Device Guard: Windows Defender Application Control et la protection basée sur la virtualisation de l’intégrité du code

S’applique à

  • Windows10
  • WindowsServer2016

Windows 10 inclut un ensemble de technologies matérielles et du système d’exploitation qui, lorsqu’elles sont configurées simultanément, permettre aux entreprises de «verrouiller» les systèmes Windows afin qu’ils fonctionnent avec la plupart des propriétés d’appareils mobiles. Dans cette configuration, les technologies spécifiques fonctionnent ensemble pour limiter les appareils pour exécuter uniquement les applications autorisées à l’aide d’une fonctionnalité appelée intégrité du code configurable, tout en simultanément la sécurisation renforcée contre les attaques de mémoire du noyau par le biais de l’utilisation du système d’exploitation protection basée sur la virtualisation de l’intégrité du code (plus précisément, HVCI).

Les stratégies d’intégrité du code configurable et HVCI sont des protections très puissantes qui peuvent être utilisées séparément. Toutefois, lorsque ces deux technologies sont configurés pour travailler ensemble, ils présentent une fonctionnalité de protection très forte pour les appareils Windows 10. Ce message combiné «état de configuration» de l’intégrité du code configurable et HVCI a été appelé Windows Defender Device Guard.

À l’aide de l’intégrité du code configurable pour limiter des appareils uniquement les applications autorisées a ces avantages par rapport aux autres solutions:

  1. La stratégie d’intégrité du code configurable est appliquée par le noyau Windows lui-même. Par conséquent, la stratégie prend effet dès le début dans la séquence de démarrage avant de presque tout autre système d’exploitation le code et les solutions antivirues traditionnelles s’exécuter.
  2. Intégrité du code configurable permet aux clients de définir une stratégie de contrôle d’application non seulement sur le code qui s’exécute en mode utilisateur, mais également les pilotes de matériels et logiciels en mode noyau et même du code qui s’exécute dans le cadre de Windows.
  3. Même à partir de l’administrateur local falsification par la signature numérique de la stratégie, les clients peuvent protéger la stratégie d’intégrité du code configurable. Cela signifie que la modification de la stratégie nécessiterait à la fois des privilèges d’administration et l’accès aux processus signature numérique de l’organisation, rend très difficile pour une personne malveillante avec des privilèges d’administration ou les logiciels malveillants qui géré à obtenir des privilèges d’administration, pour modifier la stratégie de contrôle d’application.
  4. Le mécanisme de mise en œuvre d’intégrité du code configurable entière peut être protégé par HVCI, où même si une vulnérabilité dans le code en mode noyau, la probabilité qu’une personne malveillante pourrait exploiter il est considérablement réduite. Pourquoi s’agit-il pertinent? C’est dans la mesure où une personne malveillante qui compromet le noyau comporterait privilèges suffisants pour désactiver la plupart des défenses du système et de remplacer les stratégies de contrôle d’application appliquées par l’intégrité du code configurable ou toute autre solution de contrôle d’application.

(Re-) Présentation de Windows Defender Application Control

Lorsque nous avons conçu à l’origine de l’état de configuration que nous avons appelé Windows Defender Device Guard, nous l’avons fait avec une promesse de sécurité spécifiques à l’esprit. Bien qu’il n’existait aucune dépendance directe entre deux principales fonctionnalités du système d’exploitation de la configuration de Device Guard, l’intégrité du code configurable et la HVCI, nous avons commencé intentionnellement notre discussion autour de l’état de verrouillage de Device Guard que vous atteignez lors de leur déploiement ensemble.

Toutefois, l’utilisation de la période Device Guard pour décrire l’état de cette configuration a quitté involontairement une impression de nombreux professionnels de l’informatique, ce qui les deux fonctionnalités ont été inexorablement liées et ne peuvent pas être déployées séparément. En outre, étant donné que HVCI s’appuie sur la sécurité basée sur la virtualisation de Windows, il est fourni avec le matériel, des microprogrammes et du noyau pilote compatibilité exigences supplémentaires qui ne répond pas à certains systèmes plus anciens.

Par conséquent, les nombreux professionnels de l’informatique supposé que, car certains systèmes n’a pas pu utiliser HVCI, ils n’ont pas pu utilisent l’intégrité du code configurable soit. Mais l’intégrité du code configurable est inhérente aux aucun matériel spécifique ou une configuration logicielle requise autres que Windows 10, ce qui signifie que de nombreux professionnels de l’informatique ont été refusés tort les avantages de cette fonctionnalité de contrôle d’application puissante en cours d’exécution.

Depuis la version initiale de Windows 10, le monde a assisté de nombreuses attaques de piratage et les programmes malveillants où seul contrôle de l’application pourrait avoir a empêché l’attaque complètement. Cela dit, nous sommes discuter et documenter l’intégrité du code configurable comme une technologie indépendante au sein de notre pile de sécurité et lui donner un nom qui lui sont propres: Windows Defender Application Control. Nous espérons que cette modification nous aideront à mieux communiquer les options pour l’adoption de contrôle des applications au sein d’une organisation.

Ne prend cette moyenne Windows Defender Device Guard forfait de l’état de configuration? Pas du tout. Le terme que Device Guard continueront à être utilisé comme un moyen pour décrire l’état verrouillé entièrement obtenu par le biais de Windows Defender Application Control (WDAC), HVCI et les fonctionnalités de sécurité matériel et le microprogramme. Il permet également de travailler avec nos partenaires OEM pour identifier les spécifications pour les appareils qui sont «Capable de Device Guard» afin que nos clients communs peuvent acheter facilement les périphériques qui répondent à toutes les exigences de matériel et le microprogramme de l’origine «Device Guard» verrouillé scénario pour appareils Windows 10 en fonction.

Rubriques associées

Contrôle d'application Windows Defender

Dropping the Hammer Down on Malware Threats with Windows 10’s Windows Defender Device Guard

Compatibilité des pilotes avec WindowsDefenderDeviceGuard dans Windows10

Intégrité du code