Windows Defender Application Control 및 코드 무결성의 가상화 기반 보호

Windows에는 함께 구성된 경우 기업이 키오스크 디바이스처럼 작동하도록 Windows 시스템을 "잠글" 수 있는 하드웨어 및 OS 기술 세트가 포함되어 있습니다. 이 구성에서 Windows Defender WDAC(애플리케이션 제어)는 디바이스가 승인된 앱만 실행하도록 제한하는 데 사용되고 OS는 메모리 무결성을 사용하여 커널 메모리 공격에 대해 강화됩니다.

참고

메모리 무결성을 HVCI(하이퍼바이저로 보호된 코드 무결성) 또는 하이퍼바이저 강제 코드 무결성이라고도 하며 원래 Device Guard의 일부로 릴리스되었습니다. Device Guard는 그룹 정책 또는 Windows 레지스트리에서 메모리 무결성 및 VBS 설정을 찾는 것 외에는 더 이상 사용되지 않습니다.

WDAC 정책 및 메모리 무결성은 별도로 사용할 수 있는 강력한 보호 기능입니다. 그러나 이러한 두 기술이 함께 작동하도록 구성된 경우 Windows 디바이스에 대한 강력한 보호 기능을 제공합니다. WDAC를 사용하여 디바이스를 권한 있는 앱으로만 제한하면 다른 솔루션에 비해 다음과 같은 이점이 있습니다.

  1. Windows 커널은 WDAC 정책의 적용을 처리하며 다른 서비스 또는 에이전트가 필요하지 않습니다.
  2. WDAC 정책은 거의 모든 다른 OS 코드가 실행되기 전과 기존 바이러스 백신 솔루션이 실행되기 전에 부팅 시퀀스 초기에 적용됩니다.
  3. WDAC를 사용하면 커널 모드 드라이버와 Windows의 일부로 실행되는 코드를 포함하여 Windows에서 실행되는 모든 코드에 대한 애플리케이션 제어 정책을 설정할 수 있습니다.
  4. 고객은 정책에 디지털 서명하여 로컬 관리자 변조로부터도 WDAC 정책을 보호할 수 있습니다. 서명된 정책을 변경하려면 관리 권한과 organization 디지털 서명 프로세스에 대한 액세스 권한이 모두 필요합니다. 서명된 정책을 사용하면 관리 권한을 얻는 사용자를 포함하여 공격자가 WDAC 정책을 변조하기가 어렵습니다.
  5. 메모리 무결성을 사용하여 전체 WDAC 적용 메커니즘을 보호할 수 있습니다. 커널 모드 코드에 취약성이 있더라도 메모리 무결성은 공격자가 성공적으로 악용할 가능성을 크게 줄입니다. 메모리 무결성이 없으면 커널을 손상시키는 공격자는 일반적으로 WDAC 또는 다른 애플리케이션 제어 솔루션에 의해 적용되는 애플리케이션 제어 정책을 포함하여 대부분의 시스템 방어를 사용하지 않도록 설정할 수 있습니다.

WDAC와 메모리 무결성 사이에는 직접적인 종속성이 없습니다. 개별적으로 또는 함께 배포할 수 있으며 배포해야 하는 순서는 없습니다.

메모리 무결성은 Windows 가상화 기반 보안에 의존하며 일부 이전 시스템에서는 충족할 수 없는 하드웨어, 펌웨어 및 커널 드라이버 호환성 요구 사항이 있습니다.

WDAC에는 특정 하드웨어 또는 소프트웨어 요구 사항이 없습니다.