狀態隔離和隔離

• 適用於:

  HoloLens 2

狀態隔離和隔離可保護 HoloLens 2 操作系統的重要部分免於變更，例如操作系統開機進入信任狀態所需的部分。 使用隔離技術時，不受信任的應用程式會移至隔離的沙箱環境，以確保它們不會影響系統安全性。

狀態區隔

HoloLens 2 的狀態區隔可大幅改善 (更新) 的安全性與服務性，並協助保護您的應用程式數據。 狀態分隔的運作方式如下：

• 核心作業系統會儲存在核心操作系統磁碟區中， (信任或已驗證的 Microsoft OS 更新作業系統) 。
• 可在運行時間變更的操作系統部分， (例如可下載的驅動程式和組態) 、使用進一步的狀態區隔來分割數據，以及將其儲存在安全的個別儲存位置。
• 每個安全儲存位置都有與其相關聯的不同安全策略，提供不同的安全性優點，如下一節所述。

狀態區隔優點

• 安全性：HoloLens 2 中精選的狀態區隔可大幅改善平臺完整性、惡意代碼防護和用戶數據保護。 藉由分隔操作系統的不可變更部分，並讓它成為唯讀或完整性保護，狀態區隔會使惡意代碼難以在冷重新啟動時保存。
• 匯報：使用 HoloLens 2 時，一旦核心操作系統無法修改，且已與裝置上的其餘數據完全分開，更新就會變得簡單且可靠。 此外，狀態區隔為大幅加快更新的重要基礎，可讓操作系統在單一步驟中取代， (不可部分完成的單元) 。
• 裝置重設：HoloLens 2 重設會清除裝置上用戶產生的數據和使用者應用程式數據，包括內部和外部儲存位置。 它會保留目前的 OS 應用程式和安全性關鍵應用程式，以及目前的 Microsoft 和 OEM 自定義應用程式 (預安裝) 。 重設完成後，這些預安裝的應用程式可以在裝置上解除凍結

狀態區隔狀態

狀態區隔可確保操作系統只能由 Microsoft 信任的裝置元件變更，而且只允許在重新啟動期間保存高價值狀態;其他系統狀態只會在開機會話期間存在，並在重新啟動之後捨棄。 讓狀態區隔會快速將裝置傳回原廠狀態。 Windows Holographic for Business 狀態可以分成下列不同的類別：

• 核心作業系統 – 無法變更的狀態
• 操作系統資料 – 可改變的狀態
• 用戶資料 – 可改變的狀態

下一節會說明這些 HoloLens 2 作業狀態。

核心作業系統

不可變狀態包含無法變更的可執行文件和數據，而且只能在安裝更新期間由 Microsoft 變更。 在核心操作系統的這類更新期間，會啟用包含最新所需作業狀態的新映像。 無法轉轉的狀態會標示為唯讀 (或受到完整性保護的) ，以防止具有提高許可權的任何惡意代碼持續性。 下列可執行檔和資料會以不可變狀態受到保護：

• Windows 全像攝影收件匣驅動程式
• 操作系統二進位檔
• Windows 收件匣驅動程式
• 儲存在 Windows 登錄區中的靜態 Windows 全像攝影設定， (HKLM)
  • 範例：HKLM 會儲存電腦上安裝之應用程式的組態資訊。 它也會儲存資訊來偵測硬體和對應的驅動程式。 藉由保護不可變 (完整性和只讀受保護) 狀態中的這些專案，我們可確保核心操作系統一律會開機進入信任的狀態。 此外，當裝置重設時，我們可以確保裝置只會開機到此不可變區段上的元件。

操作系統數據

請務必注意，在運行時間 (可變更的可執行文件和數據，而且對操作系統函式) 而言並不重要，可以在數據損毀或遭入侵時捨棄並重新建立。 高價值可改變狀態是操作系統必須正常運作才能保存，或預期會在操作系統關機期間保存，以及/或透過支援的 Windows 操作系統和裝置案例在重新啟動期間保存。 高值可變狀態的範例包括：

• IT 管理員 設定的全域裝置設定，例如停用所有使用者的位置。
• Wi-fi 網路聯機會存取數據裝置記住的網路和相關聯的連線密碼。
• 損毀傾印，包括設定、記錄。
• 新探索到裝置的隨選下載驅動程式。 HoloLens 2 上的高值可改變狀態位於操作系統數據安全性位置上，可以是磁碟上儲存的檔案，或位於保存的登錄區中。

使用者資料

狀態的最後一個類別代表UWP應用程式或作業系統所產生的或保存的用戶數據。 所有已知的使用者資料夾，例如下載、檔、影片、使用者配置檔和HKEY_CURRENT_USER Hive，也會儲存在此位置。 若沒有適當的認證，就無法擷取此數據;若要深入瞭解您的數據如何受到保護，請參閱 加密和數據保護。

隔離性

為了達到此平衡，HoloLens 2 具有用於開機、硬體控制、登入等主要功能的核心操作系統。在核心作業系統上執行的應用程式只有兩組 –預安裝的應用程式和UWP 應用程式。

程式碼簽署

數字簽署程式代碼允許證明可執行檔和腳本尚未修改，因為它們是由信任的來源簽署，因此提供真實性和完整性。 根據預設，HoloLens 2 信任的授權單位為 Microsoft 和 Microsoft Store。 IT 系統管理員可以透過 ClientCertificateInstall 和 RootCATrustedCertificates CSP 將新憑證新增至裝置。 他們也可以使用 AllowAllTrustedApps 原則 來信任其他側載或 企業營運應用程式。 憑證位於使用 「Device」 或 HKCU 時儲存在 HKLM/Root 的本機電腦證書存儲中。如果使用 “User”。

Defender 保護

HoloLens 2 使用 Microsoft 服務為使用者提供進階的安全性層級：

• OS 會自動在 Windows Holographic 上啟用 Defender SmartScreen，並防止網路釣魚和惡意代碼，以及在 Edge 上下載潛在惡意檔案。 使用者無法關閉它，但可以透過原則停用。

• Defender 防火牆 會封鎖未經授權的網路流量，從您的裝置流向和流出。 默認會啟用它，而且客戶無法透過本機動作或原則進行設定。

• Windows Defender 應用程控：HoloLens 2 支援 WDAC，可讓 IT 系統管理員將應用程控原則推送至裝置。 如需詳細資訊，請參閱搭配 MSFT Intune 在 HoloLens 2 裝置上使用 WDAC。

IT 系統管理員可以透過 AllowSmartScreen 管理 SmartScreen 行為，以及 透過這些原則的瀏覽器行為。