 内存完整性 的控制,防止恶意软件通过绕过内存保护机制来获得对系统的控制。

5. Windows 10 21H1(2021年发布)

  • 全面支持 HVCI:随着 Windows 10 21H1 的发布,HVCI 的默认启用更加普遍,特别是在 64 位的设备中,HVCI 成为更加标准的安全选项。该版本增强了 HVCI 和其他内核保护技术(如 Memory Integrity)之间的协同工作能力。
  • 安全性改进
    • Windows 10 21H1 版本加强了硬件虚拟化和内核级保护的集成。通过提升 HVCI 与其他安全技术(如 Core Isolation)的互操作性,进一步提高了系统的防护等级。
    • 该版本还加强了对第三方驱动程序的安全检测和验证,确保只有经过微软认证的驱动程序能够在系统中运行。

6. Windows 11(2021年发布)

  • HVCI 成为默认安全要求:在 Windows 11 中,HVCI 得到了更为严格的要求和更深层的集成。Windows 11 强制要求所有受支持的设备启用硬件虚拟化,并且默认启用 HVCI 来增强系统的安全性。
  • 硬件和功能要求
    • Windows 11 要求支持 TPM 2.0(受信平台模块)和 安全启动(Secure Boot),并且必须启用硬件虚拟化才能使用 HVCI。这确保了系统的启动过程和内核的安全性得到了强化。
    • HVCI 在 Windows 11 中被强化为操作系统的核心安全功能之一,用于防止未经授权的驱动程序和恶意代码加载到系统中。

7. Windows 11 22H2(2022年发布)

  • 进一步增强的内核保护:在 Windows 11 22H2 版本中,微软进一步加强了 HVCI 的性能和兼容性,提升了对新硬件架构的支持。HVCI 与其他内核保护功能(如 VBS 和 Memory Integrity)的集成得到进一步优化,确保系统对零日攻击和高级持久威胁(APT)的防护能力。
  • 硬件支持扩展:Windows 11 22H2 提高了对各种现代硬件的支持,包括最新的 Intel 和 AMD 处理器。优化了硬件虚拟化的兼容性,使得即使在复杂的硬件配置下也能顺利启用 HVCI。

HVCI 在 Windows 系统中的发展经历了多个阶段,从最初的 Windows 10 引入,到在 Windows 11 中成为强制启用的核心安全功能,HVCI 已经成为现代操作系统安全防护的关键组成部分。它依赖于硬件虚拟化技术,通过强制内核代码完整性验证,有效地阻止恶意代码或未经授权的驱动程序在内核模式下运行,提升了系统的整体安全性。随着 Windows 系统版本的更新,HVCI 的性能、兼容性以及对硬件的支持不断得到增强,成为抵御现代高级威胁的重要工具。

启用 内核完整性保护(HVCI)受控文件夹访问(CFA) 是 Windows 操作系统中用于增强系统安全性的两项功能。它们的作用是防止恶意软件的攻击,保护系统的完整性,并帮助防止用户的文件被恶意程序篡改。

1. 内核完整性保护(HVCI,Hypervisor-Enforced Code Integrity)

内核完整性保护(HVCI)是通过硬件虚拟化技术(Hypervisor)来增强操作系统内核的安全性。这项技术利用虚拟化的硬件层对内核代码进行完整性验证。它可以阻止未经授权的代码在内核模式下运行,从而避免一些典型的内核漏洞攻击。

HVCI的工作原理:

  • HVCI 通过将内核代码加载到一个隔离的虚拟机环境中,确保内核的代码没有被篡改。
  • 任何未经验证或已知的恶意代码无法在内核空间执行。
  • 该技术依赖于硬件支持的虚拟化功能,如 Intel VT-x 和 AMD-V 技术。

启用HVCI的好处:

