Управление приложениями в Защитнике Windows и защита целостности кода на основе виртуализации

Windows включает в себя набор технологий оборудования и ОС, которые при совместной настройке позволяют предприятиям "блокировать" системы Windows, чтобы они вели себя больше как киоски. В этой конфигурации Защитник Windows управление приложениями (WDAC) используется для ограничения устройств для запуска только утвержденных приложений, в то время как ОС защищается от атак памяти ядра с использованием целостности памяти.

Примечание.

Целостность памяти иногда называется защищенной гипервизором целостности кода (HVCI) или принудительной целостностью кода гипервизора, и первоначально была выпущена в составе Device Guard. Device Guard больше не используется, кроме как для поиска целостности памяти и параметров VBS в групповая политика или реестре Windows.

Политики WDAC и целостность памяти — это мощные средства защиты, которые можно использовать отдельно. Однако если эти две технологии настроены для совместной работы, они предоставляют надежную защиту для устройств Windows. Использование WDAC для ограничения устройств только авторизованными приложениями имеет следующие преимущества по сравнению с другими решениями:

  1. Ядро Windows обрабатывает принудительное применение политики WDAC и не требует никаких других служб или агентов.
  2. Политика WDAC вступает в силу в начале загрузочной последовательности перед почти всем другим кодом ОС и до запуска традиционных антивирусных решений.
  3. WDAC позволяет задать политику управления приложениями для любого кода, выполняемого в Windows, включая драйверы режима ядра и даже код, который выполняется в составе Windows.
  4. Клиенты могут защитить политику WDAC даже от вмешательства локального администратора, подписав политику цифровой подписью. Для изменения подписанной политики требуются права администратора и доступ к процессу цифровой подписи организации. Использование подписанных политик затрудняет изменение политики WDAC для злоумышленника, включая пользователя, которому удается получить права администратора.
  5. Вы можете защитить весь механизм принудительного применения WDAC с помощью целостности памяти. Даже если в коде режима ядра существует уязвимость, целостность памяти значительно снижает вероятность того, что злоумышленник может успешно использовать ее. Без целостности памяти злоумышленник, который скомпрометирует ядро, обычно может отключить большинство системных защит, включая политики управления приложениями, применяемые WDAC или любым другим решением для управления приложениями.

Нет прямых зависимостей между WDAC и целостностью памяти. Их можно развертывать по отдельности или вместе, при этом не существует порядка их развертывания.

Целостность памяти зависит от безопасности на основе виртуализации Windows и имеет требования к совместимости оборудования, встроенного ПО и драйверов ядра, которым не могут соответствовать некоторые старые системы.

WDAC не имеет конкретных требований к оборудованию или программному обеспечению.