Windows Defender Application Control 및 코드 무결성의 가상화 기반 보호

적용 대상

• Windows 10
• Windows Server 2016

Windows 10 함께 구성할 때 기업이 모바일 디바이스처럼 작동하도록 Windows 10 시스템을 "잠글" 수 있도록 하는 하드웨어 및 OS 기술 집합을 포함합니다. 이 구성에서는 WDAC(Windows Defender Application Control)를 사용하여 승인된 앱만 실행하도록 디바이스를 제한하는 반면 OS는 HVCI(하이퍼바이저로 보호된 코드 무결성)를 사용하여 커널 메모리 공격에 대해 강화됩니다.

WDAC 정책 및 HVCI는 별도로 사용할 수 있는 강력한 보호 기능입니다. 그러나 이러한 두 기술이 함께 작동하도록 구성된 경우 Windows 10 디바이스에 대한 강력한 보호 기능을 제공합니다.

Windows Defender Application Control을 사용하여 권한이 부여된 앱으로만 디바이스를 제한하면 다른 솔루션에 비해 다음과 같은 이점이 있습니다.

1. WDAC 정책은 Windows 커널 자체에 의해 적용되며, 정책은 거의 모든 다른 OS 코드가 실행되기 전과 기존 바이러스 백신 솔루션이 실행되기 전에 부팅 시퀀스 초기에 적용됩니다.
2. WDAC를 사용하면 사용자 모드에서 실행되는 코드, 커널 모드 하드웨어 및 소프트웨어 드라이버, Windows의 일부로 실행되는 코드에 대한 애플리케이션 제어 정책을 설정할 수 있습니다.
3. 고객은 정책에 디지털 서명하여 로컬 관리자 변조로부터도 WDAC 정책을 보호할 수 있습니다. 서명된 정책을 변경하려면 조직의 디지털 서명 프로세스에 대한 관리 권한과 액세스 권한이 모두 필요합니다. 따라서 관리 권한을 얻은 공격자를 포함하여 공격자가 WDAC 정책을 변조하기가 어렵습니다.
4. HVCI를 사용하여 전체 WDAC 적용 메커니즘을 보호할 수 있습니다. 커널 모드 코드에 취약성이 있더라도 HVCI는 공격자가 성공적으로 악용할 가능성을 크게 줄입니다. 커널을 손상시키는 공격자는 일반적으로 WDAC 또는 다른 애플리케이션 제어 솔루션에 의해 적용되는 것을 포함하여 대부분의 시스템 방어를 사용하지 않도록 설정할 수 있기 때문에 중요합니다.

Device Guard 브랜드를 더 이상 사용하지 않는 이유

원래 Device Guard를 승격했을 때 특정 보안 약속을 염두에 두고 승격했습니다. WDAC와 HVCI 간에 직접적인 종속성은 없었지만, WDAC와 HVCI를 함께 사용할 때 달성된 잠금 상태에 대한 논의를 의도적으로 집중했습니다. 그러나 HVCI는 Windows 가상화 기반 보안을 사용하므로 일부 이전 시스템에서는 충족할 수 없는 하드웨어, 펌웨어 및 커널 드라이버 호환성 요구 사항이 있습니다. 이로써 많은 사람들이 시스템에서 HVCI를 사용할 수 없는 경우 WDAC도 사용할 수 없다고 가정했습니다.

WDAC에는 Windows 10 실행하는 것 외에 특정 하드웨어 또는 소프트웨어 요구 사항이 없습니다. 즉, 고객이 Device Guard 혼동으로 인해 이 강력한 애플리케이션 제어 기능의 이점을 거부당했습니다.

Windows 10 초기 릴리스 이후, 세계는 애플리케이션 제어만으로도 공격을 완전히 막을 수 있는 수많은 해킹 및 맬웨어 공격을 목격했습니다. 이 점을 염두에 두고 이제 Windows Defender 애플리케이션 제어를 보안 스택 내의 독립적인 기술로 설명하고 자체 이름인 Windows Defender Application Control을 설명합니다. 이러한 변경이 조직 내에서 애플리케이션 제어를 채택하기 위한 옵션을 보다 잘 전달하는 데 도움이 되기를 바랍니다.

관련 문서

• Windows Defender Application Control
• Windows 10의 Device Guard와 드라이버 호환성
• 코드 무결성