  • 增强系统的防御能力,可以防止某些类型的内核级攻击。
  • 有助于保护系统免受恶意软件通过内核漏洞进行的攻击,如驱动程序漏洞和内核模式的恶意代码注入。

受控文件夹访问(Controlled Folder Access,CFA) 是 Windows 系统中的一项安全功能,旨在保护重要文件夹免受恶意软件的攻击,尤其是针对勒索软件。CFA 通过限制应用程序对特定文件夹的访问权限,防止未授权的应用程序和恶意软件篡改或加密用户文件。以下是 CFA 在 Windows 中的发展时间线:

1. Windows 10 Creators Update(2017年4月发布)

  • 首次引入 CFA
    • CFA 功能首次在 Windows 10 Creators Update 中正式引入。此版本的 Windows 10 专注于提升用户的安全性,并特别增强了对勒索软件等恶意软件的防护能力。
    • CFA 的基本功能:CFA 允许用户指定一些关键的文件夹(如文档、桌面、图片等)作为受保护文件夹,并限制对这些文件夹的访问。只有经过用户批准的应用程序才能对这些文件夹中的文件进行修改,其他应用程序无法访问或更改这些文件。
    • 主要保护目标:主要针对勒索软件和其他类型的恶意软件,防止它们加密或破坏重要文件。

2. Windows 10 Fall Creators Update(2017年10月发布)

  • CFA 增强和默认启用
    • 在 Windows 10 Fall Creators Update 中,CFA 进行了增强,尤其是在用户体验和功能配置方面的改进。Windows 10 Fall Creators Update 中,CFA 变得更加直观,用户可以更方便地启用和配置受控文件夹访问功能。
    • 这时,CFA 默认不启用,但可以手动开启,允许用户选择性地保护文件夹。

3. Windows 10 April 2018 Update(2018年4月发布)

  • CFA 完全启用及集成
    • Windows 10 April 2018 Update 中,CFA 功能得到了进一步的完善和集成,提供了更多的用户控制选项。此版本中,用户可以更轻松地查看和管理哪些应用程序被允许访问受控文件夹。
    • 该版本还引入了更高效的警报机制,当恶意软件尝试修改受保护文件夹中的文件时,用户会收到警告。
    • 兼容性增强:微软加强了与第三方防病毒软件的兼容性,确保其他安全软件不会与 CFA 发生冲突。

4. Windows 10 1903(2019年发布)

  • 更细致的控制和管理
    • 在 Windows 10 1903 中,CFA 进一步增强了对文件夹保护范围和权限控制的精细管理。用户可以通过 Windows 安全 中的 "病毒和威胁防护" 设置页面管理受控文件夹访问功能。
    • 新增的通知和日志功能:当应用程序尝试修改受保护的文件夹时,系统会向用户发送详细的警告通知,并且提供日志记录功能,帮助用户了解哪些应用程序被阻止访问文件。

5. Windows 10 1909(2019年发布)

  • 进一步提升了勒索软件防护功能
    • Windows 10 1909 增强了 CFA 在勒索软件防护方面的功能,尤其是在识别和阻止勒索软件变种的能力上。微软进一步优化了 CFA 的性能,减少了误报,确保只有真正的恶意软件才会被阻止访问受保护的文件夹。
    • 改进的用户界面:此版本对 CFA 的界面进行了优化,使得普通用户也能轻松理解和配置安全设置,增强了用户体验。

6. Windows 10 2004(2020年发布)

  • 强化的功能和改进的兼容性
    • 在 Windows 10 2004 版本中,CFA 进一步集成了 Windows Defender 和其他安全技术,增强了整体的防护效果。此版本通过与 虚拟化基础设施保护(VBS)和 硬件安全技术 的整合,使得勒索软件和恶意程序更难绕过系统保护。
    • 改进的事件日志和警报:微软加强了受控文件夹访问的警报和日志记录功能,帮助用户更加精确地追踪对文件夹的访问请求,提升了安全性。

