微软不断提供新的安全产品和更新，承诺更好地保护其用户免受可能的网络犯罪攻击。然而，在一个意想不到的情况下，网站Ars Technica有了一个巨大的发现：由于过时的脆弱的驱动程序阻止列表和低效的安全保护功能，Windows PC在过去三年里实际上没有恶意驱动程序保护功能，也就是说电脑处于裸奔的状态。

https://arstechnica.com/information-technology/2022/10/how-a-microsoft-blunder-opened-millions-of-pcs-to-potent-malware-attacks/

驱动程序是每台Windows PC的基本文件，为了使设备正常工作，如显卡、打印机、网络摄像头等，安装驱动就成了必备的操作，而驱动中的数字标志对确保它们的安全使用非常重要。这也为客户提供了保证，即认证后的驱动中没有安全漏洞，而安全漏洞可能会导致Windows设备的安全隐患，有可能让坏蛋进入系统。

Windows更新的一部分是将那些恶意的驱动程序添加到自己的阻止列表中，以防止其他用户将来意外地安装它们。微软正在使用的另一个工具是增加一层保护，以避免这种情况的发生，它是通过使用一种叫做管理程序保护的代码完整性（HVCI）的功能，也叫内存完整性，它确保安装的驱动程序是安全的，以防止不良分子将恶意代码放入用户的系统。最近，微软在一篇文章中强调，这项功能与虚拟机平台一起，默认启用保护。该公司指出，用户在核实影响系统的游戏性能后，可以选择禁用它（尽管微软也提到在玩游戏后将其重新打开）。然而，在Ars Technica发现HVCI功能实际上并没有提供预期的对恶意驱动的全面保护之后，这些建议变成了毫无意义。

在Ars Technica的报告之前，网络安全公司Analygence的安全漏洞专家Will Dormann分享了他自己的测试结果，显示这个问题自9月以来就已经被公众所知。

https://twitter.com/wdormann/status/1570801410681470985?s=20&t=YNPGiCe09Zp-KtGI7M8HlQ

Dormann在推特上写道：”微软推荐的驱动屏蔽规则页面指出，驱动屏蔽列表’适用于’支持HVCI的设备，”。”然而，这里是一个启用了HVCI的系统，阻止列表中的一个驱动程序（WinRing0）被愉快地加载。我不相信这些文件。”

在推文的主线中，Dormann还分享了该列表自2019年以来一直没有更新，这意味着用户在过去几年中尽管使用了HVCI，但一直没有受到问题驱动的保护，使他们暴露在 “自带脆弱驱动 “或BYOVD攻击之下。

“微软攻击面减少（ASR）也可以阻止驱动程序，而且名单与HVCI强制执行的驱动程序阻止列表是同步的，”Dormann补充说。”除了……在我的测试中，它没有阻止任何东西。”

有趣的是，尽管这个问题自9月以来就被人所知，但微软只是在今年10月通过项目经理Jeffery Sutherland解决了这个问题。