Deviceguard: Windows Defender Application Control und der virtualisierungsbasierte Schutz der Codeintegrität

Gilt für:

  • Windows 10
  • Windows Server2016

Windows 10 enthält eine Reihe von Hardware und Betriebssystem-Technologien, wenn gemeinsam konfiguriert, ermöglichen Unternehmen, Windows-Systeme "Sperren", damit sie mit vielen der Eigenschaften von mobilen Geräten ausgeführt werden. In dieser Konfiguration arbeiten bestimmte Technologien zusammen, um Geräte nur autorisierte apps ausführen, indem mit einem Feature konfigurierbare Codeintegrität, während gleichzeitig Härtung des Betriebssystems Angriffen auf den Kernel Arbeitsspeicher mithilfe des einschränken virtualisierungsbasierten Schutz der Codeintegrität (genauer gesagt, HVCI).

Konfigurierbare codeintegritätsrichtlinien und HVCI sind sehr leistungsfähig Schutzmaßnahmen, die separat verwendet werden können. Wenn diese beiden Technologien konfiguriert werden, um eine Zusammenarbeit geeinigt haben, stellen sie jedoch eine Funktion sehr starken Schutz für Windows 10-Geräte. Diese "Konfigurationszustand" der konfigurierbare Codeintegrität kombiniert, und HVCI wurde als Windows Defender Device Guard bezeichnet wurde.

Mit konfigurierbarer Codeintegrität, Geräte nur autorisierte apps einzuschränken, hat diese Vorteile gegenüber anderen Lösungen:

  1. Konfigurierbare codeintegritätsrichtlinie wird durch die Windows-Kernel erzwungen. Daher wird die Richtlinie wirksam frühzeitig in der Startsequenz vor nahezu alle anderen OS Code und vor herkömmlichen antivirenlösungen ausgeführt.
  2. Konfigurierbare Codeintegrität kann Kunden festlegen Anwendungsrichtlinie Steuerelement nicht nur über den Code, die Ausführung im Benutzermodus, aber auch Hardware und Software Kernelmodustreiber und sogar Code, der als Teil von Windows ausgeführt wird.
  3. Kunden können die konfigurierbare codeintegritätsrichtlinie selbst von lokalen Administrator Manipulationen durch digital signieren der Richtlinie schützen. Dies bedeutet, dass die Richtlinie ändern müsste Administratorrechte und den Zugriff auf die Organisation digitalen Signieren Prozess erschwert es sehr für einen Angreifer mit Administratorrechten oder Schadsoftware, die verwaltete erhalten Sie Administratorrechte, um die Anwendungsrichtlinie für das Steuerelement zu ändern.
  4. Der gesamte konfigurierbare Code Integrity Erzwingungsmechanismus kann durch HVCI, geschützt werden, in denen auch, wenn eine Schwachstelle im Kernelmoduscode vorhanden ist, die Wahrscheinlichkeit, dass ein Angreifer erfolgreich ausnutzen könnte deutlich verringert wird. Warum ist dies relevant? Ist, dass ein Angreifer, der den Kernel gefährdet andernfalls ausreichenden Berechtigungen zum Deaktivieren von den meisten System Verteidigungsmaßnahmen und außer Kraft setzen der Anwendungssteuerungsrichtlinien erzwungen, indem die konfigurierbare Codeintegrität oder einer anderen Lösung zur Anwendung-Steuerelement verfügt.

(Re-) Einführung in Windows Defender-Anwendungssteuerung

Wenn wir den Konfigurationsstatus, den wir Windows Defender Device Guard genannt haben ursprünglich entwickelt, haben wir also eine spezifische Sicherheit Promise beachten. Obwohl es keine direkte Abhängigkeit zwischen zwei OS Hauptfunktionen von Device Guard-Konfiguration, die konfigurierbare Codeintegrität und HVCI wurden, konzentrierten wir uns absichtlich unsere Diskussion über den Zustand der Device Guard-Sperrmodus, den Sie beim Bereitstellen erreichen zusammen.

Allerdings hat die Verwendung des Begriffs Device Guard, um diese Konfigurationszustand beschreiben versehentlich einen Eindruck davon für viele IT-Experten verlassen, die die beiden Funktionen wurden inexorably verknüpft und können nicht separat bereitgestellt werden. Darüber hinaus angesichts der Tatsache, dass HVCI auf Windows-Virtualisierung basierende Sicherheit beruht, enthält es zusätzliche Hardware, Firmware und Kernel-Treiber kompatibilitätsanforderungen, die einige ältere Systeme erfüllen können.

Angenommen daher viele IT-Experten, da einige Systeme HVCI verwenden könnten, damit die konfigurierbare Codeintegrität entweder Nutzung konnte nicht. Konfigurierbare Codeintegrität enthält keine spezielle Hardware oder softwareanforderungen, außer unter Windows 10, was bedeutet, dass viele IT-Experten die Vorteile der diese leistungsstarke Anwendung Steuerelement-Funktion fälschlicherweise verweigert wurden jedoch.

Seit der ersten Veröffentlichung von Windows 10 hat auf die ganzen Welt zahlreichen Hacker und Malware-Angriffen haben, in denen anwendungssteuerung allein Angriffs vollständig hätte verhindert werden kann. Mit diesem Aspekt Erläuterung und Dokumentieren Sie konfigurierbare Codeintegrität als unabhängige Technologie, in unserer Security-Stapel und wir ihm einen Namen für sich selbst: Windows Defender Application Control. Wir hoffen, dass diese Änderung helfen uns die Optionen für die Übernahme der anwendungssteuerung innerhalb einer Organisation besser zu kommunizieren.

Wird diese mittlere Windows Defender Device Guard Konfigurationszustand bald ist? Überhaupt nicht. Der Begriff, den Device Guard weiterhin als eine Möglichkeit zur Beschreibung der vollständig gesperrten Zustands erreicht durch die Verwendung von Windows Defender-Anwendungssteuerung (WDAC), HVCI und Hardware und Firmware-Sicherheitsfeatures verwendet werden. Außerdem können wir arbeiten mit unseren OEM-Partnern Spezifikationen für diese Geräte zu ermitteln, die "Deviceguard-fähigen" sind, damit unsere gemeinsamen Kunden problemlos Geräte, die alle von der Hardware und Firmware-Anforderungen von der ursprünglichen "Device Guard erwerben können" gesperrt erfüllen nach unten Szenario für Windows 10-basierten Geräten.

Verwandte Themen

Windows Defender-Anwendungssteuerung

Beseitigen von Schadsoftwarebedrohungen mit Windows Defender Device Guard in Windows10

Treiberkompatibilität mit Windows Defender Device Guard in Windows 10

Codeintegrität