7. Windows 10 21H1(2021年发布)

  • 优化和集成
    • Windows 10 21H1 版本中,CFA 继续优化,并与系统中的其他安全特性(如 Core Isolation 和 Memory Integrity)更好地集成。
    • 该版本中的 CFA 功能继续增强防止勒索软件和其他恶意软件篡改重要文件的能力,尤其是在企业环境中,管理员可以更精细地控制哪些文件夹需要保护。
    • 该版本加强了 Windows Security 中的受控文件夹访问管理界面,提供了更多的自定义选项,允许企业用户更好地配置和管理文件夹保护。

8. Windows 11(2021年发布)

  • CFA 成为增强型防护的一部分
    • 在 Windows 11 中,CFA 功能得到了进一步的改进和加强。与 Windows 10 相比,Windows 11 将 CFA 与操作系统的其他安全功能(如 Windows Defender 和 BitLocker)进行了更加紧密的集成,提升了整体的文件夹保护能力。
    • 默认启用:在 Windows 11 中,CFA 功能被更多地集成到默认的安全设置中,进一步增强了操作系统在保护用户文件方面的能力,尤其是通过与 硬件虚拟化 和 TPM 2.0 等硬件安全技术的结合。
    • 用户界面改进:用户可以通过 Windows 安全 应用更方便地启用或禁用 CFA 功能,进一步提升了用户体验。

9. Windows 11 22H2(2022年发布)

  • 增强的勒索软件防护
    • 在 Windows 11 22H2 中,CFA 被进一步强化,尤其是在面对新型勒索软件和复杂攻击时的防护能力。此版本加强了对勒索软件的检测和阻止,确保即使是更先进的恶意软件也难以绕过保护。
    • 该版本还增加了对现代硬件架构和高级安全特性的支持,使得受控文件夹访问在各类设备上的表现更加一致。

受控文件夹访问(CFA)Windows 10 Creators Update 开始引入,并随着每个版本的更新逐步增强。特别是在防护勒索软件和恶意软件方面,CFA 为 Windows 用户提供了重要的保护。随着时间的推移,CFA 的功能越来越强大,集成了更多的安全特性,并逐步向用户和企业提供更加便捷的配置和管理工具。

2. 受控文件夹访问(CFA,Controlled Folder Access)

受控文件夹访问是一项Windows Defender的安全功能,用于防止恶意软件访问和修改指定的文件夹中的文件。启用此功能后,Windows会限制未经授权的程序访问某些重要文件夹,只有受信任的应用程序才有权限访问这些文件夹。

CFA的工作原理:

  • 用户可以定义受保护的文件夹,系统会将其标记为“受控文件夹”。
  • 只有系统信任的应用程序才能在这些受控文件夹中进行写入操作。
  • 如果恶意程序试图篡改这些文件夹中的文件,CFA 会阻止并报告这一行为。

启用CFA的好处:

  • 防止勒索病毒等恶意软件篡改重要文件,如文档、图片和系统文件。
  • 用户可以指定哪些文件夹需要保护,从而减少数据丢失的风险。
  • 提供额外的安全层次,帮助保护用户文件和应用程序数据。
  • 内核完整性保护(HVCI) 是通过虚拟化技术保护操作系统内核免受恶意软件的攻击,增强系统的安全性。
  • 受控文件夹访问(CFA) 则专注于防止恶意程序篡改用户的重要文件或数据,确保数据的完整性和安全性。

启用这两项功能可以显著增强系统的安全性,减少来自恶意软件、病毒和勒索软件等威胁的风险。

内核完整性保护(HVCI,Hypervisor-Enforced Code Integrity)是 Windows 操作系统中用于增强系统安全性的功能,它依赖于硬件虚拟化技术,通过隔离和验证内核代码的完整性来防止恶意软件攻击。HVCI 的底层原理涉及操作系统的内核、虚拟化技术、硬件支持和代码完整性验证。下面将详细讲解其工作原理和底层实现:

