Windows Defender 应用程序控制和基于虚拟化的代码完整性保护

适用于

  • Windows 10
  • Windows Server 2016

Windows 10包括一组硬件和操作系统技术,当一起配置这些技术时,企业可以"锁定"Windows 10系统,以便它们的行为更像移动设备。 在此配置中,Windows Defender 应用程序控制 (WDAC) 用于限制设备仅运行批准的应用,而操作系统使用虚拟机监控程序保护的代码完整性 (HVCI) 来强化内核内存攻击。

WDAC 策略和 HVCI 是可单独使用的强大保护。 但是,当这两种技术配置为协同工作时,它们为这些设备提供强大的Windows 10功能。

与其他解决方案相比,使用 WDAC 将设备限制为仅授权应用具有以下优势:

  1. WDAC 策略由 Windows本身强制执行,并且该策略在几乎所有其他操作系统代码之前以及传统防病毒解决方案运行之前在启动序列早期生效。
  2. WDAC 允许你为在用户模式下运行的代码、内核模式硬件和软件驱动程序,甚至是作为应用程序驱动程序的一部分运行的代码设置Windows。
  3. 客户可以通过对 WDAC 策略进行数字签名来保护 WDAC 策略,甚至防止本地管理员篡改该策略。 若要更改已签名策略,需要管理权限和访问组织的数字签名过程。 这使得攻击者(包括已获得管理权限的攻击者)难以篡改 WDAC 策略。
  4. 可以使用 HVCI 保护整个 WDAC 强制机制。 即使内核模式代码中存在漏洞,HVCI 也大大降低了攻击者成功利用它的可能性。 这一点很重要,因为破坏内核的攻击者通常会禁用大多数系统防御,包括由 WDAC 或其他任何应用程序控制解决方案强制执行的系统防御。

我们不再使用 Device Guard 品牌的原因

当我们最初升级 Device Guard 时,我们这样做时牢记特定的安全承诺。 尽管 WDAC 和 HVCI 之间没有直接依赖关系,但我们特意围绕在一起使用锁定状态展开讨论。 但是,由于 HVCI 依赖于基于Windows的安全性,因此它具有硬件、固件和内核驱动程序兼容性要求,一些旧系统无法满足这些要求。 这导致许多人错误地认为如果系统不使用 HVCI,他们也不能使用 WDAC。

WDAC 没有特定的硬件或软件要求,但运行 Windows 10,这意味着由于 Device Guard 混淆,客户无法受益于这一强大的应用程序控制功能。

自首次发布 Windows 10以来,世界上已经发生了大量黑客和恶意软件攻击,仅应用程序控制可以完全阻止攻击。 基于这一点,我们现在在安全堆栈中讨论并记录 WDAC 作为独立技术,并赋予它自己的名称:Windows Defender应用程序控制。 我们希望此更改将有助于我们更好地沟通在组织中采用应用程序控制的选项。

相关文章