Обзор Device Guard

Тема в разделе "Windows", создана пользователем Petrovic, 7 авг 2015.

Метки:
  1. Petrovic

    Petrovic Ветеран Команда форума Модератор

    Регистрация:
    30 янв 2015
    Сообщения:
    550
    Симпатии:
    714
    Баллы:
    93
    Device Guard — это сочетание функций безопасности оборудования и программного обеспечения, которые можно настроить для блокировки устройства, чтобы на нем запускались только доверенные приложения. Если приложение не является доверенным, оно не будет работать ни при каких условиях. Это также означает, что даже если злоумышленник получит контроль над ядром Windows, он с гораздо меньшей вероятностью сможет запустить вредоносный код после перезапуска компьютера вследствие метода принятия решений о том, что и когда может запускаться.
    В Windows 10 Device Guard задействует новые меры безопасности на основе виртуализации для изоляции службы целостности кода от самого ядра Windows, что позволяет службе использовать сигнатуры, определенные корпоративной политикой для определения надежных объектов. По существу служба целостности кода работает вместе с ядром в контейнере Windows, защищенном гипервизором.
    Зачем использовать Device Guard

    Ежедневно создаются тысячи новых вредоносных файлов, поэтому использование традиционных методов, таких как определение вредоносного кода на основе сигнатур с его последующим устранением, не обеспечивает достаточной защиты от новых атак. Device Guard в Windows 10 можно переключать между режимом, при котором приложения являются доверенными, если только не блокируются антивирусом или другими решениями безопасности, и режимом, при котором операционная система доверяет только тем приложениям, которые авторизованы вашей организацией.
    Device Guard также позволяет защититься от атак нулевого дня и противодействовать полиморфным вирусам.
    Преимущества использования Device Guard

    Можно использовать преимущества Device Guard в соответствии со следующей таблицей:
     Device Guard for Windows 10Device Guard for Windows 10 + Virtualization extensions
    Обеспечивает максимальную защиту от вредоносных программ с возможностью управления на корпоративном уровнеXX
    Обеспечивает самую совершенную на сегодняшний день защиту от вредоносных программ для платформы Windows X
    Предоставляет улучшенную защиту от взлома X
    Как работает Device Guard

    Device Guard позволяет операционной системе Windows 10 запускать только код, подписанный доверенными источниками, в соответствии с вашей политикой целостности кода при помощи определенных конфигураций оборудования и безопасности, включая:
    • целостность кода пользовательского режима (UMCI);
    • новые правила целостности кода ядра, в том числе новые ограничения подписей, установленные лабораториями WHQL;
    • безопасную загрузку с ограничениями базы данных (db/dbx);
    • дополнительно: безопасность на основе виртуализации для защиты системной памяти, а также приложений и драйверов на основе ядра от возможного взлома;
    • дополнительно: доверенный платформенный модуль (TPM) 2.0.
    Device Guard поддерживает процесс создания образов, поэтому вы можете включить функцию безопасности на основе виртуализации для всех поддерживающих эту технологию устройств, настроить политику целостности кода и определить любые другие параметры операционной системы, требуемые для Windows 10. После этого Device Guard выполняет действия, необходимые для защиты ваших устройств.
    1. Устройство запускается с использованием безопасной загрузки UEFI, поэтому программы типа boot kit не могут запускаться и первой загружается ОС Windows 10.
    2. После безопасного запуска своих компонентов операционная система Windows 10 может запустить службы безопасности, виртуализированный на основе Hyper-V, включая целостность кода режима ядра. Эти службы обеспечивают защиту ядра системы, привилегированных драйверов и средств системной защиты, таких как решения по устранению вредоносных программ, не позволяя вредоносному коду запускаться на ранних этапах загрузки или в режиме ядра после запуска.
    3. Device Guard использует UMCI, поэтому все, что запускается в пользовательском режиме, будь то службы, приложение универсальной платформы Windows (UWP) или классическое приложение для Windows, является доверенным, то есть запускаются только доверенные двоичные файлы.
    4. Одновременно с запуском Windows 10 запускается и доверенный платформенный модуль (TPM). TPM предоставляет изолированный аппаратный компонент, который позволяет защитить конфиденциальные данные, такие как пользовательские учетные данные и сертификаты.
    Требуемое оборудование и программное обеспечение

