Compartilhar via

Controle de Aplicativos do Windows Defender e proteção baseada em virtualização da integridade do código

O Windows inclui um conjunto de tecnologias de hardware e SO que, quando configuradas em conjunto, permitem às empresas "bloquear" sistemas Windows para que se comportem mais como dispositivos de quiosque. Nesta configuração, o Controlo de Aplicações do Windows Defender (WDAC) é utilizado para restringir os dispositivos a executarem apenas aplicações aprovadas, enquanto o SO é endurecido contra ataques de memória de kernel através da integridade da memória.

Observação

Por vezes, a integridade da memória é referida como integridade de código protegida por hipervisor (HVCI) ou integridade de código imposta pelo hipervisor e foi originalmente lançada como parte do Device Guard. O Device Guard já não é utilizado, exceto para localizar a integridade da memória e as definições de VBS na Política de Grupo ou no registo do Windows.

As políticas WDAC e a integridade da memória são proteções avançadas que podem ser utilizadas separadamente. No entanto, quando estas duas tecnologias estão configuradas para funcionar em conjunto, apresentam uma forte capacidade de proteção para dispositivos Windows. A utilização do WDAC para restringir dispositivos apenas a aplicações autorizadas tem estas vantagens em comparação com outras soluções:

  1. O kernel do Windows processa a imposição da política WDAC e não requer outros serviços ou agentes.
  2. A política WDAC entra em vigor no início da sequência de arranque antes de quase todos os outros códigos do SO e antes da execução das soluções antivírus tradicionais.
  3. O WDAC permite-lhe definir a política de controlo de aplicações para qualquer código que seja executado no Windows, incluindo controladores de modo kernel e até código que seja executado como parte do Windows.
  4. Os clientes podem proteger a política do WDAC mesmo contra adulteração de administrador local ao assinar digitalmente a política. Alterar a política assinada requer privilégios administrativos e acesso ao processo de assinatura digital da organização. A utilização de políticas assinadas dificulta a adulteração da política WDAC por parte de um atacante, incluindo um que consiga obter privilégios administrativos.
  5. Pode proteger todo o mecanismo de imposição do WDAC com integridade de memória. Mesmo que exista uma vulnerabilidade no código do modo kernel, a integridade da memória reduz significativamente a probabilidade de um atacante poder explorá-la com êxito. Sem a integridade da memória, um atacante que comprometa o kernel pode normalmente desativar a maioria das defesas do sistema, incluindo as políticas de controlo de aplicações impostas pelo WDAC ou qualquer outra solução de controlo de aplicações.

Não existem dependências diretas entre o WDAC e a integridade da memória. Pode implementá-las individualmente ou em conjunto e não existe nenhuma ordem pela qual tenham de ser implementadas.

A integridade da memória depende da segurança baseada na Virtualização do Windows e tem requisitos de compatibilidade de controladores de kernel, firmware e hardware que alguns sistemas mais antigos não conseguem cumprir.

O WDAC não tem requisitos específicos de hardware ou software.