Controllo di applicazioni di Windows Defender e protezione dell'integrità del codice basata sulla virtualizzazione

Ambito di applicazione:

  • Windows 10
  • Windows Server 2016

Windows 10 include un set di tecnologie hardware e del sistema operativo che, se configurate insieme, consentono alle aziende di "bloccare" i sistemi Windows 10 in modo che si comportino più come dispositivi mobili. In questa configurazione, Windows Defender Application Control (WDAC) viene usato per limitare i dispositivi all'esecuzione solo delle app approvate, mentre il sistema operativo è protetto da attacchi di memoria kernel tramite HVCI (Hypervisor-Protected Code Integrity).

I criteri WDAC e HVCI sono potenti protezioni che possono essere usate separatamente. Tuttavia, quando queste due tecnologie sono configurate per funzionare insieme, presentano una funzionalità di protezione avanzata per Windows 10 dispositivi.

L'uso di WDAC per limitare i dispositivi solo alle app autorizzate presenta questi vantaggi rispetto ad altre soluzioni:

  1. I criteri WDAC vengono applicati dal kernel Windows stesso e i criteri vengono applicati all'inizio della sequenza di avvio prima di quasi tutto il codice del sistema operativo e prima dell'esecuzione delle soluzioni antivirus tradizionali.
  2. WDAC consente di impostare i criteri di controllo delle applicazioni per il codice eseguito in modalità utente, i driver hardware e software in modalità kernel e anche il codice eseguito come parte di Windows.
  3. I clienti possono proteggere il criterio WDAC anche da manomissioni dell'amministratore locale firmando digitalmente il criterio. Per modificare i criteri firmati è necessario disporre sia dei privilegi amministrativi che dell'accesso al processo di firma digitale dell'organizzazione. Ciò rende difficile per un utente malintenzionato, incluso uno che è riuscito a ottenere privilegi amministrativi, manomettere i criteri WDAC.
  4. È possibile proteggere l'intero meccanismo di imposizione WDAC con HVCI. Anche se esiste una vulnerabilità nel codice in modalità kernel, HVCI riduce notevolmente la probabilità che un utente malintenzionato possa sfruttarla correttamente. Questo è importante perché un utente malintenzionato che compromette il kernel potrebbe in genere disabilitare la maggior parte delle difese del sistema, incluse quelle applicate da WDAC o da qualsiasi altra soluzione di controllo delle applicazioni.

Perché non usiamo più il marchio Device Guard

Quando abbiamo promosso Device Guard in origine, l'abbiamo fatto con una promessa di sicurezza specifica in mente. Anche se non ci sono dipendenze dirette tra WDAC e HVCI, abbiamo intenzionalmente concentrato la nostra discussione sullo stato di blocco raggiunto quando li si usa insieme. Tuttavia, poiché HVCI si basa sulla sicurezza basata su Windows virtualizzazione, dispone di requisiti di compatibilità hardware, firmware e driver kernel che alcuni sistemi precedenti non sono in grado di soddisfare. Questo ha ingannato molte persone a presumere che se i sistemi non potevano usare HVCI, non potevano usare WDAC.

WDAC non ha requisiti hardware o software specifici oltre all'esecuzione di Windows 10, il che significa che ai clienti sono stati negati i vantaggi di questa potente funzionalità di controllo delle applicazioni a causa di confusione di Device Guard.

Dal rilascio iniziale di Windows 10, il mondo ha assistito a numerosi attacchi di hacking e malware in cui il solo controllo delle applicazioni avrebbe potuto impedire completamente l'attacco. Con questo in mente, ora discutiamo e documentiamo WDAC come tecnologia indipendente all'interno del nostro stack di sicurezza e gli diamo un nome proprio: Windows Defender Application Control. Ci auguriamo che questa modifica ci aiuterà a comunicare meglio le opzioni per l'adozione del controllo delle applicazioni all'interno delle organizzazioni.

Articoli correlati