Contrôle d’application Windows Defender et protection basée sur la virtualisation d’intégrité du code

Windows inclut un ensemble de technologies matérielles et de système d’exploitation qui, lorsqu’elles sont configurées ensemble, permettent aux entreprises de « verrouiller » les systèmes Windows afin qu’ils se comportent davantage comme des appareils kiosque. Dans cette configuration, Windows Defender Contrôle d’application (WDAC) est utilisé pour limiter les appareils à exécuter uniquement des applications approuvées, tandis que le système d’exploitation est renforcé contre les attaques de mémoire du noyau à l’aide de l’intégrité de la mémoire.

Remarque

L’intégrité de la mémoire est parfois appelée intégrité du code protégé par l’hyperviseur (HVCI) ou intégrité du code appliquée à l’hyperviseur, et a été initialement publiée dans le cadre de Device Guard. Device Guard n’est plus utilisé, sauf pour localiser l’intégrité de la mémoire et les paramètres VBS dans stratégie de groupe ou le Registre Windows.

Les stratégies WDAC et l’intégrité de la mémoire sont des protections puissantes qui peuvent être utilisées séparément. Toutefois, lorsque ces deux technologies sont configurées pour fonctionner ensemble, elles présentent une forte capacité de protection pour les appareils Windows. L’utilisation de WDAC pour limiter les appareils aux applications autorisées présente les avantages suivants par rapport aux autres solutions :

  1. Le noyau Windows gère l’application de la stratégie WDAC et ne nécessite aucun autre service ou agent.
  2. La stratégie WDAC prend effet au début de la séquence de démarrage avant presque tout le code du système d’exploitation et avant l’exécution des solutions antivirus traditionnelles.
  3. WDAC vous permet de définir une stratégie de contrôle d’application pour tout code qui s’exécute sur Windows, y compris les pilotes en mode noyau et même le code qui s’exécute dans le cadre de Windows.
  4. Les clients peuvent protéger la stratégie WDAC même contre la falsification de l’administrateur local en signant numériquement la stratégie. La modification de la stratégie signée nécessite à la fois des privilèges d’administration et un accès au processus de signature numérique de l’organization. L’utilisation de stratégies signées rend difficile pour un attaquant, y compris un attaquant qui parvient à obtenir des privilèges d’administration, à falsifier la stratégie WDAC.
  5. Vous pouvez protéger l’ensemble du mécanisme d’application WDAC avec l’intégrité de la mémoire. Même si une vulnérabilité existe dans le code en mode noyau, l’intégrité de la mémoire réduit considérablement la probabilité qu’un attaquant puisse l’exploiter avec succès. Sans intégrité de la mémoire, un attaquant qui compromet le noyau peut normalement désactiver la plupart des défenses système, y compris les stratégies de contrôle d’application appliquées par WDAC ou toute autre solution de contrôle d’application.

Il n’existe aucune dépendance directe entre WDAC et l’intégrité de la mémoire. Vous pouvez les déployer individuellement ou ensemble et il n’existe aucun ordre dans lequel ils doivent être déployés.

L’intégrité de la mémoire s’appuie sur la sécurité basée sur la virtualisation Windows et présente des exigences de compatibilité matérielle, microprogramme et pilote de noyau que certains systèmes plus anciens ne peuvent pas respecter.

WDAC n’a pas de configuration matérielle ou logicielle spécifique.