Mi a Windows Defender alkalmazásvezérlő?

Ha nem ismeri a Windows Defender Alkalmazás-vezérlést (WDAC), engedje meg, hogy töltsek be. Nem szabad összetéveszteni a Windows Defender Application Guard-al, a Microsoft Edge-re vonatkozó, a Hyper-V-t használó konténeres megoldással a böngészőalkalmazások elkülönítésére. A WDAC egy része a Windows Eszközgárda. A Microsoft csak a zavarás hozzáadásához használja a Windows Eszközgárdát a WDAC és a hypervisorral védett kód integritásának (HVCI) használatára.

További információt a Windows Defender Application Guard programról: Az alkalmazásgárda felülvizsgálata a Windows 10 April 2018 frissítésében Petritól.

A Windows Device Guard a Windows 10-ban új, robusztus alkalmazásvezérlő megoldásként került bevezetésre, melynek célja az AppLocker alkalmazásának rugalmasabbá tétele. De a Microsoft elősegítette a Device Guard-ot a HVCI-vel együtt, és sok informatikai rendszergazda tévesen feltételezte, hogy a Device Guard alkalmazásvezérlő része nem használható a HVCI nélkül, amely számos hardverkövetelményt tartalmaz, hogy sok régebbi eszköz nem felel meg.

Az elmúlt évben a Microsoft bejelentette, hogy a két eszköz, amelyik összetévesztette a Device Guardot, elválasztották a Windows Defender Alkalmazásvezérlést, amely az alkalmazások engedélyezésének engedélyezésével foglalkozik, és a Windows Defender Exploit Guard a WDAC védelmét a HVCI használatával kezeli. Az Eszköz Guard két különböző technológiával történő elválasztásával a Microsoft reméli, hogy az IT-adminisztrátorok meg fogják érteni, hogy a HVCI nem köteles használni a WDAC-t.

Windows Defender Alkalmazásvezérlés

Az alkalmazásellenőrzés először a Windows XP-ben jelent meg Software Restriction Policies (SRP) formájában, de nem széles körben alkalmazták, mert nehéz volt megvalósítani. Az AppLocker a Windows 7-ban úgy lett kialakítva, hogy megoldja ezt a problémát. Az AppLocker azonban nem hiányozhat. Nem utolsó sorban az, hogy végrehajtása nem túl robosztus. Például az adminisztrátori jogosultságokkal rendelkező felhasználók letilthatják az AppLocker alkalmazást.

A Windows Defender alkalmazásvezérlése a Windows rendszermag által végrehajtott kódintegritási (CI) házirendeket a rendszerindítás korai szakaszától kezdve használja, mielőtt a legtöbb más operációs rendszer fut. A CI-házirendek kiterjednek a kernel módra is, például az illesztőprogramok és a Windows-összetevők, az AppLockertől eltérően, amely csak a felhasználói módkód engedélyezéséhez használható. A rendszergazdák megakadályozhatják a WDAC beavatkozását a CI-irányelvek digitális aláírásával. Irányelvek módosításához a felhasználónak rendszergazdai jogosultsággal és hozzáféréssel kell rendelkeznie a szervezet digitális aláírási folyamatához.

Exploit Guard, HVCI, Memory Integrity, VBS - Take Your Pick

Ezenkívül az egész folyamat tovább védhető a virtualizáció-alapú biztonság (VBS) használatával, ha eszközei megfelelnek a szükséges hardverkövetelményeknek. Ez engedélyezve van a Windows Defender Exploit Guard használatával. Néha ezt a Microsoft dokumentációjában HVCI-ként is említik. A vizek sárosabbá tételéhez a funkciót fel kell címkézni Memória-integritás a Device Defence Security Center (Eszközbiztonság) alatt.

HVCI engedélyezése a Windows Defender biztonsági központban (Image Credit: Russell Smith)

HVCI engedélyezése a Windows Defender biztonsági központban (Image Credit: Russell Smith)

Ha engedélyezni szeretné a HVCI-t a Csoportházirend vagy MDM használatával, akkor meg kell keresnie a A virtualizáció alapú biztonság bekapcsolása beállítást a Számítógép konfigurációja> Felügyeleti sablonok> Rendszer> Készülékgondozás pont alatt. A HVCI engedélyezésével kapcsolatos további információkért lásd a Microsoft webhelyét itt. Megtudhatja, hogy a készülékek támogatják-e a HVCI-t a Készülékgondozás és Credential Guard készenléti eszköz a Microsofttól.

A Windows Defender alkalmazásvezérlés egy robusztus alkalmazás-engedélyeztetési technológia, amely végrehajtásakor jelentősen csökkentheti az Advanced Persistent Threats (APT) és a nulla napos rosszindulatú programok fertőzésének kockázatát. Azonban a központosított GUI-kezelő eszköz hiánya valószínűleg korlátozza a felvételt. A PowerShell konfigurációs eszközei meredek tanulási görbét is tartalmaznak, és jelentős beruházást igényelnek a tesztelésben. Egyes illesztőprogramok esetleg nem kompatibilisek a HVCI-vel. A Microsoftnak több információ van erről a problémáról itt. A WDAC telepítésében érdekelt szervezetek előfordulhat, hogy lehetővé teszik először a szervereken, ahol a szoftverportfolió viszonylag statikus.

A poszt Mi a Windows Defender alkalmazásvezérlő? jelent meg először Petri.

Kapcsolódó hozzászólás

Hagy egy Válaszol

Ez az oldal Akismet-et használ a levélszemét csökkentése érdekében. Ismerje meg, hogyan dolgozik a megjegyzésed.