Device Guard-Zertifizierung und -Compliance

  • Artikel

Bei Device Guard handelt es sich um eine Kombination aus Hardware- und Softwaresicherheitsfeatures, mit denen ein Gerät bei der gemeinsamen Konfiguration gesperrt wird, damit darauf nur vertrauenswürdige Anwendungen ausgeführt werden können. Wenn die App nicht vertrauenswürdig ist, kann sie nicht ausgeführt werden. Punkt. Außerdem bedeutet dies, dass Angreifer auch nach dem Übernehmen der Kontrolle über den Windows-Kernel deutlich weniger Chancen erhalten, nach dem Neustart des Computers schädlichen ausführbaren Code auszuführen. Dies liegt daran, wie die Entscheidung getroffen wird, was ausgeführt werden darf und wann dies möglich ist.

Für Device Guard wird die neue auf Virtualisierung basierende Sicherheit in Windows 10 genutzt, bei der der Codeintegritätsdienst vom eigentlichen Windows-Kernel isoliert wird. Für den Dienst können dann Signaturen verwendet werden, die über Ihre vom Unternehmen gesteuerte Richtlinie festgelegt werden, um ermitteln zu können, was als vertrauenswürdig angesehen wird. Der Codeintegritätsdienst wird praktisch parallel zum Kernel in einem per Windows-Hypervisor geschützten Container ausgeführt.

Ausführliche Informationen zur Implementierung von Device Guard finden Sie unter Device Guard-Bereitstellungshandbuch.

Gründe für die Verwendung von Device Guard

Da jeden Tag Tausende neue Schadcodedateien erstellt werden, stellen herkömmliche Verfahren, beispielsweise die signaturbasierte Erkennung im Kampf gegen Schadsoftware, nur eine unzureichende Verteidigung gegen neue Angriffe dar. Mit Device Guard unter Windows 10 erfolgt der Wechsel von einem Modus, in dem Apps als vertrauenswürdig gelten, sofern sie nicht von einer Antivirensoftware oder anderen Sicherheitslösung blockiert werden, zu einem Modus, in dem das Betriebssystem nur diejenigen Apps als vertrauenswürdig ansieht, die von Ihrem Unternehmen genehmigt wurden.

Device Guard schützt auch vor Zero-Day-Angriffen und ist zur Bekämpfung von polymorphen Viren geeignet.

Vorteile der Nutzung von Device Guard

Sie können die Vorteile von Device Guard einsetzen. Dies richtet sich danach, was Sie jeweils aktivieren und nutzen:

  • Starker Schutz vor Schadsoftware mit guter Verwaltbarkeit für Unternehmen
  • Fortschrittlichster Schutz einer Windows-Plattform vor Schadsoftware
  • Verbesserter Schutz vor Manipulation

Funktionsweise von Device Guard

Mit Device Guard wird das Betriebssystem Windows 10 nur auf die Ausführung des Codes beschränkt, der von vertrauenswürdigen Signaturgebern signiert wurde. Dies wird mit Ihrer Codeintegritätsrichtlinie über spezielle Hardware- und Sicherheitskonfigurationen gesteuert, z. B.:

  • Benutzermodus-Codeintegrität (User Mode Code Integrity, UMCI)

  • Neue Signierungseinschränkungen für die Kernelcodeintegritäts-Regeln (einschließlich der neuen Windows Hardware Quality Labs (WHQL))

  • Sicherer Start mit Datenbankeinschränkungen (db/dbx)

  • Auf Virtualisierung basierende Sicherheitsfunktionen, um Systemspeicher- und Kernelmodus-Apps und -Treiber vor potenziellen Manipulationen zu schützen.

