引言：在Windows 10發(fā)布之際，微軟透露了其行將植入的一種新的安全機(jī)制即Device Guard（DG，設(shè)保）, 旨在幫助Windows 10設(shè)備等夠抵御未名惡意代碼、零日攻擊以及APTs (Advanced Persistent Threats)。

在Windows 10發(fā)布之際，微軟透露了其行將植入的一種新的安全機(jī)制即Device Guard（DG）， 旨 在 幫助Windows 10設(shè)備抵御未名惡意代碼、零日攻擊及APTs (Advanced Persistent Threats)，即DG只認(rèn)“可信任apps”而拒絕其他一切。“可信任”即具有正規(guī)軟件商家或者Windows Store數(shù)字標(biāo)識的應(yīng)用，或用戶自行開發(fā)的應(yīng)用系統(tǒng)。

與現(xiàn)有安全預(yù)案相比，DG優(yōu)勢主要有采用硬件和虛擬技術(shù)將某個(gè)應(yīng)用從OS隔離并加以認(rèn)證，它以一種獨(dú)立的最小化例程存在于OS內(nèi)。DG要求硬件具有IOMMU功 能，IOMMU是一種I/O內(nèi)存管理單元，即與主內(nèi)存通過DMA類型的I/O總線相連，能將虛擬地址映射到物理地址。

IOMMU有不少優(yōu)勢，其中最重要的便是能有效對付DMA攻擊，與以前直接采用物理地址內(nèi)存的CPU相比，它在性能上稍弱，但迄今處理器單純的速度指標(biāo)已不是很重要。新款I(lǐng)ntel和AMD處理器和某些ARM處理器都標(biāo)注有支持DG或準(zhǔn)DG功能，所謂準(zhǔn)DG功能，往往只需安裝驅(qū)動(dòng)程序即可。

當(dāng)然，DG并沒有否定甚至根本無意替代傳統(tǒng)殺毒軟件的功績，二者其實(shí)是相得益彰。況且DG對于其他多種類型的威脅并不具有免疫性，比如文本中的Java和宏。DG無 疑 是Windows 10的一個(gè)重要安全補(bǔ)丁，能夠有效針對近年來頻現(xiàn)的新的威脅如敲詐者病毒CryptoLocker以及狡猾的新木馬BlackPOS。

傳統(tǒng)的防病毒軟件的思路是，所有應(yīng)用在起初都是默認(rèn)為可信任的，除非有殺毒軟件從中發(fā)現(xiàn)潛在的威脅，它是靠“黑名單”來識別的，此舉頗似亡羊補(bǔ)牢。而DG則采取的是一種“白名單”，讓所有不速之客類型的應(yīng)用不得入內(nèi)，這種想法聽上去好像并無新意，因?yàn)橹暗腁ppLocker采用的正是白名單原理，同時(shí)系統(tǒng)還提供了SRP(Software Restriction Policies) 策略，但 無 論SRP還 是AppLocker在配置時(shí)都較為復(fù)雜，在文件類型和角色分配時(shí)操作較為繁雜棘手。

與DG同 期 出 現(xiàn)的另一項(xiàng)安全技術(shù)是ATA（Advanced Threat Analytics，高威脅分析），它通過監(jiān)視IP流量進(jìn)行行為分析，采取一定算法探測攻擊特征，由此生成有效的應(yīng)對方案。 ATA優(yōu)點(diǎn)是易于管理，讓管理員不必設(shè)置繁縟的rules和policies ，而且ATA還具有隱蔽性，不易被攻擊者察覺，當(dāng)發(fā)現(xiàn)異常情況會及時(shí)匯報(bào)管理員。

ATA視為異常的行為包括：可疑登錄，遠(yuǎn)程代碼控制，密碼共享和轉(zhuǎn)移，并能夠阻止BruteForce攻擊。大家知道，活動(dòng)目錄AD是企業(yè)網(wǎng)絡(luò)中最為重要的部分之一，其安全性尤為值得關(guān)注，為此ATA不可忽視。其作用可以簡單描述為：將一個(gè)或多個(gè)ATA網(wǎng)關(guān)置于內(nèi)網(wǎng)即防火墻內(nèi)部，每個(gè)ATA網(wǎng)關(guān)通過端口鏡像方式捕獲AD中的各個(gè)域控制器網(wǎng)流并接收來自SIEM軟件（Security Information and Event Management）的 事件報(bào)告，并將信息發(fā)送給ATA Center。

ATA Center獲得數(shù)據(jù)后會存儲到數(shù)據(jù)庫內(nèi)，這些數(shù)據(jù)會由ATA生成用于安全事件分析的OSG圖形（Organizational Security Graph），并尋找發(fā)現(xiàn)有關(guān)攻擊特征。為此我們做一個(gè)實(shí)驗(yàn)：準(zhǔn)備兩臺servers，一個(gè)作為ATA Center，另 一 部 作 為ATA Gateway的機(jī)器運(yùn)行Windows Server 2012 R2，它們都安裝成為域成員，然后將ATA端口設(shè)置為鏡像，使得ATA Gateway能夠看到域控制器DC（Domain Controllers）網(wǎng)流的進(jìn)出情況。

如果我們將ATA Gateway安裝為虛擬機(jī)，那么將要監(jiān)控的DC也要運(yùn)行在相同的VM上。如果我們想要讓ATA接收來自SIEM的數(shù)據(jù)，就需要對ATA Gateway服務(wù)器以及SIEM/Syslog服務(wù)器進(jìn)行一系列配置，比如要求后者提交特定的事件給ATA Gateway，同時(shí)需要將Gateway設(shè)置為偵聽和接收這些事件。配置完成后，運(yùn)行ATA，就會在ATA管理控制臺看到異常行為的列表，通過Web瀏覽器可以訪問到該管理平臺。