Què és el control d'aplicacions de Windows Defender?

Si no esteu familiaritzat amb el control d'aplicacions de Windows Defender (WDAC), deixeu-me omplir. No cal confondre's amb Windows Defender Application Guard, una solució de contenidors per a Microsoft Edge que utilitza Hyper-V per aïllar les sessions del navegador, WDAC és una part de Windows Device Guard. Simplement per afegir a la confusió, Microsoft utilitza Windows Device Guard per referir-se a l'ús de WDAC i la integritat del codi protegit per hipervisor (HVCI) junts.

Per obtenir més informació sobre Windows Defender Application Guard, vegeu Revisió de la guàrdia d'aplicacions a l'actualització de Windows 10 d'abril 2018 sobre Petri.

Windows Device Guard es va introduir a Windows 10 com una solució de control d'aplicacions nova i robusta dissenyada per ser més flexible que AppLocker. Però Microsoft va promoure Device Guard juntament amb HVCI i molts administradors de TI van assumir erròniament que la part de control de l'aplicació de Device Guard no es podia utilitzar sense HVCI, que té alguns requisits de maquinari que molts dispositius antics no compleixen.

L'any passat, Microsoft va anunciar que les dues tecnologies que composen Device Guard havien estat separades en Windows Defender Application Control, que tracta de la llista blanca d'aplicacions, i Windows Defender Exploit Guard s'encarregarà de protegir WDAC utilitzant HVCI si és necessari. En separar Device Guard en dues tecnologies diferents, Microsoft espera que els administradors de TI entenguin que HVCI no està obligat a utilitzar WDAC.

Control d'aplicacions de Windows Defender

El control d'aplicacions apareix per primera vegada a Windows XP com a Polítiques de restricció de programari (SRP), però no va ser àmpliament aprovat perquè era difícil d'implementar. AppLocker a Windows 7 va ser dissenyat per resoldre aquest problema. Però AppLocker no està exempt de les seves deficiències. No menys important és que la seva implementació no és molt robusta. Per exemple, els usuaris amb privilegis administratius poden desactivar AppLocker.

El control d'aplicacions de Windows Defender utilitza les polítiques de integritat de codi (CI) implementades pel nucli de Windows des del principi de la seqüència d'arrencada abans que la majoria d'altres codi del sistema operatiu comenci a funcionar. Les polítiques de CI també s'estenen al codi del mode del kernel, com ara els controladors i els components de Windows, a diferència de AppLocker que només es pot utilitzar per al codi del mode d'usuari de la llista blanca. Es pot evitar que els administradors manipulin WDAC mitjançant la signatura digital de les polítiques de CI. Per canviar una política, un usuari necessitaria privilegis d'administrador i accés al procés de signatura digital de l'organització.

Exploit Guard, HVCI, Integritat de la memòria, VBS - Tome la vostra decisió

A més, tot el procés es pot protegir encara més amb seguretat basada en la virtualització (VBS) si els vostres dispositius compleixen els requisits de maquinari necessaris. Això s'activa amb Windows Defender Exploit Guard. De vegades això també es fa referència en la documentació de Microsoft com HVCI. Per a enfonsar les aigües, la característica està etiquetada Integritat de memòria a Seguretat del dispositiu al Centre de seguretat de Windows Defender.

Activa HVCI al Centre de seguretat de Windows Defender (crèdit d'imatge: Russell Smith)

Activa HVCI al Centre de seguretat de Windows Defender (crèdit d'imatge: Russell Smith)

Si voleu habilitar HVCI utilitzant la Política de grup o el MDM, heu de buscar el Activeu la seguretat basada en la virtualització configuració a Configuració de l'ordinador> Plantilles administratives> Sistema> Guàrdia de dispositius. Per obtenir més informació sobre com activar HVCI, consulteu el lloc web de Microsoft aquí. Podeu esbrinar si els vostres dispositius admeten HVCI si baixeu el Guarda de dispositius i eina de preparació de guarda de credencials de Microsoft.

El Control d'aplicacions de Windows Defender és una tecnologia de la llista blanca de solucions sòlida que, quan s'implementa, pot reduir significativament el risc d'infectar-se amb amenaces persistents avançades (APT) i malware de dia zero. Però, tal com està, la manca d'una eina centralitzada de gestió de la GUI és probable que limiti la captació. Les eines de configuració PowerShell també impliquen una corba d'aprenentatge escarpada i requereixen una inversió substancial en les proves. És possible que alguns controladors no siguin compatibles amb HVCI. Microsoft té més informació sobre aquest tema aquí. Les organitzacions interessades a implementar WDAC poden tenir la possibilitat d'activar-lo primer en servidors on la cartera de programari sigui relativament estàtica.

El lloc Què és el control d'aplicacions de Windows Defender? aparèixer per primera vegada en Petri.

post relacionats

Deixa un comentari

Aquest lloc utilitza Akismet per reduir el correu no desitjat. Esbrineu com es processa el vostre comentari.