Device Guard: сертификация и обеспечение соответствия нормативным требованиям

  • Статья

Device Guard — это сочетание функций безопасности оборудования и программного обеспечения, которые можно настроить для блокировки устройства, чтобы на нем запускались только доверенные приложения. Если приложение не является доверенным, оно не будет работать ни при каких условиях. Это также означает, что даже если злоумышленник получит контроль над ядром Windows, он с гораздо меньшей вероятностью сможет запустить вредоносный код после перезапуска компьютера вследствие метода принятия решений о том, что и когда может запускаться.

В Windows 10 Device Guard задействует новые меры безопасности на основе виртуализации для изоляции службы целостности кода от самого ядра Windows, что позволяет службе использовать сигнатуры, определенные корпоративной политикой для определения надежных объектов. По существу служба целостности кода работает вместе с ядром в контейнере Windows, защищенном гипервизором.

Сведения о том, как внедрить Device Guard, см. в разделе Руководство по развертыванию Device Guard.

Зачем использовать Device Guard

Ежедневно создаются тысячи новых вредоносных файлов, поэтому использование традиционных методов, таких как определение вредоносного кода на основе сигнатур с его последующим устранением, не обеспечивает достаточной защиты от новых атак. Device Guard в Windows 10 можно переключать между режимом, при котором приложения являются доверенными, если только не блокируются антивирусом или другими решениями безопасности, и режимом, при котором операционная система доверяет только тем приложениям, которые авторизованы вашей организацией.

Device Guard также позволяет защититься от атак нулевого дня и противодействовать полиморфным вирусам.

Преимущества использования Device Guard

В зависимости от включенных и используемых функций Device Guard предоставляет следующие преимущества:

  • Обеспечивает максимальную защиту от вредоносных программ с возможностью управления на корпоративном уровне.
  • Обеспечивает самую совершенную на сегодняшний день защиту от вредоносных программ для платформы Windows
  • Предоставляет улучшенную защиту от взлома

Как работает Device Guard

Device Guard позволяет операционной системе Windows 10 запускать только код, подписанный доверенными источниками, в соответствии с вашей политикой целостности кода при помощи определенных конфигураций оборудования и безопасности, включая:

  • целостность кода пользовательского режима (UMCI);

  • новые правила целостности кода ядра, в том числе новые ограничения подписей, установленные лабораториями WHQL;

  • безопасную загрузку с ограничениями базы данных (db/dbx);

  • безопасность на основе виртуализации для защиты системной памяти, а также приложений и драйверов на основе ядра от возможного взлома;

  • дополнительно: доверенный платформенный модуль (TPM) 1.2 или 2.0.

Device Guard поддерживает процесс создания образов, поэтому вы можете включить функцию безопасности на основе виртуализации для всех поддерживающих эту технологию устройств, настроить политику целостности кода и определить любые другие параметры операционной системы, требуемые для Windows 10. После этого Device Guard выполняет действия, необходимые для защиты ваших устройств.

  1. Устройство запускается с использованием безопасной загрузки UEFI, поэтому программы типа boot kit не могут запускаться и первой загружается ОС Windows 10.

  2. После безопасного запуска своих компонентов операционная система Windows 10 может запустить службы безопасности, виртуализированный на основе Hyper-V, включая целостность кода режима ядра. Эти службы обеспечивают защиту ядра системы, привилегированных драйверов и средств системной защиты, таких как решения по устранению вредоносных программ, не позволяя вредоносному коду запускаться на ранних этапах загрузки или в режиме ядра после запуска.

  3. Device Guard использует UMCI, поэтому все, что запускается в пользовательском режиме, будь то службы, приложение универсальной платформы Windows (UWP) или классическое приложение для Windows, является доверенным, то есть запускаются только доверенные двоичные файлы.

  4. Одновременно с запуском Windows 10 запускается и доверенный платформенный модуль (TPM). TPM предоставляет изолированный аппаратный компонент, который позволяет защитить конфиденциальные данные, такие как пользовательские учетные данные и сертификаты.

Требуемое оборудование и программное обеспечение

В таблице ниже показано, какое аппаратное и программное обеспечение необходимо установить и настроить перед внедрением Device Guard.

Требование Описание

Windows 10 Корпоративная

Компьютер должен работать под управлением ОС Windows 10 Корпоративная.

Микропрограммное обеспечение UEFI версии 2.3.1 или старше и поддержка безопасной загрузки

Чтобы убедиться, что микропрограммное обеспечение использует UEFI 2.3.1 или более поздней версии и безопасную загрузку, можно выполнить проверку на соответствие требованиям Программы совместимости оборудования для Windows, воспользовавшись следующей ссылкой: System.Fundamentals.Firmware.CS.UE FISecureBoot.ConnectedStandby.

Расширения виртуализации

Для поддержки безопасности на основе виртуализации необходимы указанные ниже расширения виртуализации.

  • Intel VT-x или AMD-V
  • Преобразование адресов второго уровня

Блокировка встроенного ПО

Необходимо заблокировать возможность настройки встроенного ПО, чтобы не допустить запуска других операционных систем и внесения изменений в параметры UEFI. Кроме того, следует заблокировать все методы загрузки, кроме загрузки с жесткого диска.

Архитектура x64

Функции, которые средство обеспечения безопасности на основе виртуализации использует в низкоуровневой оболочке Windows, могут работать только на компьютерах с 64-разрядными архитектурами.

Модуль IOMMU (модуль управления памятью для операций ввода-вывода) VT-d или AMD-Vi

В Windows 10 модуль IOMMU повышает устойчивость системы к атакам на память. ¹

Процесс безопасного обновления встроенного ПО

Чтобы убедиться, что встроенное ПО поддерживает процесс безопасного обновления, можно проверить его на соответствие требованиям Программы совместимости оборудования для Windows, перейдя по ссылке System.Fundamentals.Firmware.UEFISecureBoot.

 

Связанные разделы

Обеспечение запуска приложений на устройствах с защитой Device Guard

Создание политики целостности кода Device Guard на основании эталонного устройства