Kaj je nadzor nad aplikacijami Windows Defender?

Če niste seznanjeni z nadzorom aplikacij Windows Defender (WDAC), naj vas dopolnim. Če želite biti zamenjani s programom Windows Defender Application Guard, rešitev za kontejnerje za Microsoft Edge, ki uporablja Hyper-V za izolacijo sej brskalnika, je WDAC en del zaščite naprave Windows. Microsoft samo, da dodaja v zmedo, uporablja Windows Device Guard, da se sklicuje na uporabo celovitosti zaščitene kode WDAC in hipervizorja (HVCI).

Za več informacij o programu Windows Defender Application Guard, glejte Ponovni zagon aplikacij v Windows 10 April 2018 Update na Petri.

Windows Device Guard je bil uveden v operacijskem sistemu Windows 10 kot nova, robustna rešitev za nadzor aplikacij, ki je bolj prilagodljiva kot AppLocker. Toda Microsoft je spodbujal Device Guard skupaj s HVCI in mnogi IT skrbniki so napačno domnevali, da se del nadzorne naprave Device Guard ne bi mogel uporabljati brez HVCI, ki ima nekaj zahtev strojne opreme, ki jih mnogi starejši napravi ne izpolnjujejo.

Lansko leto je Microsoft napovedal, da sta obe tehnologiji, ki jo je napravil Device Guard, ločila v Windows Defender Application Control, ki se ukvarja z belim seznamom aplikacij, in Windows Defender Exploit Guard bi zaščitil WDAC s pomočjo HVCI, če bo to potrebno. Z ločitvijo Guard Device v dve različni tehnologiji Microsoft upa, da bodo IT skrbniki razumeli, da HVCI ni potreben za uporabo WDAC.

Nadzor aplikacij programa Windows Defender

Nadzor aplikacij se je v operacijskem sistemu Windows XP prvič pojavil kot pravilnik o omejitvi programske opreme (SRP), vendar ga ni bilo mogoče sprejeti, ker je bilo težko izvedljivo. AppLocker v sistemu Windows 7 je bil zasnovan za reševanje tega problema. Toda AppLocker ni brez pomanjkljivosti. Nenazadnje je to, da njegovo izvajanje ni zelo zanesljivo. Na primer uporabniki, ki imajo skrbniške pravice, lahko onemogočijo AppLocker.

Nadzor aplikacij programa Windows Defender uporablja pravilnike o pravilnosti pravilnika (CI), ki jih jedro operacijskega sistema Windows izvaja že od zgodnjega zaporedja zagona, preden se začne večina drugih kod kode zagnati. Pravilniki CI se razširijo tudi na kodo načina jedra, na primer gonilnike in komponente sistema Windows, za razliko od AppLockerja, ki se lahko uporablja samo za kodo načina uporabe belih listov. Administratorjem je mogoče preprečiti poseganje v WDAC z digitalnim podpisom pravilnikov CI. Če želite spremeniti pravilnik, uporabnik potrebuje administratorske privilegije in dostop do organizacije digitalnega podpisovanja.

Exploit Guard, HVCI, celovitost pomnilnika, VBS - vzemite svoj prevzem

Poleg tega je celoten proces mogoče dodatno zaščititi z uporabo varnostne zaščite na osnovi virtualizacije (VBS), če vaše naprave izpolnjujejo potrebne strojne zahteve. To je omogočeno s pomočjo programa Windows Defender Exploit Guard. Včasih je tudi to navedeno v Microsoftovi dokumentaciji kot HVCI. Za nadaljnje blatne vode je značilnost označena Celovitost spomina v razdelku Varnost naprave v programu Windows Defender Security Center.

Omogočite HVCI v varnostnem centru Windows Defender (slika: Russell Smith)

Omogočite HVCI v varnostnem centru Windows Defender (slika: Russell Smith)

Če želite omogočiti HVCI z uporabo pravilnika skupine ali MDM, morate poiskati Vklopite varnost, ki temelji na virtualizaciji nastavitev v razdelku Computer Configuration> Administrative Templates> System> Guard Guard. Več informacij o omogočanju HVCI najdete na spletni strani Microsofta tukaj. Lahko ugotovite, ali vaše naprave podpirajo HVCI tako, da prenesete Orodje za zaščito naprave in potrdilo o zaščiti naprave od Microsofta.

Nadzor nad aplikacijami programa Windows Defender je robustna tehnologija za whitelisting aplikacij, ki lahko v času izvajanja znatno zmanjša tveganje za okužbo s storitvami Advanced Persistent Threats (APK) in ničelnim malware-om. Ampak, kot stoji, pomanjkanje centraliziranega orodja za upravljanje GUI verjetno omeji prevzem. Konfiguracijska orodja PowerShell vključujejo tudi strmo učno krivuljo in zahtevajo znatno naložbo v testiranje. Nekateri gonilniki morda niso združljivi s HVCI. Microsoft ima več informacij o tem vprašanju tukaj. Organizacije, ki se zanimajo za namestitev WDAC, bi morda želele, da bi to najprej omogočile na strežnikih, kjer je portfelj programske opreme relativno statičen.

Pošta Kaj je nadzor nad aplikacijami Windows Defender? pojavil prvi na Petri.

Related Post

Pustite Odgovori

Ta stran uporablja Akismet za zmanjšanje nezaželene pošte. Preberite, kako se vaš komentar obravnava.