Windows Defender-Anwendungssteuerung und virtualisierungsbasierter Schutz der Codeintegrität

Windows enthält eine Reihe von Hardware- und Betriebssystemtechnologien, die es Unternehmen ermöglichen, Windows-Systeme zu "sperren", damit sie sich eher wie Kioskgeräte verhalten. In dieser Konfiguration wird Windows Defender Anwendungssteuerung (WDAC) verwendet, um Geräte so zu beschränken, dass nur genehmigte Apps ausgeführt werden, während das Betriebssystem gegen Kernelspeicherangriffe mit Speicherintegrität gehärtet wird.

Hinweis

Die Speicherintegrität wird manchmal als hypervisorgeschützte Codeintegrität (Hypervisor-Protected Code Integrity, HVCI) oder durch Hypervisor erzwungene Codeintegrität bezeichnet und wurde ursprünglich als Teil von Device Guard veröffentlicht. Device Guard wird nicht mehr verwendet, außer um speicherintegritäts- und VBS-Einstellungen in Gruppenrichtlinie oder der Windows-Registrierung zu suchen.

WDAC-Richtlinien und Speicherintegrität sind leistungsstarke Schutzmaßnahmen, die separat verwendet werden können. Wenn diese beiden Technologien jedoch so konfiguriert sind, dass sie zusammenarbeiten, bieten sie eine starke Schutzfunktion für Windows-Geräte. Die Verwendung von WDAC, um Geräte nur auf autorisierte Apps zu beschränken, hat die folgenden Vorteile gegenüber anderen Lösungen:

  1. Der Windows-Kernel übernimmt die Erzwingung der WDAC-Richtlinie und erfordert keine anderen Dienste oder Agents.
  2. Die WDAC-Richtlinie wird früh in der Startsequenz wirksam, bevor nahezu der gesamte andere Betriebssystemcode und herkömmliche Antivirenlösungen ausgeführt werden.
  3. Mit WDAC können Sie eine Anwendungssteuerungsrichtlinie für jeden Code festlegen, der unter Windows ausgeführt wird, einschließlich Kernelmodustreibern und sogar Code, der als Teil von Windows ausgeführt wird.
  4. Kunden können die WDAC-Richtlinie auch vor Manipulationen durch lokale Administratoren schützen, indem sie die Richtlinie digital signieren. Das Ändern der signierten Richtlinie erfordert sowohl Administratorrechte als auch Zugriff auf den digitalen Signaturprozess des organization. Die Verwendung signierter Richtlinien erschwert es einem Angreifer, einschließlich eines Angreifers, der Administratorrechte erhält, die WDAC-Richtlinie zu manipulieren.
  5. Sie können den gesamten WDAC-Erzwingungsmechanismus mit Speicherintegrität schützen. Selbst wenn eine Sicherheitsanfälligkeit im Kernelmoduscode vorliegt, verringert die Speicherintegrität die Wahrscheinlichkeit, dass ein Angreifer sie erfolgreich ausnutzen kann, erheblich. Ohne Speicherintegrität könnte ein Angreifer, der den Kernel kompromittiert, normalerweise die meisten Systemschutzmaßnahmen deaktivieren, einschließlich Anwendungssteuerungsrichtlinien, die von WDAC oder einer anderen Anwendungssteuerungslösung erzwungen werden.

Es gibt keine direkten Abhängigkeiten zwischen WDAC und Speicherintegrität. Sie können sie einzeln oder zusammen bereitstellen, und es gibt keine Reihenfolge, in der sie bereitgestellt werden müssen.

Die Speicherintegrität basiert auf der Windows-Virtualisierungssicherheit und umfasst Hardware-, Firmware- und Kerneltreiberkompatibilitätsanforderungen, die einige ältere Systeme nicht erfüllen können.

WDAC hat keine spezifischen Hardware- oder Softwareanforderungen.