Control de aplicaciones de Windows Defender y protección basada en la virtualización de la integridad del código

Windows incluye un conjunto de tecnologías de hardware y sistema operativo que, cuando se configuran juntos, permiten a las empresas "bloquear" los sistemas Windows para que se comporten más como dispositivos de pantalla completa. En esta configuración, Windows Defender Control de aplicaciones (WDAC) se usa para restringir que los dispositivos solo ejecuten aplicaciones aprobadas, mientras que el sistema operativo se protege frente a ataques de memoria del kernel mediante la integridad de la memoria.

Nota

La integridad de memoria a veces se conoce como integridad de código protegida por hipervisor (HVCI) o integridad de código aplicado por hipervisor, y se publicó originalmente como parte de Device Guard. Device Guard ya no se usa excepto para buscar la integridad de la memoria y la configuración de VBS en directiva de grupo o en el Registro de Windows.

Las directivas WDAC y la integridad de la memoria son protecciones eficaces que se pueden usar por separado. Sin embargo, cuando estas dos tecnologías están configuradas para funcionar conjuntamente, presentan una fuerte capacidad de protección para dispositivos Windows. El uso de WDAC para restringir los dispositivos solo a aplicaciones autorizadas tiene estas ventajas sobre otras soluciones:

  1. El kernel de Windows controla la aplicación de la directiva WDAC y no requiere otros servicios ni agentes.
  2. La directiva WDAC surte efecto al principio de la secuencia de arranque antes que casi todo el resto del código del sistema operativo y antes de que se ejecuten las soluciones antivirus tradicionales.
  3. WDAC permite establecer la directiva de control de aplicaciones para cualquier código que se ejecute en Windows, incluidos los controladores de modo kernel e incluso el código que se ejecuta como parte de Windows.
  4. Los clientes pueden proteger la directiva WDAC incluso contra la manipulación del administrador local mediante la firma digital de la directiva. El cambio de la directiva firmada requiere privilegios administrativos y acceso al proceso de firma digital de la organización. El uso de directivas firmadas dificulta que un atacante, incluido el que administra la obtención de privilegios administrativos, altere la directiva WDAC.
  5. Puede proteger todo el mecanismo de cumplimiento wdac con integridad de memoria. Incluso si existe una vulnerabilidad en el código en modo kernel, la integridad de la memoria reduce en gran medida la probabilidad de que un atacante pueda aprovecharla correctamente. Sin integridad de memoria, un atacante que pone en peligro el kernel podría deshabilitar normalmente la mayoría de las defensas del sistema, incluidas las directivas de control de aplicaciones aplicadas por WDAC o cualquier otra solución de control de aplicaciones.

No hay dependencias directas entre WDAC y la integridad de la memoria. Puede implementarlos individualmente o juntos y no hay ningún orden en el que se deban implementar.

La integridad de la memoria se basa en la seguridad basada en la virtualización de Windows y tiene requisitos de compatibilidad de hardware, firmware y controladores de kernel que algunos sistemas anteriores no pueden cumplir.

WDAC no tiene requisitos específicos de hardware o software.