Apakah yang dimaksudkan dengan Kawalan Aplikasi Defender Windows?

Jika anda tidak biasa dengan Kawalan Aplikasi Windows Defender (WDAC), izinkan saya mengisi anda. Tidak boleh dikelirukan dengan Windows Defender Application Guard, penyelesaian kontainer untuk Microsoft Edge yang menggunakan Hyper-V untuk mengasingkan sesi penyemak imbas, WDAC adalah satu bahagian daripada Windows Device Guard. Hanya untuk menambah kekeliruan, Microsoft menggunakan Windows Device Guard untuk merujuk kepada penggunaan WDAC dan integrasi kod dilindungi hypervisor (HVCI) bersama-sama.

Untuk maklumat lanjut mengenai Windows Defender Application Guard, lihat Mengkaji semula Pengawal Aplikasi dalam Kemaskini 10 April 2018 Windows pada Petri.

Windows Device Guard diperkenalkan di Windows 10 sebagai penyelesaian kawalan aplikasi baru yang mantap yang direka untuk menjadi lebih fleksibel daripada AppLocker. Tetapi Microsoft mempromosikan Penjaga Peranti bersama dengan HVCI dan banyak pentadbir IT salah mengandaikan bahawa bahagian kawalan aplikasi Pengawal Peranti tidak dapat digunakan tanpa HVCI, yang mempunyai beberapa keperluan perkakasan yang banyak peranti yang lebih tua tidak memenuhi.

Tahun lepas, Microsoft mengumumkan bahawa kedua-dua teknologi yang ditulen oleh Device Guard telah dipisahkan ke dalam Kawalan Aplikasi Windows Defender, yang berkaitan dengan aplikasi whitelisting, dan Windows Defender Exploit Guard akan mengendalikan melindungi WDAC menggunakan HVCI jika diperlukan. Dengan memisahkan Device Guard menjadi dua teknologi yang berbeza, Microsoft berharap pentadbir IT akan memahami bahawa HVCI tidak dikehendaki menggunakan WDAC.

Kawalan Aplikasi Defender Windows

Kawalan aplikasi pertama kali muncul dalam Windows XP sebagai Dasar Sekatan Software (SRP), tetapi ia tidak digunakan secara meluas kerana ia sukar dilaksanakan. AppLocker dalam Windows 7 direka untuk menyelesaikan masalah itu. Tetapi AppLocker tidak tanpa kekurangannya. Paling tidak adalah pelaksanaannya tidak begitu kuat. Sebagai contoh, pengguna yang mempunyai keistimewaan pentadbiran boleh melumpuhkan AppLocker.

Kawalan Aplikasi Pertahanan Windows menggunakan dasar Integriti (CI) Code yang dilaksanakan oleh kernel Windows dari awal pada urutan boot sebelum kebanyakan kod OS lain mula berjalan. Dasar CI juga dilanjutkan kepada kod mod kernel, seperti pemacu dan komponen Windows, tidak seperti AppLocker yang hanya boleh digunakan untuk kod mod pengguna daftar putih. Pentadbir boleh dihalang daripada mengganggu WDAC dengan menandatangani dasar CI secara digital. Untuk menukar dasar, pengguna akan memerlukan keistimewaan pentadbir dan akses kepada proses penandatangan digital organisasi.

Mengeksploitasi Pengawal, HVCI, Integriti Memori, VBS - Ambil Pilihan Anda

Di samping itu, keseluruhan proses boleh dilindungi dengan lebih lanjut menggunakan keselamatan berasaskan maya (VBS) jika peranti anda memenuhi keperluan perkakasan yang diperlukan. Ini diaktifkan menggunakan Windows Defender Exploit Guard. Kadang-kadang ini juga dirujuk dalam dokumentasi Microsoft sebagai HVCI. Untuk berlumpur lagi, ciri ini dilabelkan Integriti memori di bawah Keselamatan Peranti di Pusat Keselamatan Defender Windows.

Dayakan HVCI di Pusat Keselamatan Defender Windows (Image Credit: Russell Smith)

Dayakan HVCI di Pusat Keselamatan Defender Windows (Image Credit: Russell Smith)

Jika anda ingin mendayakan HVCI menggunakan Polisi Kumpulan atau MDM, anda perlu mencari Hidupkan Keselamatan Berdasarkan Maya tetapan di bawah Konfigurasi Komputer> Templat Pentadbiran> Sistem> Pengawal Peranti. Untuk maklumat lebih lanjut mengenai membolehkan HVCI, lihat laman web Microsoft di sini. Anda boleh mengetahui jika peranti anda menyokong HVCI dengan memuat turun Alat Pengawal Peranti dan Alat Kesediaan Pengawal Credential dari Microsoft.

Kawalan Aplikasi Windows Defender adalah teknologi whitelisting aplikasi yang teguh yang apabila dilaksanakan dapat mengurangkan risiko dijangkiti oleh Ancaman Terperinci Keterampilan (APTs) dan malware sehari sifar. Tetapi kerana ia berdiri, kekurangan alat pengurusan GUI terpusat mungkin akan mengehadkan pengambilan. Alat konfigurasi PowerShell juga melibatkan lengkung pembelajaran yang curam dan memerlukan pelaburan yang besar dalam ujian. Sesetengah pemandu mungkin tidak serasi dengan HVCI. Microsoft mempunyai lebih banyak maklumat mengenai isu ini di sini. Organisasi yang berminat untuk menggunakan WDAC mungkin melihat untuk membolehkannya terlebih dahulu pada pelayan di mana portfolio perisian agak statik.

Jawatan Apakah yang dimaksudkan dengan Kawalan Aplikasi Defender Windows? muncul pertama pada Petri.

Post yang berkaitan

Sila tinggalkan balasan anda

Laman web ini menggunakan Akismet untuk mengurangkan spam. Ketahui bagaimana data komen anda diproses.