Обзор Device Guard
Device Guard — сочетание корпоративных функций безопасности оборудования и программного обеспечения, которые можно настроить для блокировки устройства, чтобы на нем запускались только доверенные приложения. Если приложение не является доверенным, оно не будет работать ни при каких условиях. Это также означает, что даже если злоумышленник получит контроль над ядром Windows, он с гораздо меньшей вероятностью сможет запустить вредоносный код после перезапуска компьютера вследствие метода принятия решений о том, что и когда может запускаться.
В Windows 10 Корпоративная Device Guard задействует новые меры безопасности на основе виртуализации для изоляции службы целостности кода от самого ядра Microsoft Windows, что позволяет службе использовать сигнатуры, определенные корпоративной политикой для определения надежных объектов. По существу служба целостности кода работает вместе с ядром в контейнере Windows, защищенном гипервизором.
Дополнительные сведения о внедрении Device Guard см. в статье Руководство по развертыванию Device Guard.
Зачем использовать Device Guard
Ежедневно создаются тысячи новых вредоносных файлов, поэтому использование традиционных методов, таких как определение вредоносного кода на основе сигнатур с его последующим устранением, не обеспечивает достаточной защиты от новых атак. Device Guard в Windows 10 Корпоративная можно переключать между режимом, при котором приложения являются доверенными, если только не блокируются антивирусом или другими решениями безопасности, и режимом, при котором операционная система доверяет только тем приложениям, одобренным вашей организацией.
Device Guard также позволяет защититься от атак нулевого дня и противодействовать полиморфным вирусам.
Преимущества использования Device Guard
В зависимости от включенных и используемых функций Device Guard предоставляет следующие преимущества:
- Обеспечивает максимальную защиту от вредоносных программ с возможностью управления на корпоративном уровне
- Обеспечивает самую совершенную на сегодняшний день защиту от вредоносных программ для платформы Windows
- Предоставляет улучшенную защиту от взлома
Как работает Device Guard
Device Guard позволяет операционной системе Windows 10 Корпоративная запускать только код, подписанный доверенными источниками, в соответствии с вашей политикой целостности кода при помощи определенных конфигураций оборудования и безопасности, включая:
целостность кода пользовательского режима (UMCI);
новые правила целостности кода ядра, в том числе новые ограничения подписей, установленные лабораториями WHQL;
безопасную загрузку с ограничениями базы данных (db/dbx);
безопасность на основе виртуализации для защиты системной памяти, а также приложений и драйверов на основе ядра от возможного взлома;
дополнительно: доверенный платформенный модуль (TPM) 1.2 или 2.0.
Device Guard поддерживает процесс создания образов, поэтому вы можете включить функцию безопасности на основе виртуализации для всех поддерживающих эту технологию устройств, настроить политику целостности кода и определить любые другие параметры операционной системы, требуемые для Windows 10 Корпоративная. После этого Device Guard выполняет действия, необходимые для защиты ваших устройств.
Устройство запускается с использованием безопасной загрузки UEFI, поэтому программы типа boot kit (буткит) не могут запускаться и первой загружается ОС Windows 10 Корпоративная.
После безопасного запуска своих компонентов операционная система Windows 10 Корпоративная может запустить службы безопасности на основе виртуализации Hyper-V, включая целостность кода режима ядра. Эти службы обеспечивают защиту ядра системы, привилегированных драйверов и средств системной защиты, таких как решения по устранению вредоносных программ, не позволяя вредоносному коду запускаться на ранних этапах загрузки или в режиме ядра после запуска.
Device Guard использует UMCI, поэтому все, что запускается в пользовательском режиме, будь то службы, приложение универсальной платформы Windows (UWP) или классическое приложение для Windows, является доверенным, то есть запускаются только доверенные двоичные файлы.
Одновременно с запуском Windows 10 Корпоративная запускается и доверенный платформенный модуль (TPM). TPM предоставляет изолированный аппаратный компонент, который позволяет защитить конфиденциальные данные, такие как пользовательские учетные данные и сертификаты.
