Contrôle des applications Windows Defender et protection de l’intégrité du code basée sur la virtualisationWindows Defender Application Control and virtualization-based protection of code integrity

S’applique àApplies to

  • Windows10Windows 10
  • WindowsServer2016Windows Server 2016

Windows 10 inclut un ensemble de technologies matérielles et de systèmes d’exploitation qui, lorsqu’elles sont configurées ensemble, permettent aux entreprises de «verrouiller» les systèmes Windows 10 pour les utiliser avec la plupart des propriétés des appareils mobiles.Windows 10 includes a set of hardware and OS technologies that, when configured together, allow enterprises to "lock down" Windows 10 systems so they operate with many of the properties of mobile devices. Dans cette configuration, des technologies spécifiques fonctionnent ensemble pour limiter les appareils aux applications autorisées uniquement à l’aide d’une fonctionnalité appelée intégrité du code configurable, tout en renforçant simultanément le système d’exploitation contre les attaques de mémoire noyau par le biais de l’utilisation de protection de l’intégrité du code basée sur la virtualisation (plus précisément, HVCI).In this configuration, specific technologies work together to restrict devices to only run authorized apps by using a feature called configurable code integrity, while simultaneously hardening the OS against kernel memory attacks through the use of virtualization-based protection of code integrity (more specifically, HVCI).

Les stratégies d’intégrité du code configurables et HVCI sont des protections très puissantes qui peuvent être utilisées séparément.Configurable code integrity policies and HVCI are very powerful protections that can be used separately. Toutefois, lorsque ces deux technologies sont configurées pour fonctionner ensemble, elles présentent une fonctionnalité de protection très forte pour les appareils Windows 10.However, when these two technologies are configured to work together, they present a very strong protection capability for Windows 10 devices.

L’utilisation de l’intégrité du code configurable pour limiter les appareils aux applications autorisées uniquement offre les avantages suivants par rapport à d’autres solutions:Using configurable code integrity to restrict devices to only authorized apps has these advantages over other solutions:

  1. La stratégie de l’intégrité du code configurable est appliquée par le noyau Windows lui-même.Configurable code integrity policy is enforced by the Windows kernel itself. C’est la première fois que la stratégie entre en vigueur dans le cadre de la séquence de démarrage avant tout autre code de système d’exploitation et qu’elle s’exécute sur des solutions antivirus traditionnelles.As such, the policy takes effect early in the boot sequence before nearly all other OS code and before traditional antivirus solutions run.
  2. L’intégrité du code configurable permet aux clients de définir la stratégie de contrôle d’application non seulement sur le code exécuté en mode utilisateur, mais également sur les pilotes de matériel et de logiciels en mode noyau et même du code qui s’exécute dans le cadre de Windows.Configurable code integrity allows customers to set application control policy not only over code running in user mode, but also kernel mode hardware and software drivers and even code that runs as part of Windows.
  3. Les clients peuvent protéger la stratégie d’intégrité du code configurable même à partir de la falsification de l’administrateur local en signant numériquement la stratégie.Customers can protect the configurable code integrity policy even from local administrator tampering by digitally signing the policy. Cela signifie que la modification de la stratégie exigeait les privilèges d’administration et l’accès au processus de signature numérique de l’organisation, ce qui complique la tâche d’un attaquant ayant un privilège d’administration ou un logiciel malveillant qui est géré Profitez des privilèges d’administration pour modifier la stratégie de contrôle de l’application.This would mean that changing the policy would require both administrative privilege and access to the organization’s digital signing process, making it extremely difficult for an attacker with administrative privilege, or malicious software that managed to gain administrative privilege, to alter the application control policy.
  4. La totalité du mécanisme de mise en œuvre de l’intégrité du code configurable peut être protégée par HVCI, où même si une vulnérabilité existe dans le code du mode noyau, il est probable qu’une personne malintentionnée l’exploitait bien.The entire configurable code integrity enforcement mechanism can be protected by HVCI, where even if a vulnerability exists in kernel mode code, the likelihood that an attacker could successfully exploit it is significantly diminished. Pourquoi cela est-il pertinent?Why is this relevant? Cela est dû au fait qu’un utilisateur malveillant disposant du noyau dispose alors de privilèges suffisants pour désactiver la plupart des défenses du système et remplacer les stratégies de contrôle d’application appliquées par le biais de l’intégrité du code configurable ou d’une autre solution de contrôle d’application.That’s because an attacker that compromises the kernel would otherwise have enough privilege to disable most system defenses and override the application control policies enforced by configurable code integrity or any other application control solution.

Contrôle d'application Windows DefenderWindows Defender Application Control

À l’origine, nous nous avons fait une promesse de sécurité spécifique à l’esprit.When we originally designed this configuration state, we did so with a specific security promise in mind. Même s’il n’y a pas de dépendances directes entre l’intégrité du code configurable et HVCI, nous avons intentionnellement axé sur notre discussion sur l’état de verrouillage que vous obtenez lors du déploiement.Although there were no direct dependencies between configurable code integrity and HVCI, we intentionally focused our discussion around the lockdown state you achieve when deploying them together. Toutefois, étant donné que HVCI repose sur la sécurité basée sur la virtualisation Windows, il s’agit de configurations requises supplémentaires en matière de matériel, de microprogramme et de compatibilité de pilote de noyau que certains systèmes plus anciens ne peuvent pas rencontrer.However, given that HVCI relies on Windows virtualization-based security, it comes with additional hardware, firmware, and kernel driver compatibility requirements that some older systems can’t meet. Par conséquent, de nombreux professionnels de l’informatique ont supposé que, dans la mesure où certains systèmes ne pouvaient pas utiliser HVCI, ils n’ont pas pu utiliser l’intégrité du code configurable.As a result, many IT Professionals assumed that because some systems couldn't use HVCI, they couldn’t use configurable code integrity either.

L’intégrité du code configurable ne dépend pas d’une configuration matérielle ou logicielle spécifique que l’exécution de Windows 10, ce qui signifie que de nombreux professionnels de l’informatique ont rencontré une erreur de ce type de gestion des applications puissantes.Configurable code integrity carries no specific hardware or software requirements other than running Windows 10, which means many IT professionals were wrongly denied the benefits of this powerful application control capability.

Depuis la version initiale de Windows 10, le monde a usurpé de nombreux pirates malveillants et programmes malveillants pour lesquels le contrôle de l’application peut avoir empêché l’attaque.Since the initial release of Windows 10, the world has witnessed numerous hacking and malware attacks where application control alone could have prevented the attack altogether. Pour cela, nous décrivons et définissons l’intégrité du code configurable comme une technologie indépendante au sein de notre pile de sécurité et en lui donnant un nom propre: contrôle de l' application Windows Defender.With this in mind, we are discussing and documenting configurable code integrity as a independent technology within our security stack and giving it a name of its own: Windows Defender Application Control. Nous espérons que ce changement nous permettra d’améliorer les options de communication permettant d’adopter le contrôle d’application au sein d’une organisation.We hope this change will help us better communicate options for adopting application control within an organization.

Articles connexesRelated articles

Contrôle d'application Windows DefenderWindows Defender Application Control

Le fait de supprimer le marteau sur les menaces malveillantes avec Windows Defender de Windows 10Dropping the Hammer Down on Malware Threats with Windows 10’s Windows Defender

Compatibilité des pilotes avec Windows Defender dans Windows 10Driver compatibility with Windows Defender in Windows 10

Intégrité du codeCode integrity