Certificação e conformidade com o Device Guard

  • Artigo

O Device Guard é uma combinação de hardware e de recursos de segurança de software que, quando configurados juntos, bloquearão um dispositivo para que ele possa somente executar aplicativos confiáveis. Se o aplicativo não for confiável, ele não será executado. E ponto final. Isso também significa que mesmo se um invasor obtiver o controle do kernel do Windows, a probabilidade será muito menor de ele ser capaz de executar códigos mal-intencionados depois que o computador for reiniciado, devido à maneira como as decisões são tomadas sobre o que pode ser executado e quando.

O Device Guard usa a nova segurança com base em virtualização no Windows 10 para isolar o serviço de integridade do código do próprio kernel do Windows, permitindo que o serviço use assinaturas definidas por sua política empresarial controlada para ajudar a determinar o que é confiável. Na verdade, o serviço de Integridade do Código é executado junto com o kernel em um contêiner protegido pelo hipervisor do Windows.

Para obter detalhes sobre como implementar o Device Guard, consulte o Guia de implantação do Device Guard.

Por que usar o Device Guard?

Com milhares de novos arquivos mal-intencionados criados todos os dias, o uso dos métodos tradicionais, como detecção com base em assinaturas para combater malwares, oferece uma defesa inadequada contra novos ataques. O Device Guard no Windows 10 muda de um modo em que os aplicativos são considerados confiáveis, a não ser que sejam bloqueados pelo antivírus ou por outras soluções de segurança, para um modo em que o sistema operacional confie apenas em aplicativos autorizados por sua empresa.

O Device Guard também ajuda a proteger contra ataques do dia zero e funciona para combater os desafios de vírus polimórficos.

Vantagens de usar o Device Guard

Você pode tirar proveito dos benefícios do Device Guard, com base no que ativar e usar:

  • Ajuda a fornecer forte proteção contra malwares, com capacidade de gerenciamento empresarial
  • Ajuda a fornecer a mais avançada proteção contra malwares já oferecida na plataforma do Windows
  • Oferece melhor resistência contra adulterações

Como o Device Guard funciona

O Device Guard restringe o sistema operacional Windows 10 a executar apenas os códigos assinados por signatários confiáveis, conforme definido por sua política Integridade do Código por meio de configurações de hardware e de segurança específicas, incluindo:

  • UMCI (integridade de código do modo de usuário)

  • Novas regras de integridade do código do kernel (incluindo as novas restrições de assinatura WHQL (Windows Hardware Quality Labs))

  • Inicialização Segura com restrições do banco de dados (db/dbx)

  • Segurança baseada em virtualização para ajudar a proteger drivers e aplicativos do modo kernel e a memória do sistema contra possíveis adulterações.

  • Opcional: TPM (Trusted Platform Module) 1.2 ou 2.0

O Device Guard funciona com seu processo de criação de imagens, portanto você pode ativar o recurso de segurança com base em virtualização para dispositivos compatíveis, configurar a política Integridade do Código e definir outras configurações do sistema operacional que necessitar para o Windows 10. Depois disso, o Device Guard funcionará para ajudar a proteger seus dispositivos:

  1. O dispositivo é iniciado usando a inicialização segura UEFI (Universal Extensible Firmware Interface), para que kits de inicialização não possam ser executados e para que o Windows 10 seja iniciado antes de outros componentes.

  2. Depois de iniciar com segurança os componentes de inicialização do Windows, o Windows 10 pode iniciar os serviços de segurança com base em virtualização Hyper-V, incluindo a Integridade de Código do modo kernel. Esses serviços ajudam a proteger o núcleo do sistema (kernel), os drivers privilegiados e as defesas do sistema, como soluções antimalware, impedindo a execução de malware no início do processo de inicialização ou no kernel, após a inicialização.

  3. O Device Guard usa a UMCI para garantir que tudo que seja executado no modo de usuário, como um serviço, um aplicativo UWP (Plataforma Universal do Windows) ou um aplicativo clássico do Windows seja confiável, permitindo que somente binários confiáveis sejam executados.

  4. O Windows 10 e o TPM (Trusted Platform Module) são iniciados juntos. O TPM fornece um componente de hardware isolado que ajuda a proteger informações confidenciais, como credenciais e certificados do usuário.

Requisitos de hardware e software

A tabela a seguir mostra o hardware e o software que devem ser instalados e configurados para implementar o Device Guard.

Requisito Descrição

Windows 10 Enterprise

O computador deve executar o Windows 10 Enterprise.

Firmware UEFI versão 2.3.1 ou superior e Inicialização Segura

Para verificar se o firmware está usando UEFI versão 2.3.1 ou superior e Inicialização Segura, você pode validá-lo em relação ao requisito do Programa de Compatibilidade de Hardware do Windows System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby.

Extensões de virtualização

As seguintes extensões de virtualização são necessárias para dar suporte à segurança baseada em virtualização:

  • Intel VT-x ou AMD-V
  • Conversão de Endereços de Segundo Nível

Bloqueio de firmware

A configuração de firmware deve ser bloqueada para impedir a inicialização de outros sistemas operacionais e alterações nas configurações de UEFI. Você também deve desabilitar métodos de inicialização que não sejam do disco rígido.

Arquitetura x64

Os recursos usados pela segurança baseada em virtualização no hipervisor do Windows podem ser executados apenas em um computador de 64 bits.

Um VT-d ou AMD Vi IOMMU (Unidade de gerenciamento de memória de entrada/saída)

No Windows 10, uma IOMMU aprimora a resiliência do sistema contra ataques à memória. ¹

Processo de atualização de firmware seguro

Para verificar se o firmware está em conformidade com o processo de atualização de firmware seguro, você pode validá-lo em relação ao requisito do Programa de Compatibilidade de Hardware do Windows System.Fundamentals.Firmware.UEFISecureBoot.

 

Tópicos relacionados

Baixando aplicativos para executar em dispositivos protegidos pelo Device Guard

Criar uma política de integridade de código do Device Guard com base em um dispositivo de referência