Guard de périphériques Windows Defender: sécurité basés sur la virtualisation et le contrôle de l’Application Windows Defender

S’applique à

  • Windows10
  • WindowsServer2016

Avec Windows 10, nous avons introduit Windows Defender périphérique Guard, un ensemble de technologies matérielles et du système d’exploitation qui, lorsque configurés ensemble, permettent aux entreprises de verrouiller les systèmes Windows afin qu’ils fonctionnent avec la plupart des propriétés d’appareils mobiles. Dans cette configuration, Guard périphérique se limite aux périphériques pour exécuter uniquement les applications autorisées à l’aide d’une fonctionnalité appelée (CI), l’intégrité du code configurable lors de renforcement simultanément le système d’exploitation contre les attaques de mémoire du noyau à l’aide de protection basés sur la virtualisation de l’intégrité du code (plus précisément, HVCI).

Configurable CI présente les avantages par rapport aux autres solutions:

  1. Stratégie CI configurable est appliqué par le noyau Windows lui-même. Par conséquent, la stratégie prend effet au début de la séquence de démarrage avant de presque tout autre système d’exploitation le code et exécuter les solutions antivirues traditionnelles.
  2. Configurable CI permet aux utilisateurs de définir la stratégie de contrôle d’application non seulement sur le code en mode utilisateur, mais également les pilotes de matériel et les logiciels en mode noyau et même du code qui s’exécute dans le cadre de Windows.
  3. Les clients peuvent protéger la stratégie CI configurable même à partir de l’administrateur local la falsification de la stratégie de la signature numérique. Puis en modifiant la stratégie requiert des privilèges d’administration et accès au processus signature numérique de l’organisation, ce qui rend très difficile pour une personne malveillante ou un programme malveillant gérés pour obtenir des privilèges d’administrateur pour modifier la stratégie de contrôle d’application.
  4. Le mécanisme d’application CI configurable entier peut être protégé par HVCI, où même si une vulnérabilité existe dans le code en mode noyau, la probabilité qu’une personne malveillante peut exploiter il est fortement réduite. Pourquoi est-ce pertinent? C’est parce qu’une personne malveillante qui compromet le noyau aurait sinon privilèges suffisants pour désactiver la plupart des défenses du système et de modifier les stratégies de contrôle d’application appliquées par CI configurable ou toute autre solution de contrôle d’application.

(Re-) Présentation du contrôle de l’Application Windows Defender

Lorsque nous conçu initialement Guard périphérique elle a été générée avec une promesse de sécurité spécifiques à l’esprit. Bien qu’il n’y avait aucuns dépendance directe entre ses deux fonctionnalités du système d’exploitation principales, configurables CI et HVCI, nous destinées intentionnellement notre histoire marketing autour de l’état de verrouillage de périphériques Guard que vous atteindre lorsqu’ils sont déployés ensemble.

Toutefois, cela gauche par inadvertance et une impression pour de nombreux clients que les deux fonctionnalités ont été liées inexorablement et ne peuvent pas être déployées séparément. Et étant donné que HVCI s’appuie sur la sécurité de Windows basés sur la virtualisation, il s’agit de matériel supplémentaire, du microprogramme et exigences de compatibilité de pilote noyau qui ne répond pas à certains systèmes plus anciens.

Par conséquent, de nombreux clients supposé qu’ils n’ont pas pu utiliser soit CI configurable. Mais CI configurable n’exécute aucun matériel spécifique ou les avantages de cette fonctionnalité de contrôle d’application puissante est refusé logicielle autre que Windows 10, ce qui signifie à que tort de nombreux clients étaient en cours d’exécution.

Depuis la version initiale de Windows 10, le monde a assisté de nombreuses attaques de piratage et les programmes malveillants où seul contrôle de l’application peut ont empêché l’attaque entièrement. Nous effectuons promotion CI configurable dans notre pile de sécurité et lui donner un nom qui lui est propre: Contrôle de l’Application Windows Defender. Nous espérons que ce changement personnalisation vous aideront à mieux communiquer les options pour l’adoption de contrôle de l’application au sein d’une organisation.

Ne prend que cette Guard de périphériques Windows Defender moyenne est vont disparaître? Pas du tout. Guard périphérique continuera à exister en tant qu’un moyen pour décrire l’état verrouillé entièrement obtenu à l’aide de Windows Defender Application contrôle (WDAC) et les fonctionnalités de sécurité matériel et le microprogramme HVCI. Il permet également de travailler avec les partenaires OEM pour identifier les spécifications pour les périphériques qui sont «Capable de protection de périphériques» de sorte que nos clients communs peuvent acheter facilement les périphériques qui répondent à toutes les exigences de matériel et le microprogramme du scénario Guard périphérique d’origine .

Rubriques connexes

Contrôle d'application Windows Defender

Dropping the Hammer Down on Malware Threats with Windows 10’s Windows Defender Device Guard

Compatibilité des pilotes avec WindowsDefenderDeviceGuard dans Windows10

Intégrité du code