Windows 10中的Device Guard 我们已经讨论过我们如何需要一个操作系统来对所有内容进行自检并将其加载到RAM中以便执行。虽然我们没有很多选择,但仅仅依赖于反恶意软件软件这些天并不是明智之举。反恶意软件是一个单独的应用程序,需要在开始扫描加载到内存中的应用程序之前加载到内存中。
我们之前曾谈到过Windows 8.1是一种反恶意软件操作系统。它在自身和其他应用程序上运行,以便在加载接口之前查看它们是否是计算机所需的真正应用程序,以便为运行它的计算机添加一定程度的安全性。简而言之,它提供了 但恶意软件编写者很聪明,他们可以使用某些技术来绕过这种检查。因此,微软引入了另一项功能,即在启动过程中承诺采取更严厉的反恶意软件措施。
Windows 10中的Device Guard
随着安全问题的不断增加,微软现在引入了一个固件,该固件将在启动期间甚至在启动之前处于硬件级别,只允许正确签名的应用程序和脚本加载。这被称为
Device Guard是微软在Windows 10中的顶级安全功能之一。像宏碁,富士通,惠普,NCR,联想,PAR和东芝这样的原始设备制造商也赞同它。
Device Guard is a combination of hardware and software security features that, when configured together, will lock a device down so that it can only run trusted applications. It uses the new virtualization-based security in Windows 10 to isolate the Code Integrity service from the Windows kernel itself, letting the service use signatures defined by your enterprise-controlled policy to help determine what is trustworthy.
Device Guard的基本功能 它将根据应用程序的正确签名检查真实性,并防止任何缺少正确签名的进程加载到内存中。
微软的Device Guard采用嵌入在硬件级别的技术- 而不是软件级别,这可能会错过检测恶意软件。它还采用虚拟化来实现正确的决策过程,这将告诉计算机允许什么以及防止加载到内存中的内容。即使攻击者完全控制安装了防护装置的系统,此隔离也可以防止恶意软件。他们可能会尝试,但无法执行代码,因为Guard有自己的算法可以阻止恶意软件执行。
微软说:
This gives it a significant advantage over traditional anti-virus and app control technologies like AppLocker, Bit9, and others that are subject to tampering by an administrator or malware.
Device Guard与防病毒软件
Windows用户仍然需要安装反恶意软件才能在其设备上运行来自其他来源的恶意软件。Windows Device Guard将保护您免受攻击的唯一问题是在防病毒软件能够保护您之前,尝试在启动期间加载到内存中的恶意软件。
由于新的Device Guard可能无法访问基于文档和脚本的恶意软件中的宏,因此微软表示除了Guard之外,用户还必须使用反恶意软件。Windows现在有内置的反恶意软件Windows Defender。您可能依赖它或使用第三方反恶意软件来更好地保护自己。
Device Guard是否允许其他操作系统
Windows Guard将仅允许在引导期间处理预先批准的应用程序。IT开发人员可以选择允许受信任供应商提供所有应用程序,也可以将其配置为检查每个应用程序以进行审批。无论配置如何,Windows Guard都只允许运行已批准的应用程序。在大多数情况下,批准的应用程序将由应用程序开发人员的签名决定。
这给启动选项带来了麻烦。Windows Guard不允许加载那些没有经过验证的数字签名的操作系统。但是,要获得认证,任何应用程序或操作系统都不需要花费太多时间。
Device Guard所需的硬件和软件
要使用Device Guard,您需要安装和配置以下硬件和软件:
Windows 10. Device Guard仅适用于运行Windows 10的设备。
UEFI。它包含一项名为Secure Boot的功能,可帮助保护设备在固件内的完整性。
可信启动。这是一种体系结构更改,有助于防止rootkit攻击。
基于虚拟化的安全性。Hyper-V保护容器,用于隔离敏感的Windows 10进程。Ť
包检查工具。一种工具,可帮助您创建需要为Classic Windows应用程序签名的文件的目录。
您可以在TechNet上阅读有关此内容的更多信息。
花一些时间阅读Windows 10中的企业数据保护。
评论