Τι είναι ο έλεγχος εφαρμογής του Windows Defender;

Εάν δεν είστε εξοικειωμένοι με το Windows Defender Control Application (WDAC), επιτρέψτε μου να σας συμπληρώσω. Δεν πρέπει να συγχέεται με το Windows Defender Application Guard, μια λύση containerization για το Microsoft Edge που χρησιμοποιεί το Hyper-V για να απομονώσει τις περιόδους αναζήτησης, το WDAC είναι ένα μέρος της προστασίας συσκευών των Windows. Ακριβώς για να προσθέσει στη σύγχυση, η Microsoft χρησιμοποιεί το Windows Device Guard για να αναφερθώ στη χρήση WDAC και ακεραιότητας κώδικα που προστατεύεται από το hypervisor (HVCI) μαζί.

Για περισσότερες πληροφορίες σχετικά με την εφαρμογή προστασίας του Windows Defender, ανατρέξτε στην ενότητα Επανεξέταση της Εφαρμογής Φρουράς στην Ενημερωμένη έκδοση 10 Απριλίου 2018 στο Petri.

Το Windows Device Guard εισήχθη στα Windows 10 ως μια νέα, ισχυρή λύση ελέγχου εφαρμογών σχεδιασμένη να είναι πιο ευέλικτη από την AppLocker. Όμως, η Microsoft προήγαγε τη συσκευή Guard μαζί με το HVCI και πολλοί διαχειριστές πληροφόρησης λανθασμένα θεώρησαν ότι το τμήμα ελέγχου της εφαρμογής του Device Guard δεν μπορούσε να χρησιμοποιηθεί χωρίς HVCI, το οποίο έχει ορισμένες απαιτήσεις υλικού που δεν πληρούν πολλές παλαιότερες συσκευές.

Πέρυσι, η Microsoft ανήγγειλε ότι οι δύο τεχνολογίες που επεξεργάστηκαν τη συσκευή Guard Guard διαχωρίστηκαν στον έλεγχο εφαρμογών του Windows Defender, ο οποίος ασχολείται με την καταχώριση λευκωμάτων εφαρμογών και το Windows Defender Exploit Guard θα χειριστεί την προστασία του WDAC χρησιμοποιώντας HVCI εάν απαιτείται. Με το διαχωρισμό του Guard Guard σε δύο ξεχωριστές τεχνολογίες, η Microsoft ελπίζει ότι οι διαχειριστές πληροφορικής θα καταλάβουν ότι η HVCI δεν απαιτείται να χρησιμοποιεί το WDAC.

Έλεγχος εφαρμογής του Windows Defender

Ο έλεγχος εφαρμογών εμφανίστηκε για πρώτη φορά στα Windows XP ως Πολιτικές Περιορισμού Λογισμικού (SRP), αλλά δεν υιοθετήθηκε ευρέως επειδή ήταν δύσκολο να εφαρμοστεί. Το AppLocker στα Windows 7 σχεδιάστηκε για να λύσει αυτό το πρόβλημα. Αλλά το AppLocker δεν είναι χωρίς τα ελαττώματά του. Εξίσου σημαντικό είναι ότι η εφαρμογή του δεν είναι πολύ ισχυρή. Για παράδειγμα, οι χρήστες με δικαιώματα διαχειριστή μπορούν να απενεργοποιήσουν το AppLocker.

Ο έλεγχος εφαρμογής του Windows Defender χρησιμοποιεί πολιτικές κώδικα ακεραιότητας (CI) που εφαρμόζονται από τον πυρήνα των Windows απευθείας από την αρχή της ακολουθίας εκκίνησης πριν αρχίσει να τρέχει ο περισσότερος άλλος κώδικας OS. Οι πολιτικές CI επεκτείνονται επίσης στον κώδικα λειτουργίας του πυρήνα, όπως είναι τα προγράμματα οδήγησης και τα στοιχεία των Windows, αντίθετα με το AppLocker που μπορεί να χρησιμοποιηθεί μόνο για τον κώδικα λειτουργίας λίστας λευκών λίστας. Οι διαχειριστές μπορούν να αποτρέπονται από την παραβίαση του WDAC ψηφιακά υπογράφοντας πολιτικές CI. Για να αλλάξετε μια πολιτική, ένας χρήστης θα χρειαζόταν δικαιώματα διαχειριστή και πρόσβαση στη διαδικασία ψηφιακής υπογραφής του οργανισμού.

