Controllo di applicazioni di Windows Defender e protezione dell'integrità del codice basata sulla virtualizzazione

Windows include un set di tecnologie hardware e del sistema operativo che, se configurate insieme, consentono alle aziende di "bloccare" i sistemi Windows in modo che si comportino più come dispositivi tutto schermo. In questa configurazione, Windows Defender controllo delle applicazioni (WDAC) viene usato per limitare i dispositivi all'esecuzione solo di app approvate, mentre il sistema operativo viene sottoposto a protezione avanzata contro gli attacchi alla memoria del kernel usando l'integrità della memoria.

Nota

L'integrità della memoria è talvolta definita integrità del codice protetta da hypervisor (HVCI) o integrità del codice applicata dall'hypervisor ed è stata originariamente rilasciata come parte di Device Guard. Device Guard non viene più usato se non per individuare l'integrità della memoria e le impostazioni VBS in Criteri di gruppo o nel Registro di sistema di Windows.

I criteri WDAC e l'integrità della memoria sono protezioni potenti che possono essere usate separatamente. Tuttavia, quando queste due tecnologie sono configurate per funzionare insieme, presentano una funzionalità di protezione avanzata per i dispositivi Windows. L'uso di WDAC per limitare i dispositivi solo alle app autorizzate presenta questi vantaggi rispetto ad altre soluzioni:

  1. Il kernel Windows gestisce l'imposizione dei criteri WDAC e non richiede altri servizi o agenti.
  2. Il criterio WDAC entra in vigore all'inizio della sequenza di avvio prima di quasi tutto il codice del sistema operativo e prima dell'esecuzione delle soluzioni antivirus tradizionali.
  3. WDAC consente di impostare i criteri di controllo delle applicazioni per qualsiasi codice eseguito in Windows, inclusi i driver in modalità kernel e persino il codice eseguito come parte di Windows.
  4. I clienti possono proteggere i criteri WDAC anche dalla manomissione dell'amministratore locale firmando digitalmente i criteri. La modifica dei criteri firmati richiede privilegi amministrativi e l'accesso al processo di firma digitale dell'organizzazione. L'uso di criteri firmati rende difficile per un utente malintenzionato, incluso uno che riesce a ottenere privilegi amministrativi, manomettere i criteri WDAC.
  5. È possibile proteggere l'intero meccanismo di imposizione di WDAC con l'integrità della memoria. Anche se esiste una vulnerabilità nel codice in modalità kernel, l'integrità della memoria riduce notevolmente la probabilità che un utente malintenzionato possa sfruttarla correttamente. Senza l'integrità della memoria, un utente malintenzionato che compromette il kernel potrebbe in genere disabilitare la maggior parte delle difese di sistema, inclusi i criteri di controllo delle applicazioni applicati da WDAC o da qualsiasi altra soluzione di controllo delle applicazioni.

Non esistono dipendenze dirette tra WDAC e l'integrità della memoria. È possibile distribuirli singolarmente o insieme e non esiste alcun ordine in cui devono essere distribuiti.

L'integrità della memoria si basa sulla sicurezza basata su Virtualizzazione Windows e presenta requisiti di compatibilità hardware, firmware e driver del kernel che alcuni sistemi meno recenti non possono soddisfare.

WDAC non ha requisiti hardware o software specifici.