Управление приложениями и защита целостности кода на основе виртуализации

Windows включает в себя набор технологий оборудования и ОС, которые при совместной настройке позволяют предприятиям "блокировать" системы Windows, чтобы они вели себя больше как киоски. В этой конфигурации управление приложениями для бизнеса используется для ограничения использования устройств только утвержденных приложений, в то время как ОС защищается от атак памяти ядра с использованием целостности памяти.

Примечание.

Целостность памяти иногда называется защищенной гипервизором целостности кода (HVCI) или принудительной целостностью кода гипервизора, и первоначально была выпущена в составе Device Guard. Device Guard больше не используется, кроме как для поиска целостности памяти и параметров VBS в групповая политика или реестре Windows.

Политики управления приложениями и целостность памяти — это мощные средства защиты, которые можно использовать отдельно. Однако если эти две технологии настроены для совместной работы, они предоставляют надежную защиту для устройств Windows. Использование элемента управления приложениями для ограничения устройств только авторизованными приложениями имеет следующие преимущества по сравнению с другими решениями:

  1. Ядро Windows обрабатывает принудительное применение политики управления приложениями и не требует никаких других служб или агентов.
  2. Политика управления приложениями вступает в силу в начале загрузочной последовательности до почти всего кода ОС и до запуска традиционных антивирусных решений.
  3. Элемент управления приложениями позволяет задать политику управления приложениями для любого кода, выполняемого в Windows, включая драйверы режима ядра и даже код, который выполняется в составе Windows.
  4. Клиенты могут защитить политику управления приложениями даже от вмешательства локального администратора, подписав политику цифровой подписью. Для изменения подписанной политики требуются права администратора и доступ к процессу цифровой подписи организации. Использование подписанных политик затрудняет изменение политики управления приложениями для злоумышленника, включая пользователя, которому удается получить права администратора.
  5. Вы можете защитить весь механизм принудительного применения управления приложениями с помощью целостности памяти. Даже если в коде режима ядра существует уязвимость, целостность памяти значительно снижает вероятность того, что злоумышленник может успешно использовать ее. Без целостности памяти злоумышленник, который скомпрометирует ядро, обычно может отключить большинство системных защитных мер, включая политики управления приложениями, применяемые элементом управления приложениями или любым другим решением для управления приложениями.

Нет прямых зависимостей между элементом управления приложениями и целостностью памяти. Их можно развертывать по отдельности или вместе, при этом не существует порядка их развертывания.

Целостность памяти зависит от безопасности на основе виртуализации Windows и имеет требования к совместимости оборудования, встроенного ПО и драйверов ядра, которым не могут соответствовать некоторые старые системы.

Элемент управления приложениями не имеет конкретных требований к оборудованию или программному обеспечению.