Visão geral do Device Guard
O Device Guard é uma combinação de hardware e de recursos de segurança de software relacionados a empresas que, quando configurados juntos, bloquearão um dispositivo para que ele possa somente executar aplicativos confiáveis. Se o aplicativo não for confiável, ele não será executado. E ponto final. Isso também significa que mesmo se um invasor obtiver o controle do kernel do Windows, a probabilidade será muito menor de ele ser capaz de executar códigos mal-intencionados depois que o computador for reiniciado, devido à maneira como as decisões são tomadas sobre o que pode ser executado e quando.
O Device Guard usa a nova segurança com base em virtualização no Windows 10 Enterprise para isolar o serviço de integridade do código do próprio kernel do Microsoft Windows, permitindo que o serviço use assinaturas definidas por sua política empresarial controlada para ajudar a determinar o que é confiável. Na verdade, o serviço de Integridade do Código é executado junto com o kernel em um contêiner protegido pelo hipervisor do Windows.
Para obter detalhes sobre como implementar o Device Guard, consulte o Guia de implantação do Device Guard.
Por que usar o Device Guard?
Com milhares de novos arquivos mal-intencionados criados todos os dias, o uso dos métodos tradicionais, como detecção com base em assinaturas para combater malwares, oferece uma defesa inadequada contra novos ataques. O Device Guard no Windows 10 Enterprise muda de um modo em que os aplicativos são considerados confiáveis, a não ser que sejam bloqueados pelo antivírus ou por outras soluções de segurança, para um modo em que o sistema operacional confie apenas em aplicativos autorizados por sua empresa.
O Device Guard também ajuda a proteger contra ataques do dia zero e funciona para combater os desafios de vírus polimórficos.
Vantagens de usar o Device Guard
Você pode tirar proveito dos benefícios do Device Guard, com base no que ativar e usar:
- Ajuda a fornecer forte proteção contra malwares, com capacidade de gerenciamento empresarial
- Ajuda a fornecer a mais avançada proteção contra malwares já oferecida na plataforma do Windows
- Oferece melhor resistência contra adulterações
Como o Device Guard funciona
O Device Guard restringe o sistema operacional Windows 10 Enterprise a executar apenas os códigos assinados por signatários confiáveis, conforme definido por sua política Integridade do Código por meio de configurações de hardware e de segurança específicas, incluindo:
UMCI (integridade de código do modo de usuário)
Novas regras de integridade do código do kernel (incluindo as novas restrições de assinatura WHQL (Windows Hardware Quality Labs))
Inicialização Segura com restrições do banco de dados (db/dbx)
A segurança baseada em virtualização para ajudar a proteger drivers e aplicativos do modo kernel e a memória do sistema contra possíveis adulterações.
Opcional: TPM (Trusted Platform Module) 1.2 ou 2.0
O Device Guard funciona com seu processo de criação de imagens. Portanto, você pode ativar o recurso de segurança com base em virtualização para dispositivos compatíveis, configurar a política de integridade de código e definir outras configurações do sistema operacional necessárias para o Windows 10 Enterprise. Depois disso, o Device Guard funcionará para ajudar a proteger seus dispositivos:
O dispositivo é iniciado usando a inicialização segura UEFI (Universal Extensible Firmware Interface), para que kits de inicialização não possam ser executados e para que o Windows 10 Enterprise seja iniciado antes de outros componentes.
Depois de iniciar com segurança os componentes de inicialização do Windows, o Windows 10 Enterprise pode iniciar os serviços de segurança com base em virtualização Hyper-V, incluindo a Integridade de Código do modo kernel. Esses serviços ajudam a proteger o núcleo do sistema (kernel), os drivers privilegiados e as defesas do sistema, como soluções antimalware, impedindo a execução de malware no início do processo de inicialização ou no kernel, após a inicialização.
O Device Guard usa a UMCI para garantir que tudo que seja executado no modo de usuário, como um serviço, um aplicativo UWP (Plataforma Universal do Windows) ou um aplicativo clássico do Windows seja confiável, permitindo que somente binários confiáveis sejam executados.
O Windows 10 Enterprise e o TPM (Trusted Platform Module) são iniciados ao mesmo tempo. O TPM fornece um componente de hardware isolado que ajuda a proteger informações confidenciais, como credenciais e certificados do usuário.
