Controllo di applicazioni di Windows Defender e protezione dell'integrità del codice basata sulla virtualizzazioneWindows Defender Application Control and virtualization-based protection of code integrity

Si applica aApplies to

  • Windows 10Windows 10
  • WindowsServer 2016Windows Server 2016

Windows 10 include un set di tecnologie hardware e del sistema operativo che, se configurate insieme, consentono alle aziende di "bloccare" i sistemi Windows 10 in modo che opelino con molte delle proprietà dei dispositivi mobili.Windows 10 includes a set of hardware and OS technologies that, when configured together, allow enterprises to "lock down" Windows 10 systems so they operate with many of the properties of mobile devices. In questa configurazione, tecnologie specifiche funzionano insieme per limitare i dispositivi all'esecuzione di app autorizzate solo tramite una funzionalità denominata integrità del codice configurabile, mentre contemporaneamente la protezione avanzata del sistema operativo dagli attacchi alla memoria kernel tramite la protezione basata su virtualizzazione dell'integrità del codice (più specificamente HVCI).In this configuration, specific technologies work together to restrict devices to only run authorized apps by using a feature called configurable code integrity, while simultaneously hardening the OS against kernel memory attacks by using virtualization-based protection of code integrity (more specifically, HVCI).

I criteri di integrità del codice configurabili e HVCI sono potenti protezioni che possono essere usate separatamente.Configurable code integrity policies and HVCI are powerful protections that can be used separately. Tuttavia, quando queste due tecnologie sono configurate per funzionare insieme, presentano una forte funzionalità di protezione per i dispositivi Windows 10.However, when these two technologies are configured to work together, they present a strong protection capability for Windows 10 devices.

L'uso dell'integrità del codice configurabile per limitare i dispositivi solo alle app autorizzate offre questi vantaggi rispetto ad altre soluzioni:Using configurable code integrity to restrict devices to only authorized apps has these advantages over other solutions:

  1. I criteri di integrità del codice configurabili vengono applicati dal kernel di Windows stesso.Configurable code integrity policy is enforced by the Windows kernel itself. Di conseguenza, il criterio ha effetto all'inizio della sequenza di avvio prima di quasi tutto il codice del sistema operativo e prima dell'esecuzione delle soluzioni antivirus tradizionali.As such, the policy takes effect early in the boot sequence before nearly all other OS code and before traditional antivirus solutions run.
  2. L'integrità del codice configurabile consente ai clienti di impostare criteri di controllo delle applicazioni non solo sul codice in esecuzione in modalità utente, ma anche sui driver hardware e software in modalità kernel e anche sul codice eseguito come parte di Windows.Configurable code integrity allows customers to set application control policy not only over code running in user mode, but also kernel mode hardware and software drivers and even code that runs as part of Windows.
  3. I clienti possono proteggere i criteri di integrità del codice configurabili anche dalle manomissioni dell'amministratore locale firmando digitalmente il criterio.Customers can protect the configurable code integrity policy even from local administrator tampering by digitally signing the policy. Ciò significa che la modifica dei criteri richiederebbe privilegi amministrativi e l'accesso al processo di firma digitale dell'organizzazione, rendendo difficile per un utente malintenzionato con privilegi amministrativi o software dannoso che è riuscito a ottenere privilegi amministrativi, alterare i criteri di controllo delle applicazioni.This would mean that changing the policy would require both administrative privilege and access to the organization’s digital signing process, making it difficult for an attacker with administrative privilege, or malicious software that managed to gain administrative privilege, to alter the application control policy.
  4. L'intero meccanismo di imposizione dell'integrità del codice configurabile può essere protetto da HVCI, dove anche se esiste una vulnerabilità nel codice in modalità kernel, la probabilità che un utente malintenzionato possa sfruttarla correttamente diminuisce.The entire configurable code integrity enforcement mechanism can be protected by HVCI, where even if a vulnerability exists in kernel mode code, the likelihood that an attacker could successfully exploit it is diminished. Perché è rilevante?Why is this relevant? Questo perché un utente malintenzionato che compromette il kernel avrebbe comunque privilegi sufficienti per disabilitare la maggior parte delle difese del sistema e ignorare i criteri di controllo delle applicazioni applicati dall'integrità del codice configurabile o da qualsiasi altra soluzione di controllo delle applicazioni.That’s because an attacker that compromises the kernel would otherwise have enough privilege to disable most system defenses and override the application control policies enforced by configurable code integrity or any other application control solution.

Controllo di applicazioni di Windows DefenderWindows Defender Application Control

Quando abbiamo originariamente progettato questo stato di configurazione, l'abbiamo fatto con una promessa di sicurezza specifica.When we originally designed this configuration state, we did so with a specific security promise in mind. Anche se non esistevano dipendenze dirette tra l'integrità del codice configurabile e HVCI, abbiamo intenzionalmente focalizzato la discussione sullo stato di blocco raggiunto durante la distribuzione insieme.Although there were no direct dependencies between configurable code integrity and HVCI, we intentionally focused our discussion around the lockdown state you achieve when deploying them together. Tuttavia, dato che HVCI si basa sulla sicurezza basata su virtualizzazione di Windows, include più requisiti di compatibilità hardware, firmware e driver kernel che alcuni sistemi meno recenti non sono in grado di soddisfare.However, given that HVCI relies on Windows virtualization-based security, it comes with more hardware, firmware, and kernel driver compatibility requirements that some older systems can’t meet. Di conseguenza, molti professionisti IT presupponevano che, poiché alcuni sistemi non potevano usare HVCI, non potevano usare nemmeno l'integrità del codice configurabile.As a result, many IT Professionals assumed that because some systems couldn't use HVCI, they couldn’t use configurable code integrity either.

L'integrità del codice configurabile non comporta requisiti hardware o software specifici oltre all'esecuzione di Windows 10, il che significa che a molti professionisti IT sono stati in errore negati i vantaggi di questa potente funzionalità di controllo delle applicazioni.Configurable code integrity carries no specific hardware or software requirements other than running Windows 10, which means many IT professionals were wrongly denied the benefits of this powerful application control capability.

Dal rilascio iniziale di Windows 10, il mondo ha assistito a numerosi attacchi di hacking e malware in cui il solo controllo delle applicazioni avrebbe potuto impedire del tutto l'attacco.Since the initial release of Windows 10, the world has witnessed numerous hacking and malware attacks where application control alone could have prevented the attack altogether. Con questo in considerazione, stiamo discutendo e documentando l'integrità del codice configurabile come una tecnologia indipendente all'interno del nostro stack di sicurezza e fornendogli un nome proprio: Windows Defender Application Control.With this in mind, we are discussing and documenting configurable code integrity as an independent technology within our security stack and giving it a name of its own: Windows Defender Application Control. Ci auguriamo che questa modifica ci aiuterà a comunicare meglio le opzioni per adottare il controllo delle applicazioni all'interno di un'organizzazione.We hope this change will help us better communicate options for adopting application control within an organization.

Articoli correlatiRelated articles

Controllo di applicazioni di Windows DefenderWindows Defender Application Control

Eliminazione del hammer down sulle minacce malware con windows 10 Windows DefenderDropping the Hammer Down on Malware Threats with Windows 10’s Windows Defender

Compatibilità dei driver con Windows Defender in Windows 10Driver compatibility with Windows Defender in Windows 10

Integrità del codiceCode integrity