Windows 安全中心应用中的设备安全性

硬件强制堆栈保护是基于硬件的安全功能，使恶意程序难以使用低级驱动程序来劫持你的电脑。

驱动程序是一个软件，在此示例中，作系统 (Windows) ，设备 (（如键盘或网络摄像头）) 相互通信。 当设备希望 Windows 执行某些作时，它会使用驱动程序发送该请求。

硬件强制执行的堆栈保护的工作原理是防止在内核模式内存中修改返回地址以启动恶意代码的攻击。 此安全功能需要包含验证正在运行的代码的返回地址的功能的 CPU。

在内核模式下执行代码时，恶意程序或驱动程序可能会损坏内核模式堆栈上的返回地址，以便将正常代码执行重定向到恶意代码。 在支持的 CPU 上，CPU 在驱动程序无法修改的只读影子堆栈上维护有效返回地址的第二个副本。 如果修改了常规堆栈上的返回地址，CPU 可以通过检查影子堆栈上返回地址的副本来检测此差异。 发生此差异时，计算机会提示停止错误（有时称为蓝屏），以防止恶意代码执行。

并非所有驱动程序都与此安全功能兼容，因为少数合法驱动程序出于非恶意目的而进行返回地址修改。 Microsoft已与众多驱动程序发布者合作，以确保其最新驱动程序与硬件强制堆栈保护兼容。

可以使用切换按钮打开或关闭硬件强制堆栈保护。

若要使用硬件强制堆栈保护，必须启用内存完整性，并且必须运行支持 Intel Control-Flow 强制技术 或 AMD 影子堆栈的 CPU。

如果它显示我有不兼容的驱动程序或服务，该怎么办？

如果硬件强制的堆栈保护无法打开，它可能会告诉你已安装不兼容的设备驱动程序或服务。 请与设备制造商或应用程序发布者联系，了解它们是否有可用的更新驱动程序。 如果他们没有可用的兼容驱动程序，你可能能够删除使用该不兼容驱动程序的设备或应用。

某些应用程序可能会在应用程序安装期间安装服务而不是驱动程序，并且仅在应用程序启动时安装驱动程序。 为了更准确地检测不兼容的驱动程序，还会枚举已知与不兼容驱动程序关联的服务。

注意: 如果在启用硬件强制堆栈保护后尝试安装驱动程序不兼容的设备或应用，可能会看到相同的消息。 如果是这样，同样的建议适用 - 检查设备制造商或应用发布者，以查看它们是否有可下载的更新驱动程序，或者在兼容的驱动程序可用之前不安装该特定设备或应用。