Requisitos de hardware e software
A tabela a seguir mostra o hardware e o software que devem ser instalados e configurados para implementar o Device Guard.
| Requisito | Descrição |
|---|---|
Windows 10 Enterprise |
O computador deve executar o Windows 10 Enterprise. |
Firmware UEFI versão 2.3.1 ou superior e Inicialização Segura |
Para verificar se o firmware está usando UEFI versão 2.3.1 ou superior e Inicialização Segura, você pode validá-lo em relação ao requisito do Programa de Compatibilidade de Hardware do Windows System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby. |
Extensões de virtualização |
As seguintes extensões de virtualização são necessárias para dar suporte à segurança baseada em virtualização:
|
Bloqueio de firmware |
A configuração de firmware deve ser bloqueada para impedir a inicialização de outros sistemas operacionais e alterações nas configurações de UEFI. Você também deve desabilitar métodos de inicialização que não sejam do disco rígido. |
Arquitetura x64 |
Os recursos usados pela segurança baseada em virtualização no hipervisor do Windows podem ser executados apenas em um computador de 64 bits. |
Um VT-d ou AMD Vi IOMMU (Unidade de gerenciamento de memória de entrada/saída) |
No Windows 10, uma IOMMU aprimora a resiliência do sistema contra ataques de memória. ¹ |
Processo de atualização de firmware seguro |
Para verificar se o firmware está em conformidade com o processo de atualização de firmware seguro, você pode validá-lo em relação ao requisito do Programa de Compatibilidade de Hardware do Windows System.Fundamentals.Firmware.UEFISecureBoot. |
Antes de usar o Device Guard em sua empresa
Antes que você possa usar o Device Guard com êxito, você deve configurar seu ambiente e suas políticas.
Assinaturas de seus aplicativos
O modo Device Guard dá suporte a aplicativos UWP e a aplicativos clássicos do Windows. A confiança entre o Device Guard e seus aplicativos acontece quando seus aplicativos são assinados com uma assinatura que você determina como confiável. Não é qualquer assinatura que funcionará.
Essa assinatura pode acontecer das seguintes maneiras:
Usando-se o processo de publicação da Windows Store. Todos os aplicativos que vêm da Microsoft Store são assinados automaticamente com assinaturas especiais que podem ser reunidas às de nossa autoridade de certificação (AC) ou sua própria assinatura.
Usando-se seu próprio certificado digital ou sua infraestrutura de chave pública (PKI). ISVs e empresas podem assinar seus próprios aplicativos clássicos do Windows, adicionando-se à lista de signatários confiáveis.
Usando-se uma autoridade de assinatura que não seja da Microsoft. ISVs e empresas podem usar uma autoridade de assinatura confiável que não seja da Microsoft para assinar todos os seus próprios aplicativos clássicos do Windows.
Usando-se um serviço Web fornecido pela Microsoft (a ser lançado posteriormente neste ano). ISVs e empresas poderão usar um serviço Web mais seguro fornecido pela Microsoft para assinar seus aplicativos clássicos do Windows.
Política Integridade do Código
Antes de poder usar a proteção de aplicativo incluída no Device Guard, você deve criar uma política Integridade do Código usando as ferramentas fornecidas pela Microsoft, mas implantá-la usando suas ferramentas de gerenciamento atuais, como a Política de Grupo. A política Integridade do Código é um documento XML com código binário que inclui definições de configuração para o usuário e para os modos do Kernel do Windows 10 Enterprise, juntamente com restrições nos hosts de script do Windows 10. Esta política restringe qual código pode ser executado em um dispositivo.
Para o recurso de Device Guard, os dispositivos devem ter apenas a Integridade do Código pré-configurada se as configurações forem fornecidas por uma imagem providenciada pelo cliente.
Observação Esse documento XML pode ser assinado no Windows 10 Enterprise, ajudando a adicionar proteção extra contra usuários administrativos que alterem ou removam essa política.
Segurança com base em virtualização usando o hipervisor do Windows 10 Enterprise
O hipervisor do Windows 10 Enterprise apresenta novos recursos sobre os níveis de confiança virtual, que ajuda os serviços do Windows 10 Enterprise a serem executados em um ambiente protegido, isolados do sistema operacional em execução. A segurança com base em virtualização do Windows 10 Enterprise ajuda a proteger a integridade do código do kernel e a fornecer isolamento de credenciais para a autoridade de segurança local (LSA). Permitir que o serviço de Integridade do Código do Kernel seja executado como um serviço hospedado do hipervisor aumenta o nível de proteção ao redor do sistema operacional raiz, adicionando proteções extras contra malwares que comprometem a camada do kernel.
Importante Os dispositivos Device Guard que executam a Integridade do Código do Kernel com segurança com base em virtualização devem ter drivers compatíveis (drivers herdados podem ser atualizados) e todos os recursos de virtualização ativados. Isso inclui suporte a extensões de virtualização a IOMMU (unidade de gerenciamento de memória de entrada/saída).