Что такое Windows Defender Application Control?

Если вы не знакомы с Windows Defender Application Control (WDAC), позвольте мне заполнить вас. Не путать с Защитником приложений Windows Defender, решением для контейнеров для Microsoft Edge, которое использует Hyper-V для изоляции сеансов браузера, WDAC - это одна часть устройства защиты устройств Windows. Чтобы добавить к путанице, Microsoft использует Windows Device Guard для ссылки на использование WDAC и защищенной от гипервизора целостности кода (HVCI) вместе.

Для получения дополнительной информации о Защите приложений Windows Defender см. Пересмотр приложения Guard в обновлении 10 в апреле 2018 на Петри.

Windows Device Guard был представлен в Windows 10 как новое, надежное решение для управления приложениями, которое было более гибким, чем AppLocker. Но Microsoft продвинула Device Guard вместе с HVCI, и многие ИТ-администраторы ошибочно предположили, что часть управления приложениями Guard Guard не может использоваться без HVCI, которая имеет некоторые аппаратные требования, которые не удовлетворяют многие старые устройства.

В прошлом году Microsoft объявила, что две технологии, которые входят в состав устройства Guard Guard, были разделены на Windows Defender Application Control, который имеет дело с белым списком приложений, а защитник Windows Defender Exploit Guard будет обрабатывать WDAC, используя HVCI, если это необходимо. Разделяя Guard Guard на две разные технологии, Microsoft надеется, что ИТ-администраторы поймут, что HVCI не требуется использовать WDAC.

Управление приложениями Windows Defender

Управление приложениями впервые появилось в Windows XP как политика ограничения программного обеспечения (SRP), но она не получила широкого применения, поскольку ее было сложно реализовать. AppLocker в Windows 7 был разработан для решения этой проблемы. Но AppLocker не лишен недостатков. Не в последнюю очередь из-за того, что его реализация не очень надежна. Например, пользователи с правами администратора могут отключить AppLocker.

Средство управления защитой Windows использует политики целостности кода (CI), которые реализованы ядром Windows с самого начала последовательности загрузки, прежде чем запускается большинство других кодов ОС. Политики CI также распространяются на код режима ядра, такие как драйверы и компоненты Windows, в отличие от AppLocker, который может использоваться только для белого кода пользовательского режима. Администраторам запрещено помешать WDAC путем цифровой подписи политик CI. Чтобы изменить политику, пользователю потребуются права администратора и доступ к процессу цифровой подписи организации.

Exploit Guard, HVCI, целостность памяти, VBS - возьмите свой выбор

Кроме того, весь процесс может быть дополнительно защищен с использованием безопасности на основе виртуализации (VBS), если ваши устройства удовлетворяют необходимым требованиям к оборудованию. Это можно использовать с помощью Защитника ОС Windows Defender. Иногда это также упоминается в документации Microsoft как HVCI. Для дальнейшего замутнения воды эта функция помечена Целостность памяти в разделе Безопасность устройств в Центре безопасности Windows Defender.

Включить HVCI в центре безопасности Windows Defender (Image Credit: Russell Smith)

Включить HVCI в центре безопасности Windows Defender (Image Credit: Russell Smith)

Если вы хотите включить HVCI с помощью групповой политики или MDM, вам необходимо найти Включить безопасность на основе виртуализации в разделе Конфигурация компьютера> Административные шаблоны> Система> Защита устройства. Дополнительные сведения о включении HVCI см. На веб-сайте Microsoft. здесь, Вы можете узнать, поддерживают ли ваши устройства HVCI, загрузив Инструмент защиты устройства и средства проверки учетных данных от Microsoft.

Windows Defender Application Control - это надежная технология «белого списка» приложений, которая при ее внедрении может значительно снизить риск заражения с помощью Advanced Persistent Threats (APT) и вредоносных программ с нулевым временем. Но, как бы там ни было, отсутствие централизованного инструмента управления графическим интерфейсом, вероятно, ограничит использование. Инструменты настройки PowerShell также включают крутую кривую обучения и требуют значительных инвестиций в тестирование. Некоторые драйверы могут быть несовместимы с HVCI. У Microsoft есть больше информации по этой проблеме здесь, Организации, заинтересованные в развертывании WDAC, могут сначала включить его на серверах, где портфель программного обеспечения относительно статичен.

сообщение Что такое Windows Defender Application Control? Появившийся сначала на Петри.

Похожие темы

Оставить комментарий

Этот сайт использует Akismet для уменьшения количества спама. Узнайте, как обрабатываются ваши данные комментариев.