Windows 10将支持生物认证和基于硬件的应用白名单来帮助IT人员锁定设备——两者都是保护数据安全性的积极措施。

然而，这些Windows 10安全特性需要大多数企业进行硬件升级，并且应用白名单功能还可能涉及到大量的工作。

Windows 10中的Device Guard（设备卫士）功能通过阻断不受信任的应用程序的方式来保护设备免受变种恶意软件和Advanced Persistent Threats（APT）。受信任的应用程序有具体的软件厂商、Windows Store或者IT部门签字。其附带的通用应用程序（或Win32应用程序）签署工具并不是由软件供应商签署的。

微软表示，如果不是由用户指定，应用白名单可以通过这种方法来确定某个Windows应用是否值得信赖。Device Guard使用硬件技术和虚拟化技术将选中的决策功能与其他OS隔离开来，防止攻击者或恶意软件访问系统。

就职于独立分析公司Directions on Microsoft的Windows分析师Wes Miller说：“像微软之前交付Windows Phone和Windows RT以及苹果交付iOS都采用了加强的、锁定平台的方式。这种方式可以防御大多数类型的攻击。”

鉴于反病毒程序（AV）的和类似基于签名的防御系统的自身缺点，IT支持者认为Device Guard可以让下一代Windows版本更加安全。Rhode Island血液中心的系统管理员David Reynolds表示，其也是一名认证的道德黑客。

然而，数字签名充满挑战，因此必须易于部署，并绑定到活动目录。Reynolds说。

对于恶意软件和APT Device Guard是最终答案吗？

微软声明，相比传统AV和应用控制技术如AppLocker和容易被管理员或恶意软件篡改的Bit9，Device Guard具有卓越优势。但是微软拒绝透露由Device Guard带来的对管理员的控制程度，这让IT专业人员有些担心过于防止篡改会降低灵活性。

“我已经遇到到AV错误地区分合法程序的情况，例如将VNC远程控制软件当做恶意软件，”来自一家能源公司的IT管理员Matt Kosht说，“由于Device Guard的失误影响关键业务应用将是一个大问题。”

使用工具来进行数字签名或者使用其他方式信任无签名的可执行文件可以提供帮助，但这也意味着为企业IT带来大量的工作，Kosht说。

他说：“如果这种情况下你有100个遗留应用程序，那么可能需要巨大的投资来保证有效实施。”

不过，将安全作为操作系统和硬件的核心来对抗APT的威胁是一个很好的举动，尤其是AV软件在处理APT威胁时“严重不足”，Kosht说。但他怀疑Device Guard是否能够有效地阻止APT攻击。

英特尔在其处理器中加入了XD（Execute Disable）功能，微软也从Windows XP SP2/Windows Server 2003版本开始加入Data Execution Prevention支持。

他说：“我们都知道这些技术无法有效地阻止APT攻击。”

Device Guard似乎是这些解决方案的演化版，其将虚拟化技术加入了技术堆栈。然而这并不是新颖的做法，Bromium vSentry也能够通过硬件隔离的方式提供保护。

微软很注意没有与其AV软件合作伙伴引发冲突，其宣称Device Guard不会取代传统的AV和应用控制技术。这些技术可以协同Device Guard工作，以帮助阻止基于可执行文件和脚本的恶意软件，覆盖Device Guard无法触及的领域。例如，传统AV软件可以检测到解释平台攻击，此类攻击通过有效载荷实现如Java、Flash、Office和Acrobat，Miller说。

到目前为止，支持Device Guard的OEM厂商包括联想、惠普、宏基、富士通和东芝。

Windows 10生物识别技术需要硬件升级

Device Guard需要由微软上个月宣布的生物认证工具Windows Hello的支持，这可能需要专门的硬件。

利用Windows Hello，户可以显示他们的脸、虹膜或通过手指触摸来访问应用程序和企业内容，无需密码或连接到网络服务器。

面部识别体现了登录进程的演变，深受广大用户的喜爱，Reynolds便是其中之一，他也非常享受Xbox中的生物功能。但是这一技术仍处于早期阶段。

他说：“虽然有时候不得不反复下达指令，但和大多数其他技术一样，该功能也将逐步成熟。面部识别缺陷一直困挠着有黝黑色皮肤、面部有毛发以及戴眼镜的用户。我也见过许多用户无法通过指纹识别，只得依赖用户名和密码的登录方式。”

Windows Hello需要硬件指纹识别器或其他生物传感器。基于指纹的传感器已经出现在一些设备上，并与Hello协同工作。当然，面部识别功能不会局限于英特尔实感3D相机——虽然这是微软吹捧的技术之一。

到目前为止已有三台笔记本电脑配置了英特尔RealSense技术：戴尔Inspiron 15 5000触摸系列（官网起价749.99美元），惠普ENVY – 15t Touch RealSense笔记本（官网起价649.99美元）和联想B50触摸笔记本（官网起价849.99美元）。