Controle de Aplicativos do Windows Defender e proteção baseada em virtualização da integridade do código

O Windows inclui um conjunto de tecnologias de hardware e sistema operacional que, quando configuradas em conjunto, permitem que as empresas "bloqueiem" sistemas Windows para que se comportem mais como dispositivos quiosque. Nesta configuração, Windows Defender WDAC (Controle de Aplicativo) é usado para restringir dispositivos a executar apenas aplicativos aprovados, enquanto o sistema operacional é endurecido contra ataques de memória kernel usando integridade de memória.

Observação

A integridade da memória às vezes é conhecida como integridade de código protegida por hipervisor (HVCI) ou integridade de código imposta pelo hipervisor e foi originalmente lançada como parte do Device Guard. O Device Guard não é mais usado, exceto para localizar a integridade da memória e as configurações de VBS no Política de Grupo ou no registro do Windows.

As políticas WDAC e a integridade da memória são proteções poderosas que podem ser usadas separadamente. No entanto, quando essas duas tecnologias são configuradas para trabalhar juntas, elas apresentam uma forte capacidade de proteção para dispositivos Windows. Usar o WDAC para restringir dispositivos a apenas aplicativos autorizados tem essas vantagens em relação a outras soluções:

  1. O kernel do Windows lida com a aplicação da política WDAC e não requer outros serviços ou agentes.
  2. A política do WDAC entra em vigor no início da sequência de inicialização antes de quase todos os outros códigos do sistema operacional e antes da execução de soluções antivírus tradicionais.
  3. O WDAC permite definir a política de controle de aplicativo para qualquer código executado no Windows, incluindo drivers de modo kernel e até código que é executado como parte do Windows.
  4. Os clientes podem proteger a política WDAC mesmo contra a adulteração de administrador local assinando digitalmente a política. A alteração da política assinada requer privilégio administrativo e acesso ao processo de assinatura digital da organização. O uso de políticas assinadas dificulta que um invasor, incluindo um que consegue obter privilégios administrativos, adulterar a política do WDAC.
  5. Você pode proteger todo o mecanismo de aplicação do WDAC com integridade de memória. Mesmo que exista uma vulnerabilidade no código do modo kernel, a integridade da memória reduz consideravelmente a probabilidade de que um invasor possa explorá-la com êxito. Sem integridade de memória, um invasor que compromete o kernel normalmente pode desabilitar a maioria das defesas do sistema, incluindo políticas de controle de aplicativo impostas pelo WDAC ou qualquer outra solução de controle de aplicativo.

Não há dependências diretas entre o WDAC e a integridade da memória. Você pode implantá-los individualmente ou juntos e não há nenhuma ordem na qual eles devem ser implantados.

A integridade da memória depende da segurança baseada em Virtualização do Windows e tem requisitos de compatibilidade de driver de hardware, firmware e kernel que alguns sistemas mais antigos não podem atender.

O WDAC não tem requisitos específicos de hardware ou software.