Управление приложениями в Защитнике Windows и защита целостности кода на основе виртуализации

Относится к:

  • Windows 10
  • Windows Server 2016

Windows 10 включает набор технологий оборудования и ОС, которые при совместной настройке позволяют предприятиям "заблокировать" Windows 10, чтобы они вели себя как мобильные устройства. В этой конфигурации Защитник Windows application Control (WDAC) используется для ограничения устройств для запуска только утвержденных приложений, в то время как ОС закалена при атаках памяти ядра с помощью целостности кода с защитой гипервизора (HVCI).

Политики WDAC и HVCI — это мощные средства защиты, которые можно использовать отдельно. Однако, когда эти две технологии настроены для совместной работы, они представляют сильную возможность защиты для Windows 10 устройств.

Использование WDAC для ограничения устройств только авторизованных приложений имеет эти преимущества перед другими решениями:

  1. Политика WDAC обеспечивается самим ядром Windows, и эта политика вступает в силу на ранних стадиях загрузки перед практически всеми другими кодами ОС и перед запуском традиционных антивирусных решений.
  2. WDAC позволяет устанавливать политику управления приложениями для кода, который работает в режиме пользователя, аппаратных и программных драйверов режима ядра, и даже кода, который выполняется в Windows.
  3. Клиенты могут защитить политику WDAC даже от локального взлома администратора, подписав политику в цифровом формате. Для изменения подписанной политики требуется как административная привилегия, так и доступ к процессу цифровой подписи организации. Это затрудняет для злоумышленника, в том числе того, кому удалось получить административную привилегию, для взлома политики WDAC.
  4. Весь механизм обеспечения безопасности WDAC можно защитить с помощью HVCI. Даже если уязвимость существует в коде режима ядра, HVCI значительно снижает вероятность успешного использования злоумышленником. Это важно, так как злоумышленник, который скомпрометировать ядро, как правило, может отключить большинство системных защиты, в том числе тех, которые применяются WDAC или любым другим решением управления приложениями.

Почему мы больше не используем бренд Device Guard

Когда мы изначально продвигали device Guard, мы делали это с определенными обещаниями безопасности. Несмотря на отсутствие прямых зависимостей между WDAC и HVCI, мы намеренно фокусировались на обсуждении состояния блокировки, достигнутого при их совместном использовании. Однако, так как HVCI опирается на Windows на основе виртуализации, он имеет требования к совместимости драйвера оборудования, прошивки и драйвера ядра, которые некоторые старые системы не могут соответствовать. Это в заблуждение многих людей, предполагая, что если системы не могут использовать HVCI, они не могут использовать WDAC либо.

У WDAC нет определенных требований к оборудованию или программному обеспечению, кроме Windows 10, что означает, что клиентам было отказано в преимуществах этой мощной возможности управления приложениями из-за путаницы в устройстве Guard.

С момента первоначального выпуска Windows 10, мир стал свидетелем многочисленных атак взлома и вредоносных программ, в которых только управление приложениями могло бы полностью предотвратить атаку. В этой связи мы сейчас обсуждаем и заявляем WDAC как независимую технологию в нашем стеке безопасности и дали ему свое имя: Защитник Windows Application Control. Мы надеемся, что это изменение поможет нам лучше общаться с вариантами принятия управления приложениями в ваших организациях.

Связанные статьи