1. 虚拟化技术的支持

HVCI 依赖硬件虚拟化技术来增强操作系统的安全性。虚拟化技术通过创建一个虚拟机监控器(Hypervisor)来控制和管理操作系统与硬件的交互。具体来说,HVCI 使用的虚拟化技术基于以下几个核心组件:

  • 虚拟机监控器(Hypervisor):这是一个运行在操作系统之上但在硬件与操作系统之间的低级别软件层。Hypervisor 可以创建多个虚拟机并隔离它们,使得恶意代码即使在虚拟机内运行,也不能直接影响操作系统的核心部分。
  • 硬件支持的虚拟化(如 Intel VT-x 和 AMD-V):这些硬件功能使得 Hypervisor 能够高效地管理系统资源,并为 HVCI 提供所需的隔离性和控制能力。

2. 代码完整性验证

HVCI 的核心功能是通过虚拟化保护来验证并确保内核代码的完整性。具体来说,HVCI 会将内核模式代码的加载和执行过程与操作系统的其他部分进行隔离,确保没有恶意软件能够修改或篡改内核代码。

  • 代码签名验证:HVCI 会检查加载到内核中的驱动程序和模块是否有有效的签名。如果某个驱动程序或模块没有有效签名或者签名不符合要求,它将被阻止加载,从而避免恶意软件通过加载伪造的驱动程序来感染系统。
  • 强制执行内核模式代码的完整性:HVCI 强制要求所有内核模式代码都必须通过 Hypervisor 层进行完整性检查。只有通过验证的代码才能运行,这样可以防止恶意代码注入到内核空间。

3. 虚拟化隔离内核执行

HVCI 通过虚拟化技术将内核模式代码的执行与其他应用程序的执行进行隔离。具体来说,当 HVCI 启用时,操作系统内核会在一个受保护的环境中执行,该环境由虚拟机监控器控制,从而阻止恶意程序直接访问或修改内核内存。

  • 隔离执行环境:在启用 HVCI 的情况下,内核代码和数据会在一个虚拟化保护的环境中运行,这样即使恶意程序获得了系统级权限,也无法直接干预内核的执行。
  • 内核内存保护:HVCI 会通过虚拟化隔离内核的内存区域,防止恶意代码通过直接修改内存或使用漏洞进行内核模式攻击。

4. 硬件加速的保护

HVCI 依赖硬件虚拟化技术(如 Intel VT-x 和 AMD-V)来提供更高效的保护。虚拟化硬件能够提供比传统软件解决方案更强大的隔离能力,确保内核完整性验证过程不会受到破坏。

  • 硬件级别的安全性:虚拟化硬件提供的隔离能力比纯软件实现更强大,可以在硬件层面进行内存管理和执行控制,从而进一步增强内核完整性的保护。
  • 性能优化:通过硬件虚拟化技术,HVCI 在提供高安全性的同时,不会显著影响系统性能,因为硬件虚拟化能够高效地管理资源分配和隔离任务。

5. 攻击防范机制

HVCI 可以防止多种类型的攻击,尤其是那些依赖于内核漏洞或恶意代码执行的攻击。常见的攻击方式包括:

  • 驱动程序漏洞利用:恶意软件可能会通过利用驱动程序中的漏洞来执行恶意代码。HVCI 通过验证和签名要求,防止了未经授权的驱动程序加载,从而减小了此类攻击的风险。
  • 内核模式代码注入:许多恶意程序通过注入内核模式代码来获得更高的权限,甚至完全控制系统。HVCI 通过虚拟化隔离和代码验证机制,阻止了这些恶意程序的执行。

 

内核完整性保护(HVCI)通过硬件虚拟化技术提供了一层额外的安全防护,确保系统内核的完整性不被恶意软件篡改。它的底层原理基于虚拟机监控器的控制与隔离能力,通过验证内核代码的签名、隔离内核执行环境、硬件加速的保护等多重措施,防止了多种内核级别的攻击。这种技术显著提高了系统的安全性,特别是在抵御恶意软件和攻击时。