Exploit Guard, HVCI, Ακεραιότητα μνήμης, VBS - Πάρτε την επιλογή σας

Επιπλέον, ολόκληρη η διαδικασία μπορεί να προστατευθεί περαιτέρω χρησιμοποιώντας ασφάλεια βασισμένη σε virtualization (VBS), εάν οι συσκευές σας πληρούν τις απαραίτητες απαιτήσεις υλικού. Αυτό είναι ενεργοποιημένο χρησιμοποιώντας το Windows Defender Exploit Guard. Μερικές φορές αυτό αναφέρεται επίσης στην τεκμηρίωση της Microsoft ως HVCI. Προκειμένου να προχωρήσει η ρύπανση στα νερά, το χαρακτηριστικό φέρει ετικέτα Ακεραιότητα μνήμης στην περιοχή Ασφάλεια συσκευών στο Κέντρο ασφαλείας του Windows Defender.

Ενεργοποιήστε το HVCI στο Κέντρο ασφαλείας του Windows Defender (Image Credit: Russell Smith)

Ενεργοποιήστε το HVCI στο Κέντρο ασφαλείας του Windows Defender (Image Credit: Russell Smith)

Εάν θέλετε να ενεργοποιήσετε το HVCI χρησιμοποιώντας την Πολιτική ομάδας ή το MDM, πρέπει να αναζητήσετε το Ενεργοποιήστε την ασφάλεια που βασίζεται στην εικονικοποίηση κάτω από την ενότητα Ρυθμίσεις υπολογιστή> Πρότυπα διαχείρισης> Σύστημα> Φρουρά συσκευών. Για περισσότερες πληροφορίες σχετικά με την ενεργοποίηση του HVCI, ανατρέξτε στον ιστότοπο της Microsoft εδώ. Μπορείτε να μάθετε αν οι συσκευές σας υποστηρίζουν HVCI κατεβάζοντας το Εργαλείο ετοιμότητας φύλακα συσκευών και διαπιστευτηρίων από τη Microsoft.

Ο έλεγχος εφαρμογών του Windows Defender είναι μια ισχυρή τεχνολογία κατάδειξης λευκωμάτων, η οποία, όταν εφαρμοστεί, μπορεί να μειώσει σημαντικά τον κίνδυνο μόλυνσης από Advanced Persistent Threats (APT) και κακόβουλο λογισμικό μηδέν. Αλλά ως έχει, η έλλειψη ενός κεντρικού εργαλείου διαχείρισης GUI είναι πιθανό να περιορίσει την αφομοίωση. Τα εργαλεία διαμόρφωσης PowerShell περιλαμβάνουν επίσης μια απότομη καμπύλη εκμάθησης και απαιτούν σημαντική επένδυση σε δοκιμές. Ορισμένοι οδηγοί ενδέχεται να μην είναι συμβατοί με το HVCI. Η Microsoft έχει περισσότερες πληροφορίες σχετικά με αυτό το ζήτημα εδώ. Οι οργανισμοί που ενδιαφέρονται για την ανάπτυξη του WDAC ενδέχεται να θέλουν να το ενεργοποιήσουν πρώτα σε διακομιστές όπου το χαρτοφυλάκιο λογισμικού είναι σχετικά στατικό.

Ο ορθοστάτης Τι είναι ο έλεγχος εφαρμογής του Windows Defender; εμφανίστηκε για πρώτη φορά σε Petri.

Σχετικές Δημοσίευση

Αφήστε μια απάντηση

Αυτός ο ιστότοπος χρησιμοποιεί το Akismet για να μειώσει το spam. Μάθετε πώς επεξεργάζονται τα δεδομένα των σχολίων σας.