  • Optional: Trusted Platform Module (TPM) 1.2 oder 2.0

Device Guard ist mit Ihrem Prozess für die Erstellung von Images verknüpft. Sie können das auf Virtualisierung basierende Sicherheitsfeature für geeignete Geräte aktivieren, Ihre Codeintegritätsrichtlinie konfigurieren und alle anderen Betriebssystemeinstellungen vornehmen, die Sie für Windows 10 benötigen. Danach trägt Device Guard zum Schutz Ihrer Geräte bei:

  1. Ihr Gerät wird über die Funktion „Sicherer Start“ der Universal Extensible Firmware Interface (UEFI) gestartet, damit Boot Kits nicht ausgeführt werden können und Windows 10 immer zuerst gestartet wird.

  2. Nach dem sicheren Starten der Windows-Startkomponenten kann Windows 10 die auf Virtualisierung basierenden Hyper-V-Sicherheitsdienste starten, z. B. die Kernelmodus-Codeintegrität. Diese Dienste dienen dem Schutz des Systemkerns (Kernel), der privilegierten Treiber und der Verteidigungseinrichtungen des Systems, z. B. Antischadsoftware, indem die Ausführung von Schadsoftware zu einem frühen Zeitpunkt des Startprozesses oder im Kernel nach dem Start verhindert wird.

  3. Für Device Guard wird die UMCI verwendet, um sicherzustellen, dass alle Prozesse, die im Benutzermodus ausgeführt werden, z. B. ein Dienst, eine App der universellen Windows-Plattform (UWP) oder eine klassische Windows-Desktopanwendung, vertrauenswürdig sind, sodass nur vertrauenswürdige Binärdateien ausgeführt werden können.

  4. Das Trusted Platform Module (TPM) wird gleichzeitig mit Windows 10 gestartet. Per TPM wird eine isolierte Hardwarekomponente bereitgestellt, um vertrauliche Informationen zu schützen, z. B. Benutzeranmeldeinformationen und Zertifikate.

Erforderliche Hardware und Software

Die folgende Tabelle zeigt die Hardware und Software, die Sie installieren und konfigurieren müssen, um DeviceGuard implementieren zu können.

Anforderung Beschreibung

Windows 10 Enterprise

Auf dem PC muss Windows 10 Enterprise ausgeführt werden.

UEFI Firmware Version 2.3.1 oder höher sowie „Sicherer Start”

Um sicherzustellen, dass die Firmware UEFI Version 2.3.1 oder höher und den sicherer Start verwendet, können Sie sie mit der Windows-Hardwarekompatibilitätsprogramm-Anforderung System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby überprüfen.

Virtualisierungserweiterungen

Die folgenden Virtualisierungserweiterungen sind zur Unterstützung der virtualisierungsbasierten Sicherheit nötig:

  • Intel VT-x oder AMD-V
  • Adressübersetzung der zweiten Ebene

Firmwaresperre

Die Firmwareeinrichtung muss gesperrt sein, damit andere Betriebssysteme nicht gestartet werden und keine Änderungen an den UEFI-Einstellungen vorgenommen werden. Sie sollten auch andere Startmethoden als die von der Festplatte deaktivieren.

x64-Architektur

Die Features, die die virtualisierungsbasierte Sicherheit im Windows-Hypervisor verwendet, können nur auf einem 64-Bit-PC ausgeführt werden.

Eine VT-d- oder AMD Vi IOMMU (Input/Output Memory Management Unit, Speicherverwaltungseinheit für die Ein-/Ausgabe)

In Windows 10 verbessert eine IOMMU die Systemresilienz gegenüber Angriffen auf den Arbeitsspeicher. ¹

Prozess für ein sicheres Firmwareupdate

Um sicherzustellen, dass die Firmware dem sicheren Firmwareupdateprozess entspricht, können Sie sie mit der Windows-Hardwarekompatibilitätsprogramm-Anforderung System.Fundamentals.Firmware.UEFISecureBoot überprüfen.

 

Verwandte Themen

Abrufen von Apps zum Ausführen auf von mit Device Guard geschützten Geräten

Erstellen einer Richtlinie für die Device Guard-Codeintegrität auf Grundlage eines Referenzgeräts