Windows Defender 應用程式控制和虛擬式程式碼完整性保護

適用對象

  • Windows 10
  • Windows Server 2016

Windows 10包含一組硬體和作業系統技術,一起設定後,企業可以「鎖定」Windows 10系統,讓企業的行為更像行動裝置。 在此Windows Defender中,Windows Defender應用程式控制 (WDAC) 是用來限制裝置只執行核准的應用程式,而作業系統則使用受虛擬機器管理程式保護的代碼完整性 (HVCI) 來強化核心記憶體攻擊。

WDAC 策略和 HVCI 是可個別使用的強大保護。 不過,當這兩種技術已配置為共同作業時,它們提供強大的保護功能,Windows 10裝置。

使用 WDAC 將裝置限制為僅授權應用程式,與其他解決方案相比,這些優點:

  1. WDAC 政策是由 Windows本身強制執行,且該策略在啟動順序的初期生效,在幾乎所有其他作業系統程式碼之前,以及傳統防病毒解決方案執行之前。
  2. WDAC 可讓您設定在使用者模式中執行之程式碼、核心模式硬體和軟體驅動程式,甚至是在 Windows 中執行的代碼的應用程式控制Windows。
  3. 客戶甚至可以以數位簽署策略來保護 WDAC 策略,避免本地系統管理員竄改。 若要變更已簽署原則,需要系統管理許可權,以及組織數位簽署程式的存取權限。 這會使包括設法取得系統管理許可權的攻擊者在內的攻擊者難以竄改 WDAC 原則。
  4. 您可以使用 HVCI 保護整個 WDAC 強制執行機制。 即使核心模式代碼存在弱點,HVCI 也大幅降低攻擊者成功利用此漏洞的可能性。 這很重要,因為入侵核心的攻擊者通常會停用大部分的系統防護,包括由 WDAC 或任何其他應用程式控制解決方案強制執行的系統防護。

為什麼我們不再使用 Device Guard 品牌

當初我們升級 Device Guard 時,我們以特定的安全性承諾做為目標。 雖然 WDAC 與 HVCI 之間沒有直接的相依性,但我們刻意將討論焦點放在一起使用鎖定狀態。 不過,由於 HVCI 仰賴Windows虛擬化安全性,因此其硬體、固件和核心驅動程式相容性需求是某些較舊的系統所無法符合的。 這誤導了許多人,認為如果系統無法使用 HVCI,他們也不能使用 WDAC。

WDAC 除了執行 Windows 10 外,沒有特定的硬體或軟體需求,這表示客戶因為 Device Guard 混淆而無法受益于這項強大的應用程式控制功能。

自初次發行 Windows 10以來,全世界都曾看到許多駭客和惡意程式碼攻擊,其中單靠應用程式控制可以完全避免攻擊。 基於這一點,我們現在討論並記錄 WDAC 作為安全堆疊中的獨立技術,並賦予它自己的名稱:Windows Defender應用程式控制項。 我們希望這項變更能協助我們更有效地傳達在組織中採用應用程式控制項的選項。

相關文章