O que é o controle de aplicativos do Windows Defender?

Se você não estiver familiarizado com o Windows Defender Application Control (WDAC), deixe-me preenchê-lo. Não confunda com o Windows Defender Application Guard, uma solução de contêiner para o Microsoft Edge que usa o Hyper-V para isolar as sessões do navegador, o WDAC é uma parte do Windows Device Guard. Apenas para aumentar a confusão, a Microsoft usa o Windows Device Guard para se referir ao uso do WDAC e à integridade do código protegido pelo hipervisor (HVCI) juntos.

Para obter mais informações sobre o Windows Defender Application Guard, consulte Revisitando o Application Guard na atualização 10 de abril do Windows 2018 em Petri.

O Windows Device Guard foi introduzido no Windows 10 como uma nova e robusta solução de controle de aplicativos projetada para ser mais flexível que o AppLocker. Mas a Microsoft promoveu o Device Guard junto com o HVCI e muitos administradores de TI assumiram erroneamente que a parte de controle de aplicativos do Device Guard não podia ser usada sem o HVCI, que tem alguns requisitos de hardware que muitos dispositivos mais antigos não atendem.

No ano passado, a Microsoft anunciou que as duas tecnologias que compõem o Device Guard foram separadas no Windows Defender Application Control, que lida com a lista branca de aplicativos, e o Windows Defender Exploit Guard trataria de proteger o WDAC usando HVCI, se necessário. Ao separar o Device Guard em duas tecnologias distintas, a Microsoft espera que os administradores de TI entendam que o HVCI não precisa usar o WDAC.

Controle de aplicativos do Windows Defender

O controle de aplicativos apareceu pela primeira vez no Windows XP como Políticas de Restrição de Software (SRP), mas não foi amplamente adotado porque era difícil de implementar. O AppLocker no Windows 7 foi projetado para resolver esse problema. Mas o AppLocker não está sem suas deficiências. Não menos importante é que sua implementação não é muito robusta. Por exemplo, usuários com privilégios administrativos podem desabilitar o AppLocker.

O Windows Defender Application Control usa as políticas de Integridade de Código (CI) que são implementadas pelo kernel do Windows desde o início da seqüência de inicialização, antes que a maioria dos outros códigos do OS comece a ser executada. As políticas de CI também se estendem ao código do modo kernel, como drivers e componentes do Windows, ao contrário do AppLocker, que só pode ser usado para colocar na lista de permissões o código do modo de usuário. Os administradores podem ser impedidos de adulterar o WDAC assinando digitalmente políticas de IC. Para alterar uma política, um usuário precisaria de privilégios de administrador e acesso ao processo de assinatura digital da organização.

Exploit Guard, HVCI, Integridade da Memória, VBS - Faça a sua escolha

Além disso, todo o processo pode ser protegido com segurança baseada em virtualização (VBS) se os seus dispositivos atenderem aos requisitos de hardware necessários. Isso é ativado usando o Windows Defender Exploit Guard. Às vezes, isso também é mencionado na documentação da Microsoft como HVCI. Para turvar ainda mais as águas, o recurso é rotulado Integridade da memória em Segurança de dispositivos no Centro de segurança do Windows Defender.

Ativar o HVCI na Central de Segurança do Windows Defender (Crédito de imagem: Russell Smith)

Ativar o HVCI na Central de Segurança do Windows Defender (Crédito de imagem: Russell Smith)

Se você quiser habilitar o HVCI usando a Diretiva de Grupo ou o MDM, é necessário procurar Ativar a segurança baseada em virtualização configuração em Configuração do Computador> Modelos Administrativos> Sistema> Device Guard. Para mais informações sobre como ativar o HVCI, consulte o site da Microsoft. aqui. Você pode descobrir se os seus dispositivos suportam o HVCI baixando o Device Guard e Ferramenta de Preparação para Guarda de Credenciais da Microsoft.

O Windows Defender Application Control é uma robusta tecnologia de lista branca de aplicativos que, quando implementada, pode reduzir significativamente o risco de ser infectado por Ameaças Avançadas Persistentes (APTs) e malware de dia zero. Mas, do jeito que está, a falta de uma ferramenta centralizada de gerenciamento de GUI provavelmente limitará a aceitação. As ferramentas de configuração do PowerShell também envolvem uma curva de aprendizado acentuada e exigem um investimento substancial em testes. Alguns drivers podem não ser compatíveis com o HVCI. A Microsoft tem mais informações sobre esse problema aqui. Organizações interessadas em implantar o WDAC podem procurar ativá-lo primeiro em servidores onde o portfólio de software é relativamente estático.

O posto O que é o controle de aplicativos do Windows Defender? apareceu pela primeira vez em Petri.

post relacionado

Deixe um comentário

Este site usa o Akismet para reduzir o spam. Saiba como seus dados de comentário são processados.