Windows Defender-Anwendungssteuerung und virtualisierungsbasierter Schutz der Codeintegrität

Gilt für

  • Windows 10
  • Windows Server 2016

Windows 10 umfasst eine Reihe von Hardware- und Betriebssystemtechnologien, die es Unternehmen ermöglichen, Windows 10 Systeme zu "sperren", damit sie sich eher wie mobile Geräte verhalten. In dieser Konfiguration wird Windows Defender Anwendungssteuerung (WDAC) verwendet, um Geräte so zu beschränken, dass nur genehmigte Apps ausgeführt werden, während das Betriebssystem mit Hypervisor-geschützter Codeintegrität (HVCI) gegen Kernelspeicherangriffe gehärtet wird.

WDAC-Richtlinien und HVCI sind leistungsstarke Schutzmaßnahmen, die separat verwendet werden können. Wenn diese beiden Technologien jedoch für die Zusammenarbeit konfiguriert sind, bieten sie eine starke Schutzfunktion für Windows 10 Geräte.

Die Verwendung Windows Defender Anwendungssteuerung, um Geräte nur auf autorisierte Apps zu beschränken, hat gegenüber anderen Lösungen folgende Vorteile:

  1. Die WDAC-Richtlinie wird vom Windows-Kernel selbst erzwungen, und die Richtlinie wird früh in der Startsequenz wirksam, bevor fast der gesamte andere Betriebssystemcode und bevor herkömmliche Antivirenlösungen ausgeführt werden.
  2. Mit WDAC können Sie eine Anwendungssteuerungsrichtlinie für Code festlegen, der im Benutzermodus ausgeführt wird, für Hardware- und Softwaretreiber im Kernelmodus und sogar für Code, der als Teil von Windows ausgeführt wird.
  3. Kunden können die WDAC-Richtlinie auch vor Manipulationen durch lokale Administratoren schützen, indem sie die Richtlinie digital signieren. Zum Ändern der signierten Richtlinie sind sowohl Administratorrechte als auch Zugriff auf den digitalen Signaturprozess der Organisation erforderlich. Dies macht es für einen Angreifer, einschließlich eines Angreifers, der es geschafft hat, Administratorrechte zu erlangen, schwierig, die WDAC-Richtlinie zu manipulieren.
  4. Sie können den gesamten WDAC-Erzwingungsmechanismus mit HVCI schützen. Selbst wenn ein Sicherheitsrisiko im Kernelmoduscode vorhanden ist, verringert HVCI die Wahrscheinlichkeit, dass ein Angreifer sie erfolgreich ausnutzen kann, erheblich. Dies ist wichtig, da ein Angreifer, der den Kernel kompromittiert, normalerweise die meisten Systemschutzmaßnahmen deaktivieren könnte, einschließlich der von WDAC oder einer anderen Anwendungssteuerungslösung erzwungenen.

Warum wir die Device Guard-Marke nicht mehr verwenden

Als wir Device Guard ursprünglich beworben haben, haben wir dies unter Berücksichtigung eines bestimmten Sicherheitsversprechens getan. Obwohl es keine direkten Abhängigkeiten zwischen WDAC und HVCI gab, konzentrierten wir uns bewusst auf den Sperrzustand, der bei der gemeinsamen Verwendung erreicht wurde. Da HVCI jedoch auf der virtualisierungsbasierten Windows-Sicherheit basiert, gelten Hardware-, Firmware- und Kerneltreiberkompatibilitätsanforderungen, die einige ältere Systeme nicht erfüllen können. Dies hat viele Leute zu der Annahme geführt, dass Systeme, wenn sie HVCI nicht verwenden konnten, auch nicht WDAC verwenden können.

WDAC hat keine spezifischen Hardware- oder Softwareanforderungen außer der Ausführung von Windows 10. Dies bedeutet, dass Kunden die Vorteile dieser leistungsstarken Anwendungssteuerungsfunktion aufgrund von Device Guard-Verwirrung verweigert wurden.

Seit der ersten Veröffentlichung von Windows 10 hat die Welt zahlreiche Hacking- und Schadsoftwareangriffe erlebt, bei denen die Anwendungssteuerung allein den Angriff hätte verhindern können. Vor diesem Hintergrund diskutieren und dokumentieren wir nun Windows Defender Application Control als unabhängige Technologie innerhalb unseres Sicherheitsstapels und haben ihr einen eigenen Namen gegeben: Windows Defender Application Control. Wir hoffen, dass diese Änderung uns helfen wird, optionen für die Einführung der Anwendungssteuerung in Ihren Organisationen besser zu kommunizieren.