Čo je ovládanie aplikácie Windows Defender?

Ak nie ste oboznámení s aplikáciou Windows Defender Application Control (WDAC), dovoľte mi, aby som vás vyplnil. Nie je zamenený s programom Windows Defender Application Guard, kontajnerovým riešením pre Microsoft Edge, ktorý používa Hyper-V na izoláciu relácií prehliadača, WDAC je jedna časť záchrany zariadenia Windows. Len na pridanie k zmätku spoločnosť Microsoft používa Windows Device Guard, aby sa oboznámil s používaním WDAC a integrity kódov chránených hypervisorom (HVCI).

Ďalšie informácie o službe Windows Defender Application Guard nájdete v téme Aktualizácia aplikácie Guard v aktualizácii Windows 10 v apríli 2018 na Petri.

Systém Windows Device Guard bol predstavený v systéme Windows 10 ako nové, robustné riešenie kontroly aplikácií navrhnuté tak, aby bolo flexibilnejšie ako AppLocker. Spoločnosť Microsoft však propagovala zariadenie Guard spolu s HVCI a mnohí administrátori IT nesprávne predpokladali, že časť aplikácie Device Guard nemôže byť použitá bez HVCI, čo má niektoré hardvérové ​​požiadavky, ktoré mnohé staršie zariadenia nespĺňajú.

V minulom roku spoločnosť Microsoft oznámila, že dve technológie, ktoré tvoria Device Guard, boli rozdelené do aplikácie Windows Defender Application Control, ktorá sa zaoberá aplikáciou povoleným na bielizeň, a Windows Defender Exploit Guard by v prípade potreby spracovával WDAC pomocou HVCI. Tým, že spoločnosť Guard Guard oddelila dve odlišné technológie, dúfa, že správcovia IT pochopia, že HVCI nie je povinné používať WDAC.

Ovládanie aplikácií programu Windows Defender

Kontrola aplikácií sa prvýkrát objavila v systéme Windows XP ako Pravidlá pre obmedzenie softvéru (SRP), ale nebola široko prijatá, pretože bolo ťažké implementovať. Aplikácia AppLocker v systéme Windows 7 bola navrhnutá na vyriešenie tohto problému. Ale AppLocker nie je bez svojich nedostatkov. V neposlednom rade je to, že jeho implementácia nie je veľmi robustná. Napríklad používatelia s oprávneniami správcu môžu zakázať aplikáciu AppLocker.

Ovládanie aplikácie Windows Defender používa pravidlá integrity kódu (CI), ktoré sú implementované jadrom systému Windows už od začiatku zavádzacej sekvencie skôr, ako začne bežať väčšina ostatných kódov OS. Politika CI sa tiež rozširuje na kód režimu jadra, ako sú ovládače a komponenty systému Windows, na rozdiel od aplikácie AppLocker, ktorá sa môže používať iba na kód povoleného používateľa. Administrátorom je možné zabrániť v manipulácii so službou WDAC digitálnym podpísaním pravidiel služby CI. Ak chcete zmeniť pravidlá, používateľ by potreboval oprávnenie správcu a prístup k procesu digitálneho podpisovania organizácie.

Exploit Guard, HVCI, Integrita pamäte, VBS - Take Your Pick

Okrem toho celý proces môže byť ďalej chránený pomocou virtualizačnej bezpečnosti (VBS), ak vaše zariadenia spĺňajú potrebné hardvérové ​​požiadavky. To je povolené pomocou programu Windows Defender Exploit Guard. Niekedy sa to v dokumentácii spoločnosti Microsoft označuje ako HVCI. Ak chcete ďalej zamlžovať vodu, funkcia je označená Integrita pamäte v časti Zabezpečenie zariadenia v Centre zabezpečenia programu Windows Defender.

Povoliť HVCI v centre zabezpečenia programu Windows Defender (Image Credit: Russell Smith)

Povoliť HVCI v centre zabezpečenia programu Windows Defender (Image Credit: Russell Smith)

Ak chcete povoliť HVCI pomocou Zásady skupiny alebo MDM, musíte sa pozrieť na Zapnite zabezpečenie založené na virtualizácii v časti Konfigurácia počítača> Šablóny na správu> Systém> Ochrana zariadenia. Ďalšie informácie o povolení HVCI nájdete na webovej lokalite spoločnosti Microsoft tu, Môžete zistiť, či vaše zariadenia podporujú HVCI stiahnutím Záchranná pomôcka a nástroj na pripravenosť poverení poverením od spoločnosti Microsoft.

Kontrola aplikácií programu Windows Defender je robustná technológia, ktorá pri implementácii môže významne znížiť riziko infikovania rozšírenými hrozbami (APT) a škodlivým softvérom s nulovým dňom. Ale v súčasnosti je pravdepodobné, že nedostatok centralizovaného nástroja riadenia GUI obmedzí využívanie. Konfiguračné nástroje PowerShell zahŕňajú aj strmú krivku učenia a vyžadujú si výrazné investície do testovania. Niektoré ovládače nemusia byť kompatibilné s HVCI. Spoločnosť Microsoft má k tomuto problému viac informácií tu, A not not not

Príspevok Čo je ovládanie aplikácie Windows Defender? sa objavil najprv na Petri.

súvisiace Post

Nechaj odpoveď

Táto stránka používa Akismet na zníženie spamu. Zistite, ako sa spracúvajú údaje vašich komentárov.