Требуемое оборудование и программное обеспечение
В следующей таблице показано, какое аппаратное и программное обеспечение нужно установить и настроить перед внедрением Device Guard.
| Требование | Описание |
|---|---|
Windows 10 Корпоративная |
Компьютер должен работать под управлением ОС Windows 10 Корпоративная. |
Микропрограммное обеспечение UEFI версии 2.3.1 или старше и поддержка безопасной загрузки |
Чтобы убедиться, что микропрограммное обеспечение использует UEFI 2.3.1 или более поздней версии и безопасную загрузку, можно выполнить проверку на соответствие требованиям Программы совместимости оборудования для Windows, воспользовавшись следующей ссылкой: System.Fundamentals.Firmware.CS.UE FISecureBoot.ConnectedStandby. |
Расширения виртуализации |
Для поддержки механизма обеспечения безопасности на основе виртуализации необходимы следующие расширения виртуализации:
|
Блокировка встроенного ПО. |
Необходимо заблокировать настройку встроенного ПО, чтобы не допустить запуска других операционных систем и внесения изменений в параметры UEFI. Кроме того, необходимо заблокировать все остальные методы загрузки, кроме загрузки с жесткого диска. |
64-разрядная (64) архитектура |
Функции, которые механизм обеспечения безопасности на основе виртуализации использует в низкоуровневой оболочке Windows, могут работать только в 64-разрядных архитектурах. |
Модуль IOMMU (модуль управления памятью для операций ввода-вывода) VT-d или AMD-Vi |
В Windows 10 модуль IOMMU повышает устойчивость системы к атакам на память. ¹ |
Процесс безопасного обновления встроенного ПО |
Чтобы убедиться, что встроенное ПО поддерживает процесс безопасного обновления, его можно проверить на соответствие требованиям программы совместимости оборудования для Windows, воспользовавшись следующим: System.Fundamentals.Firmware.UEFISecureBoot. |
Действия перед использованием Device Guard в вашей организации
Прежде чем начать использовать Device Guard, необходимо настроить среду и политики.
Подпись приложений
Режим Device Guard поддерживает и приложения UWP, и классические приложения для Windows. Доверие между Device Guard и вашими приложениями устанавливается, когда ваши приложения подписываются с помощью подписи, которую вы определяете как надежную. Однако подходят не все подписи.
Подпись ставится следующим образом.
С помощью процедуры публикации в Магазине Windows. Все приложения в Магазине Microsoft Store автоматически подписываются с помощью специальных подписей, предоставляемых нашим или вашим собственным центром сертификации (ЦС).
Использование собственного цифрового сертификата или инфраструктуры открытых ключей (PKI). Поставщики услуг Интернета и организации могут сами подписывать свои классические приложения для Windows, добавляя себя в список доверенных источников.
С помощью заверителя подписи, отличного от Microsoft. Поставщики услуг Интернета и организации могут использовать доверенного заверителя подписи, отличного от Microsoft, чтобы подписывать собственные классические приложения для Windows.
С помощью веб-службы, предоставляемой Microsoft (выйдет позже в этом году). Поставщики услуг Интернета и организации смогут использовать более надежную, предоставляемую корпорацией Microsoft, веб-службу для подписания своих классических приложений для Windows.
Политика целостности кода
Прежде чем использовать защиту приложений в Device Guard, необходимо создать политику целостности кода с помощью средств, предоставленных корпорацией Microsoft, но развернутых с помощью имеющихся средств управления, например групповой политики. Политика целостности кода — это XML-документ в двоичной кодировке, который содержит параметры конфигурации для пользовательского режима и режима ядра Windows 10 Корпоративная вместе с ограничениями средства обработки сценариев Windows 10. Эта политика определяет, какой код может быть выполнен на устройстве.
Для использования функции Device Guard на устройствах следует всего лишь предварительно настроить целостность кода, если соответствующие параметры предоставлены клиентом в соответствующем образе.
Примечание Этот XML-документ может быть подписан в Windows 10 Корпоративная, что обеспечивает дополнительную защиту от изменения или удаления данной политики пользователями с правами администратора.
Безопасность на основе виртуализации с использованием гипервизора Windows 10 Корпоративная
Гипервизор Windows 10 Корпоративная предоставляет новые возможности, основанные на виртуальных уровнях доверия, обеспечивающих работу служб Windows 10 Корпоративная в защищенной среде, изолированной от операционной системы. Безопасность на основе виртуализации в Windows 10 Корпоративная защищает целостность кода ядра и изолирует учетные данные для локальной системы безопасности (LSA). Возможность выполнения службы целостности кода ядра в качестве службы, размещенной в гипервизоре, повышает уровень безопасности корневой операционной системы, обеспечивая дополнительную защиту от любого вредоносного ПО, нацеленного на взлом уровня ядра.
Важно Устройства Device Guard, поддерживающие целостность ядра с безопасностью на основе виртуализации, должны иметь совместимые драйверы (устаревшие драйверы можно обновить), а все возможности виртуализации должны быть включены. Сюда входит поддержка расширений виртуализации и модуля IOMMU.