App Control und virtualisierungsbasierter Schutz der Codeintegrität

Windows enthält eine Reihe von Hardware- und Betriebssystemtechnologien, die es Unternehmen ermöglichen, Windows-Systeme zu "sperren", damit sie sich eher wie Kioskgeräte verhalten. In dieser Konfiguration wird App Control for Business verwendet, um Geräte so zu beschränken, dass nur genehmigte Apps ausgeführt werden, während das Betriebssystem gegen Kernelspeicherangriffe mit Speicherintegrität gehärtet wird.

Hinweis

Die Speicherintegrität wird manchmal als hypervisorgeschützte Codeintegrität (Hypervisor-Protected Code Integrity, HVCI) oder durch Hypervisor erzwungene Codeintegrität bezeichnet und wurde ursprünglich als Teil von Device Guard veröffentlicht. Device Guard wird nicht mehr verwendet, außer um speicherintegritäts- und VBS-Einstellungen in Gruppenrichtlinie oder der Windows-Registrierung zu suchen.

App-Steuerungsrichtlinien und Speicherintegrität sind leistungsstarke Schutzmaßnahmen, die separat verwendet werden können. Wenn diese beiden Technologien jedoch so konfiguriert sind, dass sie zusammenarbeiten, bieten sie eine starke Schutzfunktion für Windows-Geräte. Die Verwendung der App-Steuerung, um Geräte nur auf autorisierte Apps zu beschränken, hat gegenüber anderen Lösungen folgende Vorteile:

  1. Der Windows-Kernel übernimmt die Erzwingung der App-Steuerungsrichtlinie und erfordert keine anderen Dienste oder Agents.
  2. Die App-Steuerungsrichtlinie wird früh in der Startsequenz wirksam, bevor fast der gesamte andere Betriebssystemcode und herkömmliche Antivirenlösungen ausgeführt werden.
  3. Mit App Control können Sie eine Anwendungssteuerungsrichtlinie für jeden Code festlegen, der unter Windows ausgeführt wird, einschließlich Kernelmodustreibern und sogar Code, der als Teil von Windows ausgeführt wird.
  4. Kunden können die App-Steuerungsrichtlinie auch vor Manipulationen durch lokale Administratoren schützen, indem sie die Richtlinie digital signieren. Das Ändern der signierten Richtlinie erfordert sowohl Administratorrechte als auch Zugriff auf den digitalen Signaturprozess des organization. Die Verwendung signierter Richtlinien erschwert es einem Angreifer, einschließlich eines Angreifers, der Administratorrechte erhält, die App-Steuerungsrichtlinie zu manipulieren.
  5. Sie können den gesamten App Control-Erzwingungsmechanismus mit Speicherintegrität schützen. Selbst wenn eine Sicherheitsanfälligkeit im Kernelmoduscode vorliegt, verringert die Speicherintegrität die Wahrscheinlichkeit, dass ein Angreifer sie erfolgreich ausnutzen kann, erheblich. Ohne Speicherintegrität könnte ein Angreifer, der den Kernel kompromittiert, normalerweise die meisten Systemschutzmaßnahmen deaktivieren, einschließlich Anwendungssteuerungsrichtlinien, die von App Control oder einer anderen Anwendungssteuerungslösung erzwungen werden.

Es gibt keine direkten Abhängigkeiten zwischen Der App-Steuerung und der Speicherintegrität. Sie können sie einzeln oder zusammen bereitstellen, und es gibt keine Reihenfolge, in der sie bereitgestellt werden müssen.

Die Speicherintegrität basiert auf der Windows-Virtualisierungssicherheit und umfasst Hardware-, Firmware- und Kerneltreiberkompatibilitätsanforderungen, die einige ältere Systeme nicht erfüllen können.

App Control hat keine spezifischen Hardware- oder Softwareanforderungen.