Windows Defender-Anwendungssteuerung und Virtualisierungs-basierter Schutz der Codeintegrität

Gilt für:

  • Windows 10
  • Windows Server2016

Windows 10 enthält eine Reihe von Hardware-und Betriebssystemtechnologien, die bei der gemeinsamen Konfiguration es Unternehmen ermöglichen, Windows 10-Systeme so zu sperren, dass Sie mit vielen Eigenschaften mobiler Geräte funktionieren. In dieser Konfiguration arbeiten bestimmte Technologien zusammen, um Geräte so einzuschränken, dass nur autorisierte Apps mithilfe einer Funktion namens "konfigurierbarer Codeintegrität" ausgeführt werden, während gleichzeitig das Betriebssystem gegen Kernelspeicher Angriffe durch die Verwendung von Virtualisierungs-basierter Schutz der Codeintegrität (genauer gesagt: HVCI).

Konfigurierbare Code Integritätsrichtlinien und HVCI sind ein sehr leistungsstarker Schutz, der separat verwendet werden kann. Wenn diese beiden Technologien jedoch für die Zusammenarbeit konfiguriert sind, stellen Sie eine sehr starke Schutzfunktion für Windows 10-Geräte dar.

Die Verwendung von konfigurierbarer Codeintegrität, um Geräte nur auf autorisierte apps zu beschränken, hat diese Vorteile gegenüber anderen Lösungen:

  1. Die konfigurierbare Code Integritätsrichtlinie wird vom Windows-Kernel selbst erzwungen. Daher wird die Richtlinie früh in der Startsequenz vor nahezu allen anderen Betriebssystemcodes und vor der Ausführung herkömmlicher Antivirus-Lösungen wirksam.
  2. Durch die konfigurierbare Codeintegrität können Kunden die Richtlinien für die Anwendungssteuerung nicht nur für den im Benutzermodus ausgeführten Code festlegen, sondern auch für Kernelmodus-Hardware und-Software Treiber und sogar für Code, der als Teil von Windows ausgeführt wird.
  3. Kunden können die konfigurierbare Code Integritätsrichtlinie auch vor lokalen Administrator Manipulationen schützen, indem Sie die Richtlinie digital signieren. Dies würde bedeuten, dass die Änderung der Richtlinie sowohl Administratorrechte als auch Zugriff auf den digitalen Signaturprozess der Organisation erfordert, was es extrem schwierig für Angreifer mit Administratorrechten oder bösartiger Software ist, die es geschafft haben, verschaffen Sie sich Administratorrechte, um die Richtlinie für die Anwendungssteuerung zu ändern.
  4. Der gesamte Erzwingungsmechanismus für die konfigurierbare Codeintegrität kann durch HVCI geschützt werden, wobei selbst dann, wenn es sich um eine Sicherheitsanfälligkeit im Kernelmodus handelt, die Wahrscheinlichkeit, dass ein Angreifer ihn erfolgreich ausnutzen kann, erheblich verringert wird. Warum ist das relevant? Der Grund dafür ist, dass ein Angreifer, der den Kernel gefährdet, ansonsten über genügend Rechte verfügt, um die meisten System Verteidigungen zu deaktivieren und die Richtlinien für die Anwendungssteuerung zu überschreiben, die durch die konfigurierbare Codeintegrität oder eine andere Anwendungs Steuerungslösung erzwungen werden.

Windows Defender-Anwendungssteuerung

Als wir diesen Konfigurationszustand ursprünglich entworfen haben, haben wir dies mit einem bestimmten Sicherheitsversprechen im Hinterkopf getan. Obwohl es keine direkten Abhängigkeiten zwischen konfigurierbarer Codeintegrität und HVCI gab, haben wir unsere Diskussion absichtlich auf den Lockdown-Status ausgerichtet, den Sie bei der gemeinsamen Bereitstellung erreichen. Da HVCI sich jedoch auf die Windows-Virtualisierungs-basierte Sicherheit verlässt, gibt es zusätzliche Hardware-, Firmware-und Kernel Treiber Kompatibilitätsanforderungen, die von einigen älteren Systemen nicht erfüllt werden können. Daher haben viele IT-Experten davon ausgegangen, dass Sie, weil einige Systeme HVCI nicht verwenden konnten, auch keine konfigurierbare Codeintegrität verwenden konnten.

Die konfigurierbare Codeintegrität enthält keine spezifischen Hardware-oder Softwareanforderungen, außer Windows 10, was bedeutet, dass vielen IT-Experten die Vorteile dieser leistungsstarken Anwendungs Steuerungsfunktion fälschlicherweise verweigert wurden.

Seit der ersten Version von Windows 10 hat die Welt zahlreiche Hacker-und Malwareangriffe erlebt, bei denen die Anwendungssteuerung allein den Angriff verhindern konnte. In diesem Sinne besprechen und dokumentieren wir die konfigurierbare Codeintegrität als unabhängige Technologie innerhalb unseres Sicherheits Stapels und geben ihr einen eigenen Namen: Windows Defender-Anwendungssteuerung. Wir hoffen, dass diese Änderung uns helfen wird, Optionen für die Übernahme der Anwendungssteuerung innerhalb einer Organisation besser zu kommunizieren.

Verwandte Themen

Windows Defender-Anwendungssteuerung

Heruntersetzen des Hammers auf Malware-Bedrohungen mit Windows 10 es Windows Defender

Treiberkompatibilität mit Windows Defender unter Windows 10

Codeintegrität