易受攻击的驱动程序阻止列表需要开吗? 深入了解Win11内核隔离

「microsoft 易受攻击的驱动程序阻止列表」是 windows defender 应用程序控制（wdac）框架的核心组件之一。它能与内存完整性（hvci）或「智能应用控制」（sac）协同工作，阻止「已知的」恶意或存在安全漏洞的驱动程序。通过阻止未经签名或有风险的内核模式驱动程序加载，来增强系统的整体安全性。

开启这个「阻止列表」，能够有效抵御日益猖獗的 byovd 攻击（利用自有易受攻击的驱动程序），这也是微软官方推荐的安全基线配置。但是，在某些特定场景下，比如要兼容老旧硬件或定制驱动程序时，你可能需要将它关闭。

1.「microsoft 易受攻击的驱动程序阻止列表」要开吗？

是否打开或关闭「阻止列表」，取决于你的安全要求，以及它可能带来的影响。你可以从以下几个方面来评估系统的稳定性和兼容性：

1.1 驱动程序兼容性

• 「阻止列表」的设计初衷，是阻止那些已知存在漏洞或风险的驱动程序运行，哪怕它们有数字签名。
• 但有时候，保护力度过猛也可能存在误伤。那些用于旧版软件或硬件的、没签名或老旧驱动，很可能会被误判。
• 因此，在启用「阻止列表」之前，强烈建议你测试所有关键应用和硬件驱动，确保它们能够正常工作。

1.2 与「智能应用控制」 联动

• 「智能应用控制」（sac）是 windows 11 中的一项安全功能，主要用来阻止不受信任或未经签名的应用和驱动。当 sac 处于「打开」或「评估」模式时，如果系统判定兼容性和安全性足以执行「阻止列表」，可能会自动启用「microsoft 易受攻击的驱动程序阻止列表」。
• 如果 sac 误阻止了某个正常的驱动程序加载，你可能需要关闭 sac 功能，或通过「windows defender 应用程序控制」将该驱动程序加入白名单。

2. 准备工作

在动手配置「阻止列表」之前，请确保满足以下前提条件：

• 操作系统：windows 11 22h2 或更高版本。
• 管理员权限：你需要拥有管理员权限，才能进行相关配置。
• 核心安全功能：设备需要支持并已启用「内存完整性」或「智能应用控制」功能。

3.开启或关闭「microsoft 易受攻击的驱动程序阻止列表」

3.1 通过「windows 安全中心」

1、按windows + r快捷键打开「运行」对话框，执行windowsdefender:（有冒号）打开「windows 安全中心」。

2、进入「设备安全性」>「内核隔离详细信息」。

3、根据你的需要，打开或关闭「microsoft 易受攻击的驱动程序阻止列表」开关。

4、重启电脑让更改生效。

在「设置」中启用阻止列表

3.2 通过组策略

1、按windows + r快捷键打开「运行」对话框，输入gpedit.msc并回车，打开「本地组策略编辑器」。

2、展开「计算机配置」>「管理模板」>「系统」>「device guard」。

3、将「打开基于虚拟化的安全」策略设置为「已启用」。

4、将「选择平台安全级别」设置为：

• 安全启动：提供基本防护。
• 安全启动和 dma 保护：推荐用于最高安全性。

5、将「基于虚拟化的代码完整性保护」设置为：

• 使用 uefi 锁启动：启用受保护进程（ppl，protected process light）。
• 无锁启用：启用 ppl + 驱动签名验证。

通过组策略启用阻止列表

6、保存配置后重启电脑，让配置生效。

以上配置将强制激活「虚拟机监控程序保护的代码完整性」（hvci），阻止未签名或已知的易受攻击内核模式驱动程序，严格执行「microsoft 易受攻击的驱动程序阻止列表」的策略。

3.3 更改注册表

1、按windows + r打开「运行」对话框，执行regedit打开注册表编辑器。

2、导航到以下位置：

hkey_local_machine\system\currentcontrolset\control\ci\config

3、找到或新建一个名为vulnerabledriverblocklistenable的 dword (32 位) 值，并将其值设置为：

• 1：开启「阻止列表」。
• 0：关闭「阻止列表」。

通过 vulnerabledriverblocklistenable 注册表设置启用或禁用阻止列表

4、重启电脑让更改生效。

4.常见问题解答

为什么「microsoft 易受攻击的驱动程序阻止列表」变成了灰色？

microsoft 易受攻击驱动程序阻止列表灰色

• 在启用了「内存完整性」后，系统会强制启用「驱动程序阻止列表」。这是微软的安全设计，用于防止存在已知安全风险的内核级驱动加载。
• 启用「智能应用控制」或 s 模式后，「阻止列表」功能也会自动锁定，变成灰色。

「microsoft 易受攻击驱动程序阻止列表」有助于保护 windows 11 系统免受基于驱动程序的漏洞威胁。根据你的使用环境和管理需求，可通过「windows 安全中心」、组策略或注册表来进行管理。在配置此功能时，你需要自行在安全性和驱动兼容性之间取得平衡。