Contrôle des applications Windows Defender et protection de l’intégrité du code basée sur la virtualisation

S’applique à

  • Windows10
  • WindowsServer2016

Windows 10 inclut un ensemble de technologies matérielles et de systèmes d’exploitation qui, lorsqu’elles sont configurées ensemble, permettent aux entreprises de «verrouiller» les systèmes Windows 10 pour les utiliser avec la plupart des propriétés des appareils mobiles. Dans cette configuration, des technologies spécifiques fonctionnent ensemble pour limiter les appareils aux applications autorisées uniquement à l’aide d’une fonctionnalité appelée intégrité du code configurable, tout en renforçant simultanément le système d’exploitation contre les attaques de mémoire noyau par le biais de l’utilisation de protection de l’intégrité du code basée sur la virtualisation (plus précisément, HVCI).

Les stratégies d’intégrité du code configurables et HVCI sont des protections très puissantes qui peuvent être utilisées séparément. Toutefois, lorsque ces deux technologies sont configurées pour fonctionner ensemble, elles présentent une fonctionnalité de protection très forte pour les appareils Windows 10.

L’utilisation de l’intégrité du code configurable pour limiter les appareils aux applications autorisées uniquement offre les avantages suivants par rapport à d’autres solutions:

  1. La stratégie de l’intégrité du code configurable est appliquée par le noyau Windows lui-même. C’est la première fois que la stratégie entre en vigueur dans le cadre de la séquence de démarrage avant tout autre code de système d’exploitation et qu’elle s’exécute sur des solutions antivirus traditionnelles.
  2. L’intégrité du code configurable permet aux clients de définir la stratégie de contrôle d’application non seulement sur le code exécuté en mode utilisateur, mais également sur les pilotes de matériel et de logiciels en mode noyau et même du code qui s’exécute dans le cadre de Windows.
  3. Les clients peuvent protéger la stratégie d’intégrité du code configurable même à partir de la falsification de l’administrateur local en signant numériquement la stratégie. Cela signifie que la modification de la stratégie exigeait les privilèges d’administration et l’accès au processus de signature numérique de l’organisation, ce qui complique la tâche d’un attaquant ayant un privilège d’administration ou un logiciel malveillant qui est géré Profitez des privilèges d’administration pour modifier la stratégie de contrôle de l’application.
  4. La totalité du mécanisme de mise en œuvre de l’intégrité du code configurable peut être protégée par HVCI, où même si une vulnérabilité existe dans le code du mode noyau, il est probable qu’une personne malintentionnée l’exploitait bien. Pourquoi cela est-il pertinent? Cela est dû au fait qu’un utilisateur malveillant disposant du noyau dispose alors de privilèges suffisants pour désactiver la plupart des défenses du système et remplacer les stratégies de contrôle d’application appliquées par le biais de l’intégrité du code configurable ou d’une autre solution de contrôle d’application.

Contrôle d'application Windows Defender

À l’origine, nous nous avons fait une promesse de sécurité spécifique à l’esprit. Même s’il n’y a pas de dépendances directes entre l’intégrité du code configurable et HVCI, nous avons intentionnellement axé sur notre discussion sur l’état de verrouillage que vous obtenez lors du déploiement. Toutefois, étant donné que HVCI repose sur la sécurité basée sur la virtualisation Windows, il s’agit de configurations requises supplémentaires en matière de matériel, de microprogramme et de compatibilité de pilote de noyau que certains systèmes plus anciens ne peuvent pas rencontrer. Par conséquent, de nombreux professionnels de l’informatique ont supposé que, dans la mesure où certains systèmes ne pouvaient pas utiliser HVCI, ils n’ont pas pu utiliser l’intégrité du code configurable.

L’intégrité du code configurable ne dépend pas d’une configuration matérielle ou logicielle spécifique que l’exécution de Windows 10, ce qui signifie que de nombreux professionnels de l’informatique ont rencontré une erreur de ce type de gestion des applications puissantes.

Depuis la version initiale de Windows 10, le monde a usurpé de nombreux pirates malveillants et programmes malveillants pour lesquels le contrôle de l’application peut avoir empêché l’attaque. Pour cela, nous décrivons et définissons l’intégrité du code configurable comme une technologie indépendante au sein de notre pile de sécurité et en lui donnant un nom propre: contrôle de l' application Windows Defender. Nous espérons que ce changement nous permettra d’améliorer les options de communication permettant d’adopter le contrôle d’application au sein d’une organisation.

Rubriques associées

Contrôle d'application Windows Defender

Le fait de supprimer le marteau sur les menaces malveillantes avec Windows Defender de Windows 10

Compatibilité des pilotes avec Windows Defender dans Windows 10

Intégrité du code