Hva er Windows Defender Application Control?

Hvis du ikke er kjent med Windows Defender Application Control (WDAC), la meg fylle deg. Ikke forveksle med Windows Defender Application Guard, en containeriseringsløsning for Microsoft Edge som bruker Hyper-V til å isolere nettleser, WDAC er en del av Windows Device Guard. Bare for å legge til forvirringen bruker Microsoft Windows Device Guard til å bruke WDAC og hypervisor-beskyttet kodeintegritet (HVCI) sammen.

For mer informasjon om Windows Defender Application Guard, se Revisiting Application Guard i Windows 10 April 2018 Update på petri

Windows Device Guard ble introdusert i Windows 10 som en ny, robust applikasjonsstyringsløsning designet for å være mer fleksibel enn AppLocker. Men Microsoft fremhevede Device Guard sammen med HVCI, og mange IT-administratorer tok feil ut at applikasjonsstyringsdelen av Device Guard ikke kunne brukes uten HVCI, som har noen maskinvarekrav som mange eldre enheter ikke møtes.

I fjor kunngjorde Microsoft at de to teknologiene som sminke Device Guard hadde blitt separert i Windows Defender Application Control, som omhandler applikasjons whitelisting, og Windows Defender Exploit Guard ville håndtere å beskytte WDAC ved hjelp av HVCI hvis nødvendig. Ved å skille Device Guard i to forskjellige teknologier, håper Microsoft at IT-administratorer skal forstå at HVCI ikke er nødvendig for å bruke WDAC.

Windows Defender Application Control

Applikasjonskontrollen oppstod først i Windows XP som Programvarebegrensningspolitikk (SRP), men det ble ikke allment vedtatt fordi det var vanskelig å implementere. AppLocker i Windows 7 ble utviklet for å løse dette problemet. Men AppLocker er ikke uten sine mangler. Ikke minst er det at implementeringen ikke er veldig robust. For eksempel kan brukere med administrative privilegier deaktivere AppLocker.

Windows Defender Application Control bruker Code Integrity (CI) retningslinjer som implementeres av Windows-kjernen rett fra tidlig i oppstartssekvensen før de fleste andre OS-kodeer starter. CI-retningslinjene strekker seg også til kjernemoduskode, for eksempel drivere og Windows-komponenter, i motsetning til AppLocker, som bare kan brukes til hviteliste brukermoduskode. Administratorer kan forhindres i å manipulere med WDAC ved digital signering av CI-retningslinjer. For å endre en policy, vil en bruker ha behov for administratorrettigheter og tilgang til organisasjonens digitale signeringsprosess.

Exploit Guard, HVCI, Memory Integrity, VBS - Ta ditt valg

I tillegg kan hele prosessen beskyttes ytterligere ved hjelp av virtualiseringsbasert sikkerhet (VBS) hvis enhetene dine oppfyller de nødvendige maskinvarekravene. Dette er aktivert ved hjelp av Windows Defender Exploit Guard. Noen ganger er dette også omtalt i Microsofts dokumentasjon som HVCI. For å videre gjørme vannene, er funksjonen merket Minneintegritet under Enhetssikkerhet i Windows Defender Security Center.

Aktiver HVCI i Windows Defender Security Center (Image Credit: Russell Smith)

Aktiver HVCI i Windows Defender Security Center (Image Credit: Russell Smith)

Hvis du vil aktivere HVCI ved hjelp av gruppepolicy eller MDM, må du se etter Slå på virtualiseringsbasert sikkerhet Innstillinger under Computer Configuration> Administrative Maler> System> Device Guard. For mer informasjon om hvordan du aktiverer HVCI, se Microsofts nettsted her. Du kan finne ut om enhetene dine støtter HVCI ved å laste ned Device Guard og Credential Guard Readiness Tool fra Microsoft.

Windows Defender Application Control er en robust applikasjons whitelisting-teknologi som ved implementering kan redusere risikoen for å bli smittet av avanserte vedvarende trusler (APT) og skadedag på null dager. Men som det står, er mangelen på et sentralisert GUI-styringsverktøy sannsynlig å begrense opptaket. PowerShell-konfigurasjonsverktøyene involverer også en bratt læringskurve og krever en betydelig investering i testing. Noen drivere er kanskje ikke kompatible med HVCI. Microsoft har mer informasjon om dette problemet her. Organisasjoner som er interessert i å distribuere WDAC, kan se på å aktivere det først på servere der programvareporteføljen er relativt statisk.

Innlegget Hva er Windows Defender Application Control? dukket først på Petri.

relaterte innlegg

Legg igjen et svar

Dette nettstedet bruker Akismet for å redusere spam. Lær hvordan kommentaren din behandles.