微軟今日公佈了即將成為Windows 10一部分的新增安全功能的首批技術細節，其全稱為“內核數據保護”（KDP），旨在阻止惡意軟件/惡意威脅攻擊者修改或破壞操作系統的內存數據。軟件巨頭補充道：通過向開發者開放API的訪問，有助於其將Windows內核的某些部分指定為只讀區域。

微軟基礎內核團隊今日表示：“當攻擊者利用經過簽名、但相當脆弱的驅動程序攻擊策略，來破壞數據結構並安裝惡意的未簽名驅動程序時，KDP 可確保數據結構不會被篡改，以減輕此類攻擊的影響”。

微軟還考慮到了新技術對其它軟件的影響，比如反作弊和數字版權管理（DRM）應用程序。

一階段：虛擬地址到客戶物理地址的轉換流程（圖自：Microsoft）

除了提升操作系統的整體安全性，KDP 還具有其它優點，比如：

● 性能改進：KDP 可減輕驗證組件的負擔，無需定期驗證已被施加寫保護的數據變量；

● 可靠性改進：KDP 可使診斷非安全漏洞類型的內存出錯問題變得更加輕鬆；

● 激勵驅動程序開發者和供應商：KDP 可改善基於虛擬化的安全兼容性，並提高生態系統中相關技術的採用率。

二階段：GPA 到SPA 的物理地址轉換

微軟表示，該公司一直致力於為Windows 10添加名叫“基於虛擬化的安全性”的新技術（簡稱VBS）。

它可藉助計算機的基礎硬件來隔離安全區域，讓操作系統內部可正常訪問“虛擬安全模式下”的內存資源。

層級結構中NPT 頁表的嵌套項

KDP 的工作原理是將內核內存區域標記為已讀，然後將其移動到VBS 的“虛擬安全模式”下運行。如此一來，即便操作系統本身，也無法越權對其進行篡改。

微軟表示，想要在Windows 10 上啟用KDP 安全特性的應用程序，其唯一要求就是支持VBS 功能。

安全池中的VTL1 到VTL 0 DELTA 值

如果你的計算機已經從硬件上支持英特爾、AMD或ARM的虛擬化擴展和二級地址轉換（包括AMD的NPT、英特爾的EPT、以及ARM的Stage 2 address translation），均可無縫升級支持KDP功能。

可選的是硬件支持MBEC，特點是能夠降低與HVCI 相關的性能成本。目前KDP 已向Windows 10 Insider 測試者開發體驗，但微軟尚未公佈其抵達穩定版本的確切時間表。