引言：在Windows 10發(fā)布之際，微軟透露了其行將植入的一種新的安全機制即Device Guard（DG，設保）, 旨在幫助Windows 10設備等夠抵御未名惡意代碼、零日攻擊以及APTs (Advanced Persistent Threats)。

在Windows 10發(fā)布之際，微軟透露了其行將植入的一種新的安全機制即Device Guard（DG）， 旨 在 幫助Windows 10設備抵御未名惡意代碼、零日攻擊及APTs (Advanced Persistent Threats)，即DG只認“可信任apps”而拒絕其他一切?！翱尚湃巍奔淳哂姓?guī)軟件商家或者Windows Store數字標識的應用，或用戶自行開發(fā)的應用系統(tǒng)。

與現有安全預案相比，DG優(yōu)勢主要有采用硬件和虛擬技術將某個應用從OS隔離并加以認證，它以一種獨立的最小化例程存在于OS內。DG要求硬件具有IOMMU功 能，IOMMU是一種I/O內存管理單元，即與主內存通過DMA類型的I/O總線相連，能將虛擬地址映射到物理地址。

IOMMU有不少優(yōu)勢，其中最重要的便是能有效對付DMA攻擊，與以前直接采用物理地址內存的CPU相比，它在性能上稍弱，但迄今處理器單純的速度指標已不是很重要。新款Intel和AMD處理器和某些ARM處理器都標注有支持DG或準DG功能，所謂準DG功能，往往只需安裝驅動程序即可。

當然，DG并沒有否定甚至根本無意替代傳統(tǒng)殺毒軟件的功績，二者其實是相得益彰。況且DG對于其他多種類型的威脅并不具有免疫性，比如文本中的Java和宏。DG無 疑 是Windows 10的一個重要安全補丁，能夠有效針對近年來頻現的新的威脅如敲詐者病毒CryptoLocker以及狡猾的新木馬BlackPOS。

傳統(tǒng)的防病毒軟件的思路是，所有應用在起初都是默認為可信任的，除非有殺毒軟件從中發(fā)現潛在的威脅，它是靠“黑名單”來識別的，此舉頗似亡羊補牢。而DG則采取的是一種“白名單”，讓所有不速之客類型的應用不得入內，這種想法聽上去好像并無新意，因為之前的AppLocker采用的正是白名單原理，同時系統(tǒng)還提供了SRP(Software Restriction Policies) 策略，但 無 論SRP還 是AppLocker在配置時都較為復雜，在文件類型和角色分配時操作較為繁雜棘手。

與DG同 期 出 現的另一項安全技術是ATA（Advanced Threat Analytics，高威脅分析），它通過監(jiān)視IP流量進行行為分析，采取一定算法探測攻擊特征，由此生成有效的應對方案。 ATA優(yōu)點是易于管理，讓管理員不必設置繁縟的rules和policies ，而且ATA還具有隱蔽性，不易被攻擊者察覺，當發(fā)現異常情況會及時匯報管理員。

ATA視為異常的行為包括：可疑登錄，遠程代碼控制，密碼共享和轉移，并能夠阻止BruteForce攻擊。大家知道，活動目錄AD是企業(yè)網絡中最為重要的部分之一，其安全性尤為值得關注，為此ATA不可忽視。其作用可以簡單描述為：將一個或多個ATA網關置于內網即防火墻內部，每個ATA網關通過端口鏡像方式捕獲AD中的各個域控制器網流并接收來自SIEM軟件（Security Information and Event Management）的 事件報告，并將信息發(fā)送給ATA Center。

ATA Center獲得數據后會存儲到數據庫內，這些數據會由ATA生成用于安全事件分析的OSG圖形（Organizational Security Graph），并尋找發(fā)現有關攻擊特征。為此我們做一個實驗：準備兩臺servers，一個作為ATA Center，另 一 部 作 為ATA Gateway的機器運行Windows Server 2012 R2，它們都安裝成為域成員，然后將ATA端口設置為鏡像，使得ATA Gateway能夠看到域控制器DC（Domain Controllers）網流的進出情況。

如果我們將ATA Gateway安裝為虛擬機，那么將要監(jiān)控的DC也要運行在相同的VM上。如果我們想要讓ATA接收來自SIEM的數據，就需要對ATA Gateway服務器以及SIEM/Syslog服務器進行一系列配置，比如要求后者提交特定的事件給ATA Gateway，同時需要將Gateway設置為偵聽和接收這些事件。配置完成后，運行ATA，就會在ATA管理控制臺看到異常行為的列表，通過Web瀏覽器可以訪問到該管理平臺。