内核完整性保护(HVCI,Hypervisor-Enforced Code Integrity)依赖于操作系统中的多个文件、驱动程序以及配置文件,这些文件和组件共同作用来确保内核代码的完整性和安全性。以下是一些与 HVCI 相关的关键文件和组件:

1. 驱动程序和模块文件

HVCI 的核心功能之一是验证加载到内核中的驱动程序和模块的完整性。这些驱动程序和模块通常会位于以下路径:

  • C:\Windows\System32\drivers:存放系统驱动程序的文件夹。HVCI 会验证此文件夹中的驱动程序和内核模块的签名,以确保它们没有被篡改或注入恶意代码。

2. 内核模式代码的完整性验证文件

  • C:\Windows\System32\ntoskrnl.exe:操作系统的内核文件,HVCI 会确保该文件未被修改,并且来自合法的签名源。
  • C:\Windows\System32\bootcat.cache:启动时的内核加载信息文件,包含操作系统内核模块和驱动程序的元数据。

3. 代码完整性和配置文件

HVCI 依赖于一些与内核模式代码完整性验证相关的配置文件。这些配置文件指示操作系统何时启用或禁用 HVCI 功能:

  • C:\Windows\System32\GroupPolicy:存储组策略设置的文件夹。管理员可以通过组策略启用或禁用 HVCI 功能,从而控制操作系统对内核代码的完整性保护。与 HVCI 相关的策略可能会在此文件夹中。
  • C:\Windows\System32\drivers\codeintegrity.sys:这是一个内核模式的驱动程序,负责实现代码完整性检查。它是 HVCI 功能的核心组成部分之一,确保所有内核加载的驱动程序和模块符合完整性检查。

4. 硬件虚拟化支持的文件

由于 HVCI 依赖于硬件虚拟化技术(如 Intel VT-x 和 AMD-V),操作系统会与这些硬件特性进行交互:

  • C:\Windows\System32\hyperv.dll:Hyper-V 相关的 DLL 文件,用于管理虚拟化技术。HVCI 需要与 Hyper-V 协同工作来提供内核级保护。

5. Windows 注册表配置

HVCI 相关的某些功能可能通过 Windows 注册表进行配置,特别是针对驱动程序签名和内核模式代码完整性检查。与 HVCI 配置相关的注册表键值可能包括:

  • **HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\CI**:此注册表路径下的配置项涉及代码完整性(Code Integrity)相关的设置。
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\HypervisorEnforcedCodeIntegrity:这个注册表项用于控制是否启用 HVCI 功能。

6. 组策略文件

通过组策略,管理员可以启用或禁用 HVCI。具体的组策略文件配置可能存储在:

  • C:\Windows\System32\GroupPolicy:存放与 HVCI 和其他安全功能相关的组策略配置文件。

7. 系统日志和事件日志

系统日志文件记录了与 HVCI 相关的事件,例如驱动程序加载失败、代码完整性检查失败等。相关日志文件可以在以下路径找到:

  • C:\Windows\System32\winevt\Logs\Security.evtx:包含操作系统安全相关事件的日志文件,记录了包括 HVCI 相关的事件。
  • C:\Windows\System32\winevt\Logs\Application.evtx:包含应用程序事件的日志文件,可能记录了与代码完整性验证相关的信息。

HVCI 依赖于操作系统中的多个文件和组件,包括驱动程序文件、内核模块、配置文件、注册表设置和硬件支持文件。它通过对内核代码的严格验证,确保操作系统的安全性,防止恶意软件在内核模式下执行。

受控文件夹访问(Controlled Folder Access,简称 CFA)是 Windows 操作系统中的一项安全功能,旨在保护用户文件免受勒索软件和其他恶意软件的攻击。该功能通过限制对特定文件夹的访问,只有受信任的应用程序和进程可以访问这些文件夹,从而减少了恶意软件篡改文件的机会。CFA 是 Windows Defender 安全中心的一部分,并且与 Windows 10 和 Windows Server 2016 及更高版本兼容。

