Deviceguard: Windows Defender Application Control und virtualisierungsbasierten Schutz der Codeintegrität

Gilt für:

  • Windows 10
  • Windows Server2016

Windows 10 enthält eine Reihe von Hardware und Betriebssystem-Technologien, wenn gemeinsam konfiguriert, ermöglichen Unternehmen, Windows-Systeme "Sperren" auf, damit sie mit vielen der Eigenschaften von mobilen Geräten ausgeführt werden. In dieser Konfiguration arbeiten speziellen zusammen, um Geräte, um nur autorisierte apps ausführen, indem mit einem Feature konfigurierbare Codeintegrität, während gleichzeitig Härtung des Betriebssystems Angriffen auf den Kernel Arbeitsspeicher mithilfe des einschränken virtualisierungsbasierten Schutz der Codeintegrität (genauer gesagt, HVCI).

Konfigurierbare codeintegritätsrichtlinien und HVCI sind sehr leistungsfähig Schutzmaßnahmen, die separat verwendet werden können. Wenn diese beiden Technologien konfiguriert werden, um eine Zusammenarbeit geeinigt haben, stellen sie jedoch eine Funktion sehr starken Schutz für Windows 10-Geräte. Dies kombiniert "Konfigurationsstatus" des konfigurierbare Codeintegrität und HVCI hat als Windows Defender Device Guard bezeichnet wurde.

Mit konfigurierbarer Codeintegrität, Geräte nur autorisierte apps einzuschränken, hat diese Vorteile gegenüber anderen Lösungen:

  1. Konfigurierbare codeintegritätsrichtlinie wird durch die Windows-Kernel erzwungen. Daher wird die Richtlinie wirksam früh in der Startsequenz vor nahezu alle anderen Betriebssystemcode und vor herkömmlichen antivirenlösungen ausgeführt.
  2. Konfigurierbare Codeintegrität kann Kunden festlegen Anwendungsrichtlinie Steuerelement nicht nur über den Code, die Ausführung im Benutzermodus, aber auch Hardware und Software Kernelmodustreiber und sogar Code, der als Teil von Windows ausgeführt wird.
  3. Kunden können die konfigurierbare codeintegritätsrichtlinie sogar vor Manipulationen durch digital signieren der Richtlinie lokaler Administrator schützen. Dies bedeutet, dass die Richtlinie ändern müsste Administratorrechte und den Zugriff auf die Organisation digitalen Signieren Prozess erschwert äußerst für einen Angreifer mit administrative Privledge oder Schadsoftware, die verwaltete erhalten Sie Administratorrechte, um die Anwendungsrichtlinie Steuerelement zu ändern.
  4. Der gesamte konfigurierbare Code Integrity Erzwingungsmechanismus kann durch HVCI, geschützt werden, auch wenn eine Schwachstelle im Kernelmoduscode vorhanden ist, die Wahrscheinlichkeit, dass ein Angreifer erfolgreich ausnutzen könnte deutlich verringert wird. Warum ist dies relevant? Ist, dass ein Angreifer, der den Kernel gefährdet andernfalls ausreichenden Berechtigungen zum Deaktivieren von den meisten System Verteidigungsmaßnahmen und außer Kraft setzen der Anwendungssteuerungsrichtlinien erzwungen, indem die konfigurierbare Codeintegrität oder einer anderen Lösung zur Anwendung-Steuerelement verfügt.

(Re-) Einführung in Windows Defender-Anwendungssteuerung

Wenn wir ursprünglich den Konfigurationsstatus so, den wir Windows Defender Device Guard genannt haben konzipiert, haben wir also mit einer bestimmten Sicherheit Promise Bedenken ein. Obwohl es keine direkte Abhängigkeit zwischen zwei OS Hauptfunktionen von Device Guard-Konfiguration, die konfigurierbare Codeintegrität und HVCI wurden, konzentrierten wir uns absichtlich unsere Diskussion Sperrmodus Device Guard-Status, den Sie beim Bereitstellen erreichen zusammen.

Allerdings hat die Verwendung von der Begriff Device Guard, um diese Konfigurationszustand beschreiben versehentlich einen Eindruck davon für viele IT-Experten verlassen, die die beiden Funktionen wurden inexorably verknüpft und können nicht separat bereitgestellt werden. Darüber hinaus angesichts der Tatsache, dass HVCI auf Virtualisierung basierende Sicherheit Windows basiert, enthält es zusätzliche Hardware, Firmware und Kernel-Treiber kompatibilitätsanforderungen, die einige ältere Systeme erfüllen können nicht.

Daher angenommen viele IT-Experten, da einige Systeme HVCI verwenden könnten, damit die konfigurierbare Codeintegrität entweder Nutzung konnte nicht. Konfigurierbare Codeintegrität enthält keine spezielle Hardware oder softwareanforderungen, außer unter Windows 10, was bedeutet, dass viele IT-Experten die Vorteile der diese leistungsstarke Anwendung Steuerelement Funktion fälschlicherweise verweigert wurden jedoch.

Seit der ersten Veröffentlichung von Windows 10 haben die ganzen Welt zahlreichen Hacker und Schadsoftware Angriffen, in denen anwendungssteuerung allein Angriffs vollständig hätte verhindert werden kann. Mit diesem Grund sind wir Erläuterung und dokumentieren konfigurierbare Codeintegrität als unabhängige Technologie in unserer Security-Stapel und ihm einen Namen für sich selbst: Windows Defender Application Control. Wir hoffen, dass diese Änderung helfen uns die Optionen für die Übernahme anwendungssteuerung innerhalb einer Organisation besser zu kommunizieren.

Wird diese mittlere Windows Defender Device Guard Konfigurationszustand bald ist? Überhaupt nicht. Der Begriff, den Device Guard weiterhin als eine Möglichkeit zur Beschreibung der vollständig gesperrten Zustands erreicht durch die Verwendung von Windows Defender-Anwendungssteuerung (WDAC), HVCI und Hardware und Firmware-Sicherheitsfeatures verwendet werden. Außerdem können wir arbeiten mit unseren OEM-Partnern Spezifikationen für diese Geräte zu ermitteln, die "Deviceguard-fähigen" sind, damit unsere gemeinsamen Kunden einfach Geräte, die alle von der Hardware und Firmware Anforderungen von der ursprünglichen "Device Guard erwerben können" gesperrt erfüllen nach unten Szenario für Windows 10-basierten Geräten.

Verwandte Themen

Windows Defender-Anwendungssteuerung

Beseitigen von Schadsoftwarebedrohungen mit Windows Defender Device Guard in Windows10

Treiberkompatibilität mit Windows Defender Device Guard in Windows 10

Codeintegrität