[技巧] 手动更新易受攻击的驱动程序列表提高 Windows PC 安全性

本文书接上文介绍如何手动下载和更新列表：微软过时的驱动程序列表让Windows PC遭受持续多年的攻击

前文国外媒体和安全公司发现 Microsoft Defender 中提供的易受攻击的驱动程序阻止列表功能就是个摆设。

由于微软长期不更新驱动程序阻止列表，导致很多过时或存在漏洞的驱动程序被黑客利用在内核中执行代码。

微软对此辩称列表在更新的，只是某些设备因为某些原因无法接收更新，所以微软推出手动更新的技术文档。

在这里也强烈推荐各位手动操作下更新列表，因为通常驱动程序漏洞造成的安全问题通常都比较严重。

检查列表是否可以更新：

在前文中安全公司发现设备可能无法接收驱动程序阻止列表更新，微软称服务中确实会有部分设备无法更新。

因此我们首先要检查自己的设备是否可以接收更新，如果本身已经可以接收更新那就不需要手动去刷新规则。

检查方法：打开事件查看器、应用程序和服务日志、Microsoft、Windows、CodeIntegrity、Operational

点击右侧的筛选当前日志，在所有事件ID里填写 3099 并点击确定，此时会出现多个已经筛选后的日志列表。

如果能出现日志列表说明WDAC策略是正常的，此时不需要再手动刷新列表，如果筛选为空则代表不能更新。

以下是手动更新方法：

点击这里下载各版本对应的WDAC刷新工具：https://dl.lancdn.com/landian/script/wdac/refreshpolicy/

点击这里下载审核或强制版本的策略文件：https://dl.lancdn.com/landian/script/wdac/驱动程序阻止列表

注意：这里推荐下载审核版本，在没有经过充分验证的情况下使用强制策略可能导致驱动引起系统蓝屏死机。

打开资源管理器在地址栏粘贴：%windir%system32CodeIntegrity 将下载的策略文件复制到这个目录。

然后双击我们前面下载的策略刷新工具，该工具没有运行界面，系统一闪而过代表完成刷新，重启系统即可。

在没有重启系统的情况下，如果被阻止的驱动已经运行则不会被强制终止，仅在重启后才会被自动阻止运行。

验证策略是否成功？请按前文的检查列表是否可以更新来测试，如果搜索特定事件能够返回信息则成功更新。