    Чтобы эффективно использовать Device Guard, необходимо также установить и настроить следующее оборудование и программное обеспечение.
    • Windows 10. Device Guard работает только на устройствах под управлением Windows 10.
    • UEFI. Спецификация программы, которая является связующим звеном между микропрограммным обеспечением компьютера и его операционной системой. UEFI имеет функцию безопасной загрузки, которая защищает целостность вашего устройства на уровне самого микропрограммного обеспечения, что позволяет быть уверенным в том, что Windows запустится до любого потенциального вредоносного кода, например программ типа boot kit. Дополнительные сведения см. в разделе Безопасная загрузка.
    • Надежная загрузка. Часть операционной системы, которая полагается на функцию безопасной загрузки спецификации UEFI во избежание загрузки вредоносных приложений во время запуска системы. Надежная загрузка — это архитектурное изменение, которое обеспечивает защиту от атак программ rootkit, то есть атак, получающих доступ к системе путем взлома процесса загрузки Windows.
    • Безопасность на основе виртуализации. Защищенный контейнер Hyper-V, который изолирует критически важные процессы Windows 10. Это усложняет возможность взлома вредоносным ПО процессов или получение данных, необходимых для атаки, даже если ядро Windows 10 взломано. Эта служба работает с сигнатурами, разрешенными в политике целостности кода вашей организации, определяя, что является доверенным.
      Важно Чтобы использовать безопасность на основе виртуализации, необходимо включить расширения виртуализации.
    • Средство Package inspector. Средство, позволяющее создавать каталог файлов, подпись которых необходима для работы классических приложений для Windows, чтобы приложения могли быть без труда подписаны доверенным источником.
    Действия перед использованием Device Guard в вашей организации

    Прежде чем начать использовать Device Guard, необходимо настроить среду и политики.
    Подпись приложений

    Режим Device Guard поддерживает и приложения UWP, и классические приложения для Windows. Доверие между Device Guard и вашими приложениями устанавливается, когда ваши приложения подписываются с помощью подписи, которую вы определяете как надежную. Однако подходят не все подписи.
    Подпись ставится следующим образом.
    • С помощью процедуры публикации в Магазине Windows. Все приложения в Магазине Microsoft Store автоматически подписываются с помощью специальных подписей, предоставляемых нашим или вашим собственным центром сертификации (ЦС).
    • Использование собственного цифрового сертификата или инфраструктуры открытых ключей (PKI). Поставщики услуг Интернета и организации могут сами подписывать свои классические приложения для Windows, добавляя себя в список доверенных источников.
    • С помощью заверителя подписи, отличного от Microsoft. Поставщики услуг Интернета и организации могут использовать доверенного заверителя подписи, отличного от Microsoft, чтобы подписывать собственные классические приложения для Windows.
    • С помощью веб-службы, предоставляемой Microsoft (выйдет позже в этом году). Поставщики услуг Интернета и организации смогут использовать более надежную, предоставляемую корпорацией Microsoft веб-службу для подписания своих классических приложений для Windows.
    Политика целостности кода

    Прежде чем использовать защиту приложений в Device Guard, необходимо создать политику целостности кода с помощью средств, предоставленных корпорацией Microsoft, но развернутых с помощью имеющихся средств управления, например групповой политики. Политика целостности кода — это XML-документ в двоичной кодировке, который включает параметры конфигурации для пользовательского режима и режима ядра ОС Windows 10 вместе с ограничениями средства обработки сценариев Windows 10. Эта политика определяет, какой код может выполняться на устройстве.
    Для использования функции Device Guard на устройствах следует всего лишь предварительно настроить целостность кода, если соответствующие параметры предоставлены клиентом в соответствующем образе.
    Примечание Этот XML-документ может быть подписан в Windows 10, что обеспечивает дополнительную защиту от изменения или удаления этой политики пользователями с правами администратора.
    Безопасность на основе виртуализации с использованием гипервизора Windows 10

    Гипервизор Windows 10 представляет новые возможности, основанные на уровнях виртуального доверия, которые позволяют службам Windows 10 работать в защищенной среде, изолированной от операционной системы. Безопасность на основе виртуализации в Windows 10 защищает целостность кода ядра и обеспечивает изоляцию учетных данных для локальной системы безопасности (LSA). Возможность выполнения службы целостности кода ядра в качестве службы, размещенной в гипервизоре, повышает уровень безопасности корневой операционной системы, обеспечивая дополнительную защиту от любого вредоносного ПО, нацеленного на взлом уровня ядра.
    Важно Устройства Device Guard, поддерживающие целостность ядра с безопасностью на основе виртуализации, должны иметь совместимые драйверы (устаревшие драйверы можно обновить), а все возможности виртуализации должны быть включены. Сюда входит поддержка расширений виртуализации и модуля IOMMU.
    Обзор Device Guard (Preliminary)
     
    Petrovic, 7 авг 2015
    #1

Поделиться этой страницей