微软的新KDP技术通过将Windows内核的一部分设为只读来阻止恶意软件

微软今天发布了有关新安全功能的第一批技术细节，该功能即将成为Windows 10的一部分。

微软称其为内核数据保护（KDP），该功能将阻止恶意软件或恶意威胁参与者修改（破坏）操作系统的内存。

根据Microsoft的说法，KDP的工作方式是使开发人员可以访问编程API，这将使他们可以将Windows内核的某些部分指定为只读部分。

微软的基础内核团队今天说：“例如，攻击者使用签名但易受攻击的驱动程序攻击策略数据结构并安装恶意的未签名驱动程序。” “ KDP通过确保策略数据结构不会被篡改来减轻此类攻击。”

微软表示，这项新技术的开发考虑了安全性，但它还具有其他应用程序，例如反作弊和数字版权管理（DRM）软件。

除了提高操作系统安全性之外，KDP还具有其他优点，例如：

• 性能改进– KDP减轻了证明组件的负担，不再需要定期验证已被写保护的数据变量

• 可靠性改进– KDP使诊断不一定代表安全漏洞的内存损坏错误变得更加容易

• 激励驱动程序开发人员和供应商改善与基于虚拟化的安全性的兼容性，并提高生态系统中这些技术的采用率

雷德蒙德说，在后台，KDP在该公司一直致力于添加到Windows 10的一项新技术上工作。该技术被称为基于虚拟化的安全性（VBS），它使用计算机的基础硬件来隔离安全区域。正常操作系统内部的“虚拟安全模式”内存。

KDP的工作原理是将内核内存标记设为只读，然后将其移动到VBS“虚拟安全模式”中，即使在操作系统本身也无法对其进行篡改。

微软表示，VBS支持是在Windows 10上将KDP与应用程序一起使用的唯一要求。

任何支持VBS的计算机也将固有地支持KDP。当前，任何支持以下内容的计算机都支持VBS：

• 英特尔，AMD或ARM虚拟化扩展

• 二级地址转换：AMD的NPT，英特尔的EPT，ARM的第二阶段地址转换

• （可选）硬件MBEC，可降低与HVCI相关的性能成本

微软即将推出的安全核心PC系列产品本身也支持VBS。实际上，微软在今年3月初的官方Secured-core PC官方声明中首先嘲笑了KDP功能。

当前，KDP已包含在最新的Windows 10 Insider Build中。没有何时将其包含在主要Windows 10稳定版本中的时间表。