Wat is Windows Defender Application Control?

Als u niet bekend bent met Windows Defender Application Control (WDAC), laat me u dan invullen. Niet te verwarren met Windows Defender Application Guard, een containerisatieoplossing voor Microsoft Edge die Hyper-V gebruikt om browsersessies te isoleren, WDAC is één deel van Windows Device Guard. Gewoon om de verwarring te vergroten, Microsoft gebruikt Windows Device Guard om samen te verwijzen naar het gebruik van WDAC en de door de hypervisor beschermde code-integriteit (HVCI).

Zie voor meer informatie over Windows Defender Application Guard Revisiting Application Guard in de 10 April 2018-update van Windows op Petri.

Windows Device Guard is geïntroduceerd in Windows 10 als een nieuwe, krachtige applicatiebeheeroplossing die ontworpen is om flexibeler te zijn dan AppLocker. Maar Microsoft promoveerde Device Guard samen met HVCI en veel IT-beheerders namen ten onrechte aan dat het onderdeel voor applicatiebeheer van Device Guard niet kon worden gebruikt zonder HVCI, dat enkele hardwarevereisten heeft waaraan veel oudere apparaten niet voldoen.

Vorig jaar kondigde Microsoft aan dat de twee technologieën die make-up Device Guard hadden, waren onderverdeeld in Windows Defender Application Control, die de witte lijst van toepassingen behandelt, en Windows Defender Exploit Guard zou indien nodig WDAC beschermen met HVCI. Door Device Guard in twee verschillende technologieën te scheiden, hoopt Microsoft dat IT-beheerders zullen begrijpen dat HVCI geen WDAC hoeft te gebruiken.

Windows Defender Application Control

Applicatiebeheer verscheen voor het eerst in Windows XP als Software Restriction Policies (SRP), maar het werd niet op grote schaal gebruikt omdat het moeilijk te implementeren was. AppLocker in Windows 7 is ontworpen om dat probleem op te lossen. Maar AppLocker is niet zonder zijn tekortkomingen. Niet het minst is dat de implementatie niet erg robuust is. Gebruikers met beheerdersbevoegdheden kunnen AppLocker bijvoorbeeld uitschakelen.

Windows Defender Application Control maakt gebruik van Code Integrity (CI) -beleid dat wordt geïmplementeerd door de Windows-kernel vanaf het begin van de opstartvolgorde voordat de meeste andere OS-code wordt gestart. CI-beleid breidt zich ook uit naar kernelmoduscode, zoals stuurprogramma's en Windows-componenten, in tegenstelling tot AppLocker die alleen kan worden gebruikt om de gebruikersmoduscode op de witte lijst te plaatsen. Beheerders kunnen worden belet te knoeien met WDAC door CI-beleid digitaal te ondertekenen. Om een ​​beleid te kunnen wijzigen, heeft een gebruiker beheerdersrechten nodig en toegang tot het digitale ondertekeningsproces van de organisatie.

Exploit Guard, HVCI, Memory Integrity, VBS - Take Your Pick

Bovendien kan het hele proces verder worden beveiligd met behulp van op virtualisatie gebaseerde beveiliging (VBS) als uw apparaten voldoen aan de noodzakelijke hardwarevereisten. Dit is ingeschakeld met Windows Defender Exploit Guard. Soms wordt dit ook in de documentatie van Microsoft aangeduid als HVCI. Om de wateren verder modderig te maken, is de functie gelabeld Geheugen integriteit onder Apparaatbeveiliging in het Windows Defender Beveiligingscentrum.

Schakel HVCI in het Windows Defender Security Center in (imagokrediet: Russell Smith)

Schakel HVCI in het Windows Defender Security Center in (imagokrediet: Russell Smith)

Als u HVCI wilt inschakelen met Groepsbeleid of MDM, moet u zoeken naar Schakel Virtualisatie gebaseerde beveiliging in instellen onder Computerconfiguratie> Beheersjablonen> Systeem> Apparaatbeveiliging. Zie de website van Microsoft voor meer informatie over het inschakelen van HVCI hier. U kunt uitzoeken of uw apparaten HVCI ondersteunen door het te downloaden Device Guard en Credential Guard Readiness Tool van Microsoft.

Windows Defender Application Control is een krachtige technologie die op de witte lijst staat en die, indien geïmplementeerd, het risico van geïnfecteerd worden door Advanced Persistent Threats (APT's) en zero-day malware aanzienlijk kan verminderen. In de huidige vorm zal het ontbreken van een gecentraliseerde GUI-managementtool waarschijnlijk de opname beperken. De PowerShell-configuratietools hebben ook een steile leercurve en vereisen een aanzienlijke investering in testen. Sommige stuurprogramma's zijn mogelijk niet compatibel met HVCI. Microsoft heeft meer informatie over dit probleem hier. Organisaties die geïnteresseerd zijn in het implementeren van WDAC, willen mogelijk het eerst inschakelen op servers waarop het softwareportfolio relatief statisch is.

De post Wat is Windows Defender Application Control? verscheen eerst op Petri.

Verwant bericht

Laat een reactie achter

Deze site gebruikt Akismet om spam te verminderen. Ontdek hoe uw reactiegegevens worden verwerkt.