“微软宣布推出的IPE可向内核添加新的代码完善性功能”

微软继续支持linux，根据该公司的最新项目，它试图提高系统的安全性和完整性。 这家windows制造商发布了linux安全模块( lsm )，称为完整性策略执行( ipe )。

内核附加模块允许管理员选择配置策略，以将完整性要求应用于整个系统。 可以创建允许执行的二进制文件的列表，并指定在允许执行之前要检查的属性。

微软在设计ipe时没有考虑通用linux系统。 相反，它专用于具有特定目的的设备，如所有用户构建、配置和管理的嵌入式系统。 - -微软提供了数据中心中互联网防火墙设备的示例。 想法是为了进一步加强安全性，系统中不能存在未知数。

在ipe文档中，微软表示:

理想情况下，使用ipe的系统不打算用于通用计算，也不要使用第三方构建的软件或配置。 利用理想ipe的系统有可变和不变的组件，但所有二进制可执行代码都不变。

该企业为了实现最佳的安全性，需要验证内核和根文件系统，并指出了它们的重要性。 微软指出了ipe的一些限制:

ipe无法验证用gcc闭包和libffi或jit代码创建的蹦床等匿名可执行存储器的完整性。 不幸的是，由于这是动态生成的代码，因此ipe无法检测到从代码的构建位置到执行位置的代码未被篡改。 因此，ipe无法对动态生成的代码处理此问题。

从解释程序文件调用这些脚本时，ipe无法验证解释程序语言程序的完整性。 这是因为解释器执行这些文件的方式不会将脚本本身确定为ipe中的一个挂接的可执行代码。 打开文件并对错误代码做出正确响应后，将文件映射到可执行内存+ x (以便口译人员了解ipe的采用情况)。 这也适用于包含的文件和高价值的文件，如重要系统组件的配置文件。 计划在ipe内部处理这一具体差距。

本文：《“微软宣布推出的IPE可向内核添加新的代码完善性功能”》