微软程序控制机制WDAC

WDAC（Windows Defender Application Control）是微软推出的一种应用程序控制机制，主要用于提升Windows系统的安全性。以下是对WDAC的详细解析：

---

1. 核心功能

• 应用程序白名单：仅允许经过验证的应用程序、脚本、驱动等运行，阻止未知或未授权的代码执行。
• 代码完整性验证：通过数字签名、哈希值、证书等方式验证代码来源的合法性。
• 防御恶意软件：有效阻止勒索软件、无文件攻击、未签名驱动等威胁。

---

2. 工作原理

• 策略定义：管理员创建XML格式的策略文件，明确允许或禁止的应用程序规则。
• 部署方式：通过组策略（GPO）、移动设备管理（MDM）或手动部署到目标设备。
• 运行时拦截：系统内核实时监控进程创建、驱动加载等行为，违反策略的操作会被阻止并记录日志。

---

3. 关键特性

• 灵活模式：
  • 强制模式（Enforced）：严格执行策略，阻止未授权代码。
  • 审核模式（Audit）：仅记录违规行为而不阻止，用于测试阶段。