finestre

Che cos'è Windows Defender Application Control?

Se non si ha dimestichezza con Windows Defender Application Control (WDAC), lasciatemi compilare. Da non confondere con Windows Defender Application Guard, una soluzione di containerizzazione per Microsoft Edge che utilizza Hyper-V per isolare le sessioni del browser, WDAC è una parte di Windows Device Guard. Giusto per aggiungere confusione, Microsoft usa Windows Device Guard per riferirsi all'utilizzo del WDAC e dell'integrità del codice protetto dall'hypervisor (HVCI) insieme.

Per ulteriori informazioni su Windows Defender Application Guard, vedere Revisione di Application Guard nell'aggiornamento 10 di 2018 di Windows di aprile su Petri.

Windows Device Guard è stato introdotto in Windows 10 come una nuova e robusta soluzione di controllo delle applicazioni progettata per essere più flessibile di AppLocker. Ma Microsoft ha promosso Device Guard insieme a HVCI e molti amministratori IT hanno erroneamente ritenuto che la parte di controllo delle applicazioni di Device Guard non potesse essere utilizzata senza HVCI, che ha alcuni requisiti hardware che molti dispositivi meno recenti non soddisfano.

L'anno scorso, Microsoft ha annunciato che le due tecnologie che trucco Device Guard erano state separate in Windows Defender Application Control, che si occupa di whitelisting dell'applicazione, e Windows Defender Exploit Guard gestiva la protezione del WDAC utilizzando HVCI se necessario. Separando Device Guard in due tecnologie distinte, Microsoft spera che gli amministratori IT capiranno che HVCI non è tenuto a utilizzare WDAC.

Windows Defender Application Control

Il controllo dell'applicazione è apparso per la prima volta in Windows XP come SRP (Software Restriction Policies), ma non è stato ampiamente adottato perché era difficile da implementare. AppLocker in Windows 7 è stato progettato per risolvere questo problema. Ma AppLocker non è privo di difetti. Non ultimo il fatto che la sua implementazione non è molto robusta. Ad esempio, gli utenti con privilegi amministrativi possono disabilitare AppLocker.

Windows Defender Application Control utilizza i criteri di integrità del codice (CI) implementati dal kernel di Windows sin dall'inizio della sequenza di avvio prima dell'avvio della maggior parte degli altri codici OS. Le policy di CI si estendono anche al codice della modalità kernel, come driver e componenti di Windows, a differenza di AppLocker che può essere utilizzato solo per autorizzare il codice della modalità utente. Agli amministratori può essere impedito di manomettere WDAC firmando digitalmente le policy dell'elemento della configurazione. Per cambiare una politica, un utente avrebbe bisogno di privilegi di amministratore e accesso al processo di firma digitale dell'organizzazione.

Exploit Guard, HVCI, Integrità della memoria, VBS: fai la tua scelta

Inoltre, l'intero processo può essere ulteriormente protetto utilizzando la sicurezza basata sulla virtualizzazione (VBS) se i dispositivi soddisfano i requisiti hardware necessari. Questo è abilitato usando Windows Defender Exploit Guard. A volte questo viene anche indicato nella documentazione di Microsoft come HVCI. Per fangare ulteriormente le acque, la caratteristica è etichettata Integrità della memoria sotto Device Security in Windows Defender Security Center.

Abilita HVCI nel Windows Defender Security Center (Image Credit: Russell Smith)

Abilita HVCI nel Windows Defender Security Center (Image Credit: Russell Smith)

Se si desidera abilitare HVCI utilizzando Criteri di gruppo o MDM, è necessario cercare il file Attiva la sicurezza basata sulla virtualizzazione impostazione in Configurazione computer> Modelli amministrativi> Sistema> Protezione dispositivo. Per ulteriori informazioni sull'attivazione di HVCI, vedere il sito Web di Microsoft qui. Puoi scoprire se i tuoi dispositivi supportano HVCI scaricando il Strumento di protezione delle protezioni di Device Guard e Credential da Microsoft.

Windows Defender Application Control è una solida tecnologia di whitelisting per le applicazioni che, se implementata, può ridurre in modo significativo il rischio di infezione da Advanced Persistent Threats (APT) e malware zero-day. Ma così com'è, la mancanza di uno strumento di gestione centralizzata della GUI probabilmente limiterà l'adozione. Gli strumenti di configurazione di PowerShell implicano anche una curva di apprendimento ripida e richiedono un notevole investimento nei test. Alcuni driver potrebbero non essere compatibili con HVCI. Microsoft ha più informazioni su questo problema qui. Le organizzazioni interessate a implementare WDAC potrebbero cercare di attivarla prima su server in cui il portafoglio software è relativamente statico.

Il post Che cos'è Windows Defender Application Control? apparve prima Petri.

post correlati

tag

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati dei tuoi commenti.

Torna a pulsante in alto