使用 Windows Defender、AppLocker 等保护服务器

恶意软件（计算机病毒、蠕虫、特洛伊木马、勒索软件、间谍软件等）对组织构成持续威胁，因为它可能损坏设备并使未经授权的人员能够远程访问网络以收集和传输敏感信息。 Windows Server 2022 包含以下工具和功能来帮助减轻恶意软件的威胁：

• Windows Defender 安全中心应用程序
• Windows Defender 设备防护
• 控制流卫士
• 软件限制策略 (SRP)
• 应用锁
• 安全合规工具包

Windows Defender 安全中心应用程序

Windows Defender Server 2022 安全中心应用可以帮助你识别并删除环境中计算机和其他设备中的恶意软件。以下是它提供的一些信息和功能：

• 病毒和威胁防护。包括有关防病毒设置以及 Windows Defender Exploit Guard 的受控文件夹访问功能的信息和访问权限。
• 设备性能和运行状况。提供有关驱动程序、存储空间和 Windows 更新的信息。
• 防火墙和网络保护。包括有关防火墙设置的信息和访问权限，其中包括 Windows Defender 防火墙设置。
• 应用和浏览器控制。包括漏洞利用保护缓解措施和 Windows Defender SmartScreen 设置。
• 家庭选项。包括访问家长控制和家庭设置。

Windows Defender 设备防护

Windows Defender Device Guard 是 Windows Server 2022 中引入的一套安全功能。当您打开它时，操作系统将仅运行您的白名单上的应用程序，而不是信任除防病毒或其他安全解决方案阻止的应用程序之外的所有应用程序。组织定义。

Windows Defender Device Guard 使用基于虚拟化的安全性将代码完整性服务与 Windows 内核隔离。即使未经授权的用户设法控制操作系统，Windows Defender Device Guard 也可以阻止任何软件。通过使用代码完整性策略来保护您的环境，您可以准确选择可以在您的环境中运行的内容。

Windows Defender Device Guard 不是单一功能。它是多种功能的组合，例如：

• 虚拟安全模式。将 ISASS.exe 进程与操作系统隔离的虚拟 shell，从而降低恶意用户破坏用户域凭据的风险
• Windows Defender 应用程序控制。提供规则引擎以帮助确保可执行文件安全性的 Windows 组件
• 虚拟安全模式保护代码完整性。将内核模式代码完整性 (KMCI) 和虚拟机管理程序代码完整性 (HVCI) 组件移至虚拟安全模式，以强化其免受攻击。
• 平台和 UEFI 安全启动。安全启动通过使用签名和测量来帮助保护启动加载程序代码和固件免遭篡改，从而提供高价值的安全优势。

控制流卫士

CFG 是一项平台安全功能，有助于防止内存损坏漏洞。 CFG 对应用程序执行代码的位置进行了限制，这使得恶意黑客更难通过缓冲区溢出等常见漏洞执行主观代码。 CFG 监视并检查程序控制流的某些方面，包括执行与直接顺序指令发生变化的位置。支持 CFG 的技术确保所有间接调用都会跳转到合法目标。恶意黑客会向正在运行的程序提供不常见的输入，使其意外执行。

软件限制策略 (SRP)

帮助阻止恶意软件和其他网络威胁的最佳方法之一是限制或限制可以在企业环境中运行的软件。

一种选择是使用 SRP，它使管理员能够创建规则来指定哪些应用程序可以在客户端设备上运行。规则基于以下标准之一：

• 哈希。文件的加密指纹
• 证书。对文件进行数字签名的软件发行商证书
• 路径。文件存储位置的本地或通用命名约定 (UNC) 路径
• 区域。互联网区

应用锁

AppLocker 是控制用户可以运行哪些应用程序的另一种方法。您可以通过组策略将 AppLocker 应用到组织单位 (OU) 内的计算机对象。您还可以将单独的 AppLocker 规则应用于单独的 Active Directory 域服务 (AD DS) 用户或组。 AppLocker 还包含可用于监视或审核规则应用程序的选项。

例如，您可以使用 AppLocker 来限制以下软件：

• 您不希望任何人在您的公司中使用。
• 员工不使用或您已替换为更新版本。
• 你们公司不再支持。
• 只有特定部门才应该使用的软件。

您可以在 GPMC 中的以下位置配置 AppLocker 的设置：“计算机配置策略 Windows 设置安全设置应用程序控制策略”。

安全合规工具包 (SCT)

为了帮助防范安全威胁，组织必须拥有精心设计的安全策略，涵盖大多数组织和 IT 相关组件。安全策略应该为服务器的基本安全建立基线，然后确保该基线应用于所有服务器。

SCT 是一组免费的 Microsoft 工具，管理员可以使用它们来帮助保护其环境中的计算机，无论计算机是驻留在本地、远程还是在云中。您可以下载微软推荐的安全配置基线；测试、编辑和存储它们；并将它们应用到您的服务器。您还可以将当前的 GPO 与基线进行比较。

SCT的主要特点包括：

• 策略分析器。使您能够分析和比较组策略对象 (GPO) 集
• 本地组策略对象实用程序。帮助自动管理本地组策略，包括从策略分析器生成的组策略备份、注册表策略文件、安全模板和高级审核备份 CSV 文件导入设置