Device Guard in Windows 10 houdt malware weg

Device Guard in Windows 10 is een firmware waarmee niet-geauthenticeerde, niet-ondertekende, ongeoorloofde programma`s en besturingssystemen kunnen worden geladen. We hebben al gesproken over hoe we een besturingssysteem nodig hebben dat zelfcontroles uitvoert op wat er allemaal aan wordt toegevoerd en dat in de RAM wordt geladen voor uitvoering. Afhankelijk van alleen anti-malware software is tegenwoordig niet verstandig, hoewel we niet veel opties hebben. Een anti-malware is een afzonderlijke toepassing en moet in het geheugen worden geladen voordat het de toepassingen die in het geheugen worden geladen begint te scannen.

We hadden eerder gesproken over hoe Windows 8.1 een anti-malware besturingssysteem is. Het werkt op zichzelf en andere applicaties om te zien of het echte applicaties zijn die de computer nodig heeft, lang voordat de interface wordt geladen, zodat een beveiligingsniveau wordt toegevoegd aan de computers waarop het wordt uitgevoerd. Kortom, het biedt Trusted Boot , een service voor het tegengaan van malware tegen malware om malware op afstand te houden. Maar malware-schrijvers zijn slim en kunnen bepaalde technieken gebruiken om deze inspectie te omzeilen. Microsoft heeft daarom een ​​andere functie toegevoegd die strengere anti-malwaremaatregelen tijdens het booten belooft.

Apparaatbeveiliging in Windows 10

Met toenemende beveiligingsproblemen komt Microsoft nu met een firmware die tijdens en zelfs op hardwareniveau zal werken. vóór het opstarten, om alleen correct ondertekende applicaties en scripts te laden. Dit wordt Windows Device Guard genoemd en OEM`s zijn er klaar voor om het te installeren op de computers die zij produceren.

Device Guard is een van Microsoft`s belangrijkste beveiligingsfuncties in Windows 10. OEM`s zoals Acer, Fujitsu, HP, NCR, Lenovo, PAR en Toshiba hebben het ook onderschreven.

Device Guard is een combinatie van hardware- en softwarebeveiligingsfuncties die, wanneer ze samen zijn geconfigureerd, een apparaat vergrendelen zodat het alleen vertrouwde applicaties kan uitvoeren. Het maakt gebruik van de nieuwe op virtualisatie gebaseerde beveiliging in Windows 10 om de Code Integrity-service te isoleren van de Windows-kernel zelf, waardoor de service handtekeningen gebruikt die zijn gedefinieerd door uw door een onderneming bestuurde beleid om te bepalen wat betrouwbaar is.

De basisfunctie van Device Guard in Windows 10 zou zijn om elk proces dat in het geheugen wordt geladen te testen voor uitvoering, voorafgaand aan en tijdens het opstartproces. Het zou controleren op echtheid, gebaseerd op de juiste handtekeningen van de applicaties en zal voorkomen dat een proces zonder een goede handtekening in het geheugen wordt geladen. Microsoft`s Device Guard maakt gebruik van technologie die is ingebed op hardwareniveau - in plaats van in de software te zijn niveau, dat het detecteren van malware zou kunnen missen. Het maakt ook gebruik van virtualisatie om een ​​goed besluitvormingsproces te bewerkstelligen, dat de computer laat weten wat hij moet toestaan ​​en wat te voorkomen dat het in het geheugen wordt geladen. Deze isolatie voorkomt malware, zelfs als de aanvaller volledige controle heeft over systemen waarop de bewaker is geïnstalleerd. Ze kunnen proberen, maar kunnen de code niet uitvoeren, omdat de Guard zijn eigen algoritmen heeft die de uitvoering van de malware blokkeren.

Microsoft zegt:

Dit biedt een aanzienlijk voordeel ten opzichte van traditionele antivirus- en antivirusprogramma`s. app-controletechnologieën zoals AppLocker, Bit9 en andere die door een beheerder of malware kunnen worden gemanipuleerd.

Apparaatbeveiliging versus antivirussoftware

Windows-gebruikers moeten nog steeds antimalware-software installeren die op hun apparaten wordt uitgevoerd voor malware van oorsprong van andere bronnen. Het enige waar Windows Device Guard je tegen beschermt, is de malware die tijdens het opstarten in het geheugen probeert te laden, voordat die antivirussoftware je kan beschermen.

Omdat de nieuwe Device Guard mogelijk geen toegang heeft tot macro`s in documenten en script-gebaseerde malware, Microsoft zegt dat gebruikers naast de Guard ook antimalware-software moeten gebruiken. Windows heeft nu ingebouwde antimalware genaamd Windows Defender. U kunt ervan afhankelijk zijn of een antimalware van derden gebruiken om uzelf beter te beschermen.

Staat Device Guard andere besturingssystemen toe

De Windows Guard laat alleen vooraf goedgekeurde toepassingen verwerken tijdens het booten. IT-ontwikkelaars kunnen ervoor kiezen om alle toepassingen door een vertrouwde leverancier toe te staan ​​of ze kunnen het configureren om elke toepassing te controleren op goedkeuring. Ongeacht de configuratie, laat Windows Guard alleen goedgekeurde toepassingen uitvoeren. In de meeste gevallen worden de goedgekeurde toepassingen bepaald door de handtekening van de ontwikkelaar van de toepassing.

Dit geeft een draai aan de opstartopties. Besturingssystemen die geen geverifieerde digitale handtekeningen hebben, mogen door Windows Guard niet worden geladen. Het vergt echter niet veel om een ​​applicatie of besturingssysteem te krijgen om gecertificeerd te worden.

Vereiste hardware & software voor Device Guard

Om Device Guard te gebruiken, moet u de volgende hardware en software installeren en configureren:

Windows 10. Device Guard werkt alleen met apparaten met Windows 10.

1. UEFI. Het bevat een functie genaamd Secure Boot die helpt de integriteit van uw apparaat binnen de firmware zelf te beschermen.
2. Trusted Boot. Het is een architecturale verandering die helpt beschermen tegen rootkit-aanvallen.
3. Op virtualisatie gebaseerde beveiliging. Een Hyper-V-beschermde container die de gevoelige Windows 10-processen isoleert. T
4. Inspectietool voor pakketten. Een hulpmiddel dat u helpt bij het maken van een catalogus van de bestanden die moeten worden ondertekend voor klassieke Windows-toepassingen.
5. U kunt meer hierover lezen op TechNet.

Lees wat tijd om te lezen over Enterprise Data Protection in Windows 10.