Windows Defender-Anwendungssteuerung und virtualisierungsbasierter Schutz der Codeintegrität

Gilt für

  • Windows 10
  • Windows Server 2016

Windows 10 enthält eine Reihe von Hardware- und Betriebssystemtechnologien, die es Unternehmen ermöglichen, Windows 10 Systeme zu "sperren", sodass sie sich eher wie mobile Geräte verhalten. In dieser Konfiguration wird Windows Defender Application Control (WDAC) verwendet, um Geräte so einzuschränken, dass nur genehmigte Apps ausgeführt werden, während das Betriebssystem mit hypervisorgeschützter Codeintegrität (HVCI) gegen Kernelspeicherangriffe gehärtet wird.

WDAC-Richtlinien und HVCI sind leistungsstarke Schutzmaßnahmen, die separat verwendet werden können. Wenn diese beiden Technologien jedoch für die Zusammenarbeit konfiguriert sind, bieten sie eine starke Schutzfunktion für Windows 10 Geräte.

Die Verwendung Windows Defender Anwendungssteuerung, um Geräte auf nur autorisierte Apps zu beschränken, hat gegenüber anderen Lösungen die folgenden Vorteile:

  1. Die WDAC-Richtlinie wird vom Windows-Kernel selbst erzwungen, und die Richtlinie wird früh in der Startsequenz vor fast allen anderen Betriebssystemcode und vor der Ausführung herkömmlicher Antivirenlösungen wirksam.
  2. Mit WDAC können Sie die Anwendungssteuerungsrichtlinie für Code festlegen, der im Benutzermodus ausgeführt wird, Kernelmodus-Hardware- und Softwaretreiber und sogar Code, der als Teil von Windows ausgeführt wird.
  3. Kunden können die WDAC-Richtlinie auch vor Manipulation durch lokale Administratoren schützen, indem sie die Richtlinie digital signieren. Zum Ändern der signierten Richtlinie sind sowohl Administratorrechte als auch Zugriff auf den digitalen Signaturprozess der Organisation erforderlich. Dies macht es einem Angreifer, einschließlich eines Angreifers, der es geschafft hat, Administratorrechte zu erlangen, schwierig, die WDAC-Richtlinie zu manipulieren.
  4. Sie können den gesamten WDAC-Erzwingungsmechanismus mit HVCI schützen. Selbst wenn eine Sicherheitsanfälligkeit im Kernelmoduscode vorhanden ist, reduziert HVCI die Wahrscheinlichkeit, dass ein Angreifer sie erfolgreich ausnutzen könnte, erheblich. Dies ist wichtig, da ein Angreifer, der den Kernel kompromittiert, normalerweise die meisten Systemverteidigungen deaktivieren könnte, einschließlich derer, die von WDAC oder einer anderen Anwendungssteuerungslösung erzwungen werden.

Warum wir die Device Guard-Marke nicht mehr verwenden

Als wir Device Guard ursprünglich beworben haben, haben wir dies unter Berücksichtigung eines bestimmten Sicherheitsversprechens getan. Obwohl es keine direkten Abhängigkeiten zwischen WDAC und HVCI gab, konzentrierten wir uns bewusst auf den Sperrmoduszustand, der bei der gemeinsamen Verwendung erreicht wurde. Da HVCI jedoch auf virtualisierungsbasierter Sicherheit von Windows basiert, sind Hardware-, Firmware- und Kerneltreiberkompatibilitätsanforderungen vorhanden, die einige ältere Systeme nicht erfüllen können. Dies verleitete viele Leute zu der Annahme, dass WDAC auch nicht verwendet werden konnte, wenn Systeme HVCI nicht verwenden konnten.

WDAC hat nur die Ausführung Windows 10 spezifische Hardware- oder Softwareanforderungen, was bedeutet, dass Kunden aufgrund von Device Guard-Verwirrung die Vorteile dieser leistungsstarken Anwendungssteuerungsfunktion verweigert wurden.

Seit der ersten Veröffentlichung von Windows 10 hat die Welt zahlreiche Hacking- und Malware-Angriffe erlebt, bei denen die Anwendungssteuerung allein den Angriff vollständig hätte verhindern können. In diesem Sinne diskutieren und dokumentieren wir nun Windows Defender Application Control als unabhängige Technologie in unserem Sicherheitsstapel und geben ihr einen eigenen Namen: Windows Defender Application Control. Wir hoffen, dass diese Änderung uns helfen wird, Optionen für die Einführung der Anwendungssteuerung in Ihren Organisationen besser zu kommunizieren.

Verwandte Artikel