Device Guard i Windows 10 håller bort skadlig kod
Enhetsvakt i Windows 10 är en firmware som inte låter obehöriga, osignerade, obehöriga program samt operativsystem att ladda. Vi har redan pratat hur vi behöver ett operativsystem som utför självkontroller av vad allt matas till och laddas i RAM för körning. Beroende på en anti-malware programvara är det inte en klok sak just nu, men vi har inte många alternativ. En anti-malware är en separat applikation och måste laddas i minnet innan det börjar skanna program som laddas i minnet.
Vi hade tidigare pratat om hur Windows 8.1 är ett anti-malware operativsystem. Det fungerar på sig själv och andra program för att se om de är äkta program som krävs av datorn, mycket innan du laddar gränssnittet, så att en säkerhetsnivå läggs till i de datorer där den körs. Kort sagt, det ger Förtroende Boot, en starttid för malware-skyddstjänst för att hålla skadlig kod kvar. Men malware skribenter är smarta och de kan använda vissa tekniker för att kringgå denna inspektion. Microsoft har därför infört en annan funktion som lovar hårdare anti-malware åtgärder under uppstart.
Enhetsvakt i Windows 10
Med säkerhetsproblem stiger Microsoft nu med en fast programvara som kommer att fungera på hårdvarumnivå under och till och med före starten, för att låta endast ordentligt undertecknade applikationer och skript ladda. Detta kallas Windows Device Guard och OEMs är lyckligtvis redo att installera den på de datorer de tillverkar.
Device Guard är en av Microsofts främsta säkerhetsfunktioner i Windows 10. OEM-enheter som Acer, Fujitsu, HP, NCR, Lenovo, PAR och Toshiba har också godkänt det.
Device Guard är en kombination av säkerhetsfunktioner för hårdvara och mjukvara som, när de konfigureras tillsammans, låser en enhet ner så att den endast kan köra pålitliga applikationer. Den använder den nya virtualiseringsbaserade säkerheten i Windows 10 för att isolera tjänsten Kodintegritet från själva Windows-kärnan, så att användningsundertecknanden definieras av din företagsstyrda policy för att bestämma vad som är pålitligt.
Grundfunktionen för Device Guard i Windows 10 skulle vara att testa varje process som laddas i minnet för exekvering före och under uppstartsprocessen. Det skulle kontrollera efter äkthet, baserat på korrekt signatur av applikationerna och kommer att förhindra alla processer som saknar en korrekt signatur, från att ladda in i minnet.
Microsofts Device Guard använder teknik som är inbäddad på hårdvarunivå - i stället för att vara på programnivån, vilket kan missa att upptäcka skadlig kod. Det använder också virtualisering för att få korrekt beslutsprocess, som kommer att berätta för datorn vad som ska tillåtas och vad som ska förhindras från att laddas i minnet. Denna isolering kommer att förhindra skadlig kod, även om angriparen har full kontroll över system där skyddet är installerat. De kan försöka, men kommer inte att kunna köra koden, eftersom Guard har sina egna algoritmer som blockerar malware från körning.Säger Microsoft:
Detta ger en stor fördel gentemot traditionell anti-virus- och appkontrollteknik som AppLocker, Bit9 och andra som är föremål för manipulering av en administratör eller skadlig kod.
Enhetsvakt mot antivirusprogram
Windows-användare behöver fortfarande installera antimalware-programvara som ska köras på sina enheter för skadlig programvara som härrör från andra källor. Det enda som Windows Device Guard skyddar dig mot är den skadliga programvaran som försöker ladda in i minnet under starttiden innan den antivirusprogramvara kan skydda dig.
Eftersom det nya Device Guard kanske inte kan komma åt makron i dokument och skriptbaserad skadlig kod, säger Microsoft att användarna måste använda antimalware-programvaran förutom Guard. Windows har nu inbyggd antimalware kallad Windows Defender. Du kan bero på det eller använda en tredjeparts antimalware för att skydda dig bättre.
Ger Device Guard andra operativsystem
Windows Guard låter bara förut godkända applikationer bearbetas under starttiden. IT-utvecklare kan välja att tillåta alla applikationer av en betrodd leverantör eller de kan konfigurera den för att kontrollera varje ansökan för godkännande. Oavsett konfiguration tillåter Windows Guard endast godkända program att köras. I de flesta fall kommer de godkända ansökningarna att avgöras av programutvecklarens underskrift.
Detta ger en vridning för att starta alternativ. De operativsystem som inte har verifierade digitala signaturer kommer inte att tillåtas av Windows Guard att laddas. Det tar dock inte mycket för att få någon applikation eller OS att bli certifierad.
Erforderlig hårdvara och programvara för Device Guard
För att använda Device Guard måste du installera och konfigurera följande maskinvara och programvara:
- Windows 10. Device Guard fungerar bara med enheter som kör Windows 10.
- UEFI. Den innehåller en funktion som heter Secure Boot som hjälper till att skydda enhetens integritet inom själva firmware.
- Förtroende Boot. Det är en arkitektonisk förändring som skyddar mot rootkit-attacker.
- Virtualiseringsbaserad säkerhet. En Hyper-V-skyddad behållare som isolerar de känsliga Windows 10-processerna. T
- Paketinspektionsverktyg. Ett verktyg som hjälper dig att skapa en katalog över de filer som kräver signering för Classic Windows-program.
Du kan läsa mer om detta på TechNet.
Spara lite tid för att läsa om Enterprise Data Protection i Windows 10.