受控文件夹访问的底层原理

  1. 文件夹保护机制 受控文件夹访问通过保护特定的文件夹来防止未经授权的程序访问这些文件夹。默认情况下,Windows 会保护一些关键的文件夹,例如“文档”、“图片”、“视频”等用户文件夹。管理员可以通过设置来添加额外的文件夹保护。被保护的文件夹会受到严格的文件操作控制,只有符合条件的程序才能访问这些文件夹。

  2. 基于进程的访问控制 CFA 采用了一种基于进程的访问控制机制,只有经过 Windows Defender 签名认证的可信应用程序能够访问受保护文件夹中的文件。当文件访问请求被发起时,操作系统会检查请求发起进程是否符合白名单中的要求。未被允许的应用程序(通常是恶意软件)将被拒绝访问。

  3. 动态行为分析与监控 受控文件夹访问不仅仅是通过静态白名单来允许应用程序访问文件夹,它还依赖于 Windows Defender 的动态行为监控。通过监控进程的行为,操作系统能够检测到异常行为并做出响应。如果某个进程试图对受保护文件夹中的文件进行修改,而该进程不在受信任应用列表中,系统会立即阻止此操作并触发警报。这个过程依赖于:

    • 实时防护:实时监控进程活动,确保文件夹中的文件不会被恶意软件修改。
    • 行为检测:监控进程的行为模式,尤其是针对勒索软件等恶意程序的典型行为,如加密大量文件。

  4. 基于文件操作的拦截 CFA 会拦截对受保护文件夹的以下文件操作:

    • 文件创建:恶意进程不能随意在受保护的文件夹中创建文件。
    • 文件修改:勒索软件通常会加密文件,CFA 会阻止这种未授权的修改行为。
    • 文件删除:只有受信任的进程才能删除受保护文件夹中的文件。

  5. 使用文件系统过滤驱动程序 CFA 的核心是 Windows 文件系统过滤驱动程序(File System Filter Driver)。该驱动程序在内核模式下工作,拦截所有文件操作请求。它会验证每个文件操作请求的源进程是否合法,并根据受控文件夹访问的配置策略进行授权或拒绝。如果进程未获得许可访问目标文件夹,驱动程序将拒绝该文件操作,并将事件记录到系统日志中。

  6. 白名单机制 受控文件夹访问使用白名单机制来管理可信应用程序的列表。Windows Defender 会定期更新并维护这个白名单,包含被认为是可信的应用程序(例如,Microsoft Office、常见的浏览器等)。此外,管理员可以手动添加或移除特定应用程序。只有白名单中的应用程序才能对受保护文件夹中的文件进行合法操作。

  7. 日志和告警机制 CFA 通过 Windows 事件日志记录所有的文件访问操作,特别是被拒绝的访问尝试。这些日志对于管理员来说是非常重要的,可以用于后续的分析和安全事件响应。此外,CFA 还可以配合其他安全产品发出告警,以便及时发现潜在的恶意活动。

受控文件夹访问的工作流程

  1. 启用受控文件夹访问:管理员通过 Windows Defender 安全中心或组策略启用受控文件夹访问功能,并指定哪些文件夹需要受到保护。

  2. 文件访问请求:当某个应用程序或进程请求对受保护文件夹中的文件进行操作时,Windows 文件系统过滤驱动程序会拦截该请求。

  3. 验证进程:操作系统会检查请求的进程是否在白名单中,或者是否符合防护规则。如果进程未被授权访问,则该操作被拒绝。

  4. 记录事件:所有被拒绝的文件操作会被记录到系统日志中,管理员可以随时查看这些事件。

  5. 实时保护:如果进程的行为符合勒索软件的特征(如大量文件的加密或删除),Windows Defender 会实时监控并采取措施进行防御。

受控文件夹访问是 Windows 中的一项非常有效的安全功能,它通过对特定文件夹的访问进行严格的控制和监视,有效地阻止了勒索软件等恶意软件篡改、加密或删除用户数据。其底层机制依赖于文件系统过滤、进程行为监控、白名单机制和动态防护分析。通过这些手段,CFA 提供了一层额外的保护,以提高用户数据的安全性。

