Mis on Windows Defenderi rakendusekontroll?

Kui te ei tunne Windows Defenderi rakendusekontrolli (WDAC), lubage mul sulle täita. Ärge segage Windows Defender Application Guard, Microsoft Edge'i konteinerilahendus, mis kasutab brauseriseansside eraldamiseks Hyper-V, on WDAC üks osa Windowsi seadme kaitset. Selle segmendi lisamiseks kasutab Microsoft Windowsi seadme kaitset, et viidata WDAC-i ja hüpervisioo-kaitsega koodi terviklikkuse (HVCI) kasutamisele koos.

Lisateavet Windows Defendi rakenduste kaitse kohta vt 10i aprilli 2018i värskenduse XNUMXi rakenduse kaitsja taaskinnitamine Petris.

Windowsi seadmekaart tutvustati Windows 10-s kui uut, jõulist rakenduse juhtimise lahendust, mille eesmärk on olla paindlikum kui AppLocker. Kuid Microsoft edutas koos HVCI-ga Device Guardi ja mitmed IT-administraatorid valesti eeldasid, et Device Guardi rakenduskontrolli osa ei saa kasutada ilma HVCI-ga, millel on mõned riistvara nõuded, mida paljud vanemad seadmed ei vasta.

Möödunud aastal teatas Microsoft, et kaks seadet kontrollivat tehnoloogiat on eraldatud Windows Defenderi rakendusekontrolliks, mis tegeleb rakenduse valge nimekirjaga ja Windows Defender Exploit Guard hakkab kaitsma WDAC-i, kasutades vajadusel HVCI-d. Seadme kaitset eraldades kahte erinevat tehnoloogiat, loodab Microsoft, et IT-administraatorid saavad aru, et HVCI ei pea WDAC-i kasutama.

Windows Defender rakenduse kontroll

Rakenduse kontroll ilmnes esmakordselt Windows XP-s tarkvara piiramise eeskirjade (SRP) all, kuid seda ei kasutata laialdaselt, kuna seda oli raske rakendada. Windows 7i rakenduse AppLocker oli mõeldud selle probleemi lahendamiseks. Aga AppLockeril pole selle puudusi. Sellest hoolimata ei ole selle rakendamine väga tugev. Näiteks võivad administraatoriõigustega kasutajad AppLockeri keelata.

Windows Defender Application Control kasutab Code Integrity (CI) eeskirju, mida Windowsi kernel rakendab kohe alguses alglaadimisjärjestusest enne, kui enamik muid operatsioonisüsteemi koode hakkab tööle. CI-poliitikad laienevad ka kerneli režiimi koodile, näiteks draiveritele ja Windowsi komponentidele, erinevalt rakenduse AppLockerist, mida saab kasutada ainult kasutaja režiimi koodi valgele loendisse. Administraatoreid saab takistada WDAC-i sissekirjutamist digitaalselt CI-poliitikate allkirjastamisega. Reegli muutmiseks vajaks kasutaja administraatoriõigusi ja juurdepääsu organisatsiooni digitaalallkirjaprotsessile.

Exploit Guard, HVCI, mälu terviklikkus, VBS - võta oma valik

Lisaks sellele saab kogu protsessi veelgi kaitsta virtualiseerimispõhise turvalisuse (VBS) abil, kui teie seadmed vastavad vajalikele riistvara nõuetele. See on lubatud, kasutades Windows Defender Exploit Guardit. Mõnikord mainitakse seda ka Microsofti dokumendis HVCI-ga. Veekogude veelgi segunemiseks on funktsioon märgistatud Mälu terviklikkus Windows Defendi turvakeskuse seadme turvaseaded.

HVCI lubamine Windows Defenderi turvakeskuses (Image Credit: Russell Smith)

HVCI lubamine Windows Defenderi turvakeskuses (Image Credit: Russell Smith)

Kui soovite lubada HVCI-d grupipoliitika või MDM-i abil, peate otsima Lülitage sisse virtuaalserver põhinev turvamine Arvutikonfiguratsioon> Administratiivsed mallid> Süsteem> Seadmekaart. Lisateavet HVCI lubamise kohta leiate Microsofti veebisaidilt siin. Saate teada, kas teie seadmed toetavad HVCI, laadides alla Device Guard ja Credential Guard valmisoleku tööriist Microsoftilt.

Windows Defender Application Control on tugeva rakenduse valge nimekirja koostamise tehnoloogia, mis rakendamisel võib märkimisväärselt vähendada nakkusohtu Advanced Persistent Threats (APT) ja nullpäevase pahavara abil. Kuid kui see on praegusel kujul, võib tsentraliseeritud GUI haldamise vahendi puudumine tõenäoliselt levitada. PowerShelli konfigureerimisvahendid hõlmavad ka järsku õppimiskõverat ja nõuavad märkimisväärseid investeeringuid testimiseks. Mõned draiverid ei pruugi HVCI-ga ühilduda. Microsoftil on selles küsimuses rohkem teavet siin. Organisatsioonid, kes on huvitatud WDACi kasutuselevõtust, võiksid seda esmalt lubada serveritel, kus tarkvara portfell on suhteliselt staatiline.

Postitus Mis on Windows Defenderi rakendusekontroll? ilmus esmalt Petri.

seotud Post

Jäta vastus

Sellel saidil kasutatakse rämpsposti vähendamiseks Akismetit. Vaadake, kuidas teie andmeid töödeldakse.