Што е контрола на апликациите на Windows Defender?

Доколку не сте запознаени со контролата на апликациите на Windows Defender (WDAC), дозволете ми да ве наполните. За да не се помешате со Windows Defender Application Guard, решение за контејнери за Microsoft Edge кое користи Hyper-V за изолирање на сесиите на пребарувачот, WDAC е еден дел на заштитата на уредот на Windows. Само за да се додаде конфузијата, Microsoft користи Windows Device Guard за да се повика на употребата на WDAC и интегритетот на заштитата со хипервизорот (HVCI) заедно.

За повеќе информации во врска со заштитата на апликациите на Windows Defender, видете Преиспитување на апликација стража во Windows 10 април 2018 ажурирање на Петри.

Windows Device Guard беше воведен во Windows 10 како ново, робусно решение за контрола на апликации дизајнирано да биде пофлексибилно од AppLocker. Но, Мајкрософт ја промовираше Device Guard заедно со HVCI и многу ИТ администратори погрешно претпоставуваа дека дел од контролниот дел на Device Guard не може да се користи без HVCI, кој има некои хардверски барања што многу постари уреди не ги исполнуваат.

Минатата година, Мајкрософт објави дека двете технологии кои го штитат Device Guard биле одвоени во Windows Defender Application Control, која се занимава со белата листа на апликации, и Windows Defender Exploit Guard ќе се справи со заштитата на WDAC користејќи HVCI, доколку е потребно. Со одвојување на уредувачот на уредот во две различни технологии, Мајкрософт се надева дека ИТ администраторите ќе сфатат дека HVCI не е потребен да користи WDAC.

Контрола на примена на Windows Defender

Контрола на апликации прв пат се појави во Windows XP како Политики за ограничување на софтверот (SRP), но тоа не беше широко усвоено, бидејќи беше тешко да се имплементира. AppLocker во Windows 7 беше дизајниран да го реши тој проблем. Но, AppLocker не е без своите недостатоци. Најмалку од што е дека неговата имплементација не е многу стабилна. На пример, корисниците со административни привилегии можат да го оневозможат AppLocker.

Контролата на апликација за заштита на Windows Defenders користи политики за интегритет на код (CI) кои се имплементирани од кернелот на Windows од самиот почеток на подигањето пред да почне да работи повеќето други оперативни системи. Политиките на CI се прошируваат и на кодот на режимот на кернелот, како што се драјверите и компонентите на Windows, за разлика од AppLocker кој може да се користи само за кодот на корисникот со режим на бели списоци. Администраторите можат да бидат спречени да се мешаат со WDAC преку дигитално потпишување на CI политики. За промена на политика, на корисникот ќе му треба администраторска привилегија и пристап до процесот на дигитално потпишување на организацијата.

Експлоатација гарда, HVCI, меморија Интегритет, VBS - Земете ја вашата Трансферот

Дополнително, целиот процес може да биде дополнително заштитен со користење на безбедност базирана на виртуелизација (VBS) ако вашите уреди ги задоволуваат потребните хардверски барања. Ова е овозможено со помош на Windows Defender Exploit Guard. Понекогаш ова е исто така споменато во документацијата на Microsoft како HVCI. За понатамошни заматеност на водите, функцијата е означена Интегритет на меморијата под Уред за безбедност во Центарот за безбедност на Windows Defender.

Овозможи HVCI во Центарот за безбедност на Windows Defender (слика кредит: Расел Смит)

Овозможи HVCI во Центарот за безбедност на Windows Defender (слика кредит: Расел Смит)

Ако сакате да овозможите HVCI користејќи Group Policy или MDM, треба да го побарате Вклучете безбедност базирана на виртуелизација поставување под Конфигурација на компјутер> Административни шаблони> Систем> Заштита на уредот. За повеќе информации за овозможување на HVCI, видете ја веб-локацијата на Microsoft овде. Можете да дознаете дали вашите уреди поддржуваат HVCI со преземање на Алатка за заштита на уредот и акредитивната заштита од Мајкрософт.

Контрола на апликациите на Windows Defender е робусна технологија за примена на бела листа која, кога се имплементира, може значително да го намали ризикот од инфицирање од Advanced Persistent Threats (APT) и нуклеарен малвер. Но, како што стои, недостатокот на централизирана алатка за управување со GUI најверојатно ќе го ограничи навлегувањето. PowerShell алатките за конфигурација, исто така, вклучуваат крива крива на учење и бараат значителна инвестиција во тестирањето. Некои возачи можеби не се компатибилни со HVCI. Мајкрософт има повеќе информации за ова прашање овде. Организации кои се заинтересирани за распоредување на WDAC би можеле да бараат да му овозможат прво на сервери каде што софтверското портфолио е релативно статично.

Пост Што е контрола на апликациите на Windows Defender? се појави прв на Петри.

поврзани со пост

Оставете Одговор

Оваа страница користи Akismet за намалување на спам. Научете како се обработува вашиот коментар.