受控文件夹访问(CFA)是 Windows 操作系统中的一项安全功能,其核心依赖于文件系统过滤驱动程序以及 Windows Defender 安全服务。为了实现文件保护,CFA 涉及多个文件和组件。下面是一些与受控文件夹访问相关的关键文件和组件:

1. Windows Defender 相关文件

  • Msmpeng.exe:这是 Windows Defender 的核心进程,负责病毒和恶意软件扫描。CFA 功能由 Windows Defender 提供支持,因此它依赖于该进程来进行文件保护。
  • Wdboot.sys:这是一种驱动程序,负责在系统启动时加载 Windows Defender。
  • Wdfilter.sys:这是一个重要的过滤驱动程序,支持 Windows Defender 在文件系统层面拦截恶意行为。它在 CFA 中起到了文件访问控制和安全监控的作用。
  • DefenderUI.exe:这是 Windows Defender 的用户界面,用于设置和管理安全选项,包括启用或禁用受控文件夹访问功能。

2. 文件系统过滤驱动程序(File System Filter Driver)

受控文件夹访问通过文件系统过滤驱动程序来拦截对受保护文件夹的所有文件操作请求。以下是关键的驱动文件:

  • Cfw.sys:这是负责受控文件夹访问功能的过滤驱动程序,它监控文件系统中的文件操作。该驱动程序会根据文件的访问请求,决定是否允许该操作。Cfw.sys 是实现文件夹保护、拦截恶意进程的关键组件。

3. 注册表配置文件

受控文件夹访问的配置和管理依赖于注册表。通过编辑注册表,管理员可以配置受保护的文件夹以及其他相关的设置。

  • **HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender**:这是 Windows Defender 设置的主注册表路径,其中包含受控文件夹访问相关的键值。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Controlled Folder Access:这里存储着受控文件夹访问的具体配置信息,包括受保护的文件夹路径、白名单应用程序、文件操作日志等。

4. 事件日志文件

  • Windows 事件日志:受控文件夹访问会记录所有文件访问请求,特别是被拒绝的操作。日志文件位于 事件查看器 中,可以用于查看受保护文件夹的访问情况和潜在的恶意行为。

5. 安全中心组件

  • SecurityHealthService.exe:这是 Windows 安全中心的服务进程,负责处理和管理与系统安全性相关的任务,包括受控文件夹访问的启用或禁用。
  • Windows Defender 安全中心:Windows Defender 安全中心提供一个用户界面,可以用来启用、配置和管理受控文件夹访问。

6. 组策略文件(如果启用)

如果管理员通过组策略启用受控文件夹访问,以下的组策略文件和设置会影响到 CFA 的行为:

  • gpedit.msc:这是用于配置 Windows 组策略的工具。通过它,管理员可以设置受控文件夹访问的启用状态、保护的文件夹和受信任的应用程序。

7. 系统日志文件

  • Windows 日志文件:操作系统通过日志文件记录各种事件,包括 CFA 操作。如果某个进程被拒绝访问受保护文件夹的文件,系统会将事件记录在日志文件中,通常是 应用程序和服务日志 中的 Microsoft/Windows/Defender 目录。

受控文件夹访问(CFA)功能依赖多个关键的系统文件、驱动程序、注册表配置文件和日志文件。这些文件和组件共同工作,以保护用户的数据免受勒索软件和恶意软件的侵害。关键的文件包括 Windows Defender 的核心进程和驱动程序(如 Wdfilter.sysCfw.sys),事件日志文件,以及相关的注册表项和组策略设置。

 

posted @ 2025-04-11 05:34  suv789  阅读(593)  评论(0)    收藏  举报