Geräteschutz: Windows Defender-Anwendungssteuerung und Virtualisierungs-basierter Schutz der Codeintegrität

Gilt für:

  • Windows 10
  • Windows Server2016

Windows 10 enthält eine Reihe von Hardware-und Betriebssystemtechnologien, die bei der gemeinsamen Konfiguration es Unternehmen ermöglichen, Windows-Systeme so zu sperren, dass Sie mit vielen Eigenschaften mobiler Geräte funktionieren. In dieser Konfiguration arbeiten bestimmte Technologien zusammen, um Geräte so einzuschränken, dass nur autorisierte Apps mithilfe einer Funktion namens "konfigurierbarer Codeintegrität" ausgeführt werden, während gleichzeitig das Betriebssystem gegen Kernelspeicher Angriffe durch die Verwendung von Virtualisierungs-basierter Schutz der Codeintegrität (genauer gesagt: HVCI).

Konfigurierbare Code Integritätsrichtlinien und HVCI sind ein sehr leistungsstarker Schutz, der separat verwendet werden kann. Wenn diese beiden Technologien jedoch für die Zusammenarbeit konfiguriert sind, stellen Sie eine sehr starke Schutzfunktion für Windows 10-Geräte dar. Dieser kombinierte "Konfigurationsstatus" der konfigurierbaren Codeintegrität und HVCI wurde als Windows Defender Device Guard bezeichnet.

Die Verwendung von konfigurierbarer Codeintegrität, um Geräte nur auf autorisierte apps zu beschränken, hat diese Vorteile gegenüber anderen Lösungen:

  1. Die konfigurierbare Code Integritätsrichtlinie wird vom Windows-Kernel selbst erzwungen. Daher wird die Richtlinie früh in der Startsequenz vor nahezu allen anderen Betriebssystemcodes und vor der Ausführung herkömmlicher Antivirus-Lösungen wirksam.
  2. Durch die konfigurierbare Codeintegrität können Kunden die Richtlinien für die Anwendungssteuerung nicht nur für den im Benutzermodus ausgeführten Code festlegen, sondern auch für Kernelmodus-Hardware und-Software Treiber und sogar für Code, der als Teil von Windows ausgeführt wird.
  3. Kunden können die konfigurierbare Code Integritätsrichtlinie auch vor lokalen Administrator Manipulationen schützen, indem Sie die Richtlinie digital signieren. Dies würde bedeuten, dass die Änderung der Richtlinie sowohl Administratorrechte als auch Zugriff auf den digitalen Signaturprozess der Organisation erfordert, was es extrem schwierig für Angreifer mit Administratorrechten oder bösartiger Software ist, die es geschafft haben, verschaffen Sie sich Administratorrechte, um die Richtlinie für die Anwendungssteuerung zu ändern.
  4. Der gesamte Erzwingungsmechanismus für die konfigurierbare Codeintegrität kann durch HVCI geschützt werden, wobei selbst dann, wenn es sich um eine Sicherheitsanfälligkeit im Kernelmodus handelt, die Wahrscheinlichkeit, dass ein Angreifer ihn erfolgreich ausnutzen kann, erheblich verringert wird. Warum ist das relevant? Der Grund dafür ist, dass ein Angreifer, der den Kernel gefährdet, ansonsten über genügend Rechte verfügt, um die meisten System Verteidigungen zu deaktivieren und die Richtlinien für die Anwendungssteuerung zu überschreiben, die durch die konfigurierbare Codeintegrität oder eine andere Anwendungs Steuerungslösung erzwungen werden.

(Re-) Einführung in die Windows Defender-Anwendungssteuerung

Als wir ursprünglich den Konfigurationszustand entworfen haben, den wir als Windows Defender Device Guard bezeichnet haben, haben wir dies mit einem bestimmten Sicherheitsversprechen im Hinterkopf getan. Obwohl es keine direkten Abhängigkeiten zwischen den beiden Hauptbetriebssystem-Features der Geräteschutz Konfiguration, konfigurierbarer Codeintegrität und HVCI gab, haben wir unsere Diskussion absichtlich auf den Lockdown-Zustand des Device Guard ausgerichtet, den Sie bei der Bereitstellung erreichen. zusammen.

Die Verwendung des Ausdrucks "Device Guard" zur Beschreibung dieses Konfigurationsstatus hat jedoch unbeabsichtigt für viele IT-Experten einen Eindruck hinterlassen, dass die beiden Features unerbittlich verknüpft wurden und nicht separat bereitgestellt werden können. Da HVCI von der Windows-Virtualisierungs-basierten Sicherheit abhängig ist, gibt es zusätzliche Hardware-, Firmware-und Kernel Treiber Kompatibilitätsanforderungen, die von einigen älteren Systemen nicht erfüllt werden können.

Daher haben viele IT-Experten davon ausgegangen, dass Sie, weil einige Systeme HVCI nicht verwenden konnten, auch keine konfigurierbare Codeintegrität verwenden konnten. Die konfigurierbare Codeintegrität enthält jedoch keine spezifischen Hardware-oder Softwareanforderungen, außer Windows 10, was bedeutet, dass vielen IT-Experten die Vorteile dieser leistungsstarken Anwendungs Steuerungsfunktion fälschlicherweise verweigert wurden.

Seit der ersten Version von Windows 10 hat die Welt zahlreiche Hacker-und Malwareangriffe erlebt, bei denen die Anwendungssteuerung allein den Angriff verhindern konnte. In diesem Sinne besprechen und dokumentieren wir die konfigurierbare Codeintegrität als unabhängige Technologie innerhalb unseres Sicherheits Stapels und geben ihr einen eigenen Namen: Windows Defender-Anwendungssteuerung. Wir hoffen, dass diese Änderung uns helfen wird, Optionen für die Übernahme der Anwendungssteuerung innerhalb einer Organisation besser zu kommunizieren.

Bedeutet dies, dass der Konfigurationsstatus von Windows Defender Device Guard entfernt wird? Überhaupt nicht. Der Begriff Device Guard wird weiterhin als Möglichkeit zum Beschreiben des vollständig gesperrten Zustands verwendet, der durch die Verwendung von Windows Defender Application Control (WDAC), HVCI sowie Hardware-und Firmware-Sicherheitsfeatures erreicht wurde. Darüber hinaus können wir mit unseren OEM-Partnern zusammenarbeiten, um Spezifikationen für Geräte zu ermitteln, die "Device Guard-fähig" sind, damit unsere gemeinsamen Kunden problemlos Geräte kaufen können, die alle Hardware-und Firmware-Anforderungen des ursprünglichen "Device Guard"-Schutzes erfüllen down-Szenario für Windows 10-basierte Geräte.

Verwandte Themen

Windows Defender-Anwendungssteuerung

Beseitigen von Schadsoftwarebedrohungen mit Windows Defender Device Guard in Windows10

Treiberkompatibilität mit Windows Defender Device Guard in Windows 10

Codeintegrität