Contrôle d’application Windows Defender et protection basée sur la virtualisation d’intégrité du code

S'applique à

  • Windows10
  • Windows Server 2016

Windows 10 comprend un ensemble de technologies matérielles et de système d’exploitation qui, lorsqu’elles sont configurées ensemble, permettent aux entreprises de « verrouiller » Windows 10 systèmes afin qu’ils se comportent davantage comme des appareils mobiles. Dans cette configuration, Windows Defender Contrôle d’application (WDAC) est utilisé pour limiter les appareils à exécuter uniquement des applications approuvées, tandis que le système d’exploitation est renforcé contre les attaques de mémoire du noyau à l’aide de l’intégrité du code protégée par hyperviseur (HVCI).

Les stratégies WDAC et HVCI sont des protections puissantes qui peuvent être utilisées séparément. Toutefois, lorsque ces deux technologies sont configurées pour fonctionner ensemble, elles offrent une fonctionnalité de protection forte pour les appareils Windows 10.

L’utilisation de Windows Defender Contrôle d’application pour limiter les appareils aux seules applications autorisées présente les avantages suivants par rapport aux autres solutions :

  1. La stratégie WDAC est appliquée par le noyau Windows lui-même, et la stratégie prend effet au début de la séquence de démarrage avant la quasi-totalité du code du système d’exploitation et avant l’exécution des solutions antivirus traditionnelles.
  2. WDAC vous permet de définir une stratégie de contrôle d’application pour le code qui s’exécute en mode utilisateur, le matériel en mode noyau et les pilotes logiciels, et même le code qui s’exécute dans le cadre de Windows.
  3. Les clients peuvent protéger la stratégie WDAC même contre la falsification de l’administrateur local en signant numériquement la stratégie. Pour modifier la stratégie signée, vous devez disposer à la fois de privilèges d’administration et d’accès au processus de signature numérique de l’organisation. Il est donc difficile pour un attaquant, y compris celui qui a réussi à obtenir des privilèges administratifs, de falsifier la stratégie WDAC.
  4. Vous pouvez protéger l’ensemble du mécanisme d’application WDAC avec HVCI. Même s’il existe une vulnérabilité dans le code en mode noyau, HVCI réduit considérablement la probabilité qu’un attaquant puisse l’exploiter avec succès. Cela est important, car un attaquant qui compromet le noyau peut normalement désactiver la plupart des défenses système, y compris celles appliquées par WDAC ou toute autre solution de contrôle d’application.

Pourquoi nous n’utilisons plus la marque Device Guard

Lorsque nous avons initialement promu Device Guard, nous l’avons fait avec une promesse de sécurité spécifique à l’esprit. Bien qu’il n’y ait pas de dépendances directes entre WDAC et HVCI, nous avons intentionnellement concentré notre discussion sur l’état de verrouillage obtenu lors de leur utilisation ensemble. Toutefois, étant donné que HVCI s’appuie sur Windows sécurité basée sur la virtualisation, il a des exigences de compatibilité de matériel, de microprogramme et de pilote de noyau que certains systèmes plus anciens ne peuvent pas satisfaire. Cela a induit de nombreuses personnes en erreur en supposant que si les systèmes ne pouvaient pas utiliser HVCI, ils ne pouvaient pas non plus utiliser WDAC.

WDAC n’a pas d’exigences matérielles ou logicielles spécifiques autres que l’exécution de Windows 10, ce qui signifie que les clients se sont vu refuser les avantages de cette puissante fonctionnalité de contrôle d’application en raison de la confusion de Device Guard.

Depuis la publication initiale de Windows 10, le monde a été témoin de nombreuses attaques de piratage et de programmes malveillants où le contrôle d’application seul aurait pu empêcher l’attaque tout à fait. Dans cet esprit, nous abordons et documentons maintenant Windows Defender Contrôle d’application en tant que technologie indépendante au sein de notre pile de sécurité et lui avons donné un nom propre : Windows Defender Contrôle d’application. Nous espérons que ce changement nous aidera à mieux communiquer les options d’adoption du contrôle d’application au sein de votre organisation.

Articles connexes