Device Guard in Windows 10 houdt malware weg

Apparaatbeveiliging in Windows 10 is een firmware die ervoor zorgt dat niet-geauthenticeerde, niet-ondertekende, niet-geautoriseerde programma's en besturingssystemen worden geladen. We hebben al gesproken over hoe we een besturingssysteem nodig hebben dat zelfcontroles uitvoert op wat er allemaal aan wordt toegevoerd en dat in de RAM wordt geladen voor uitvoering. Afhankelijk van alleen anti-malware software is tegenwoordig niet verstandig, hoewel we niet veel opties hebben. Een anti-malware is een afzonderlijke toepassing en moet in het geheugen worden geladen voordat het de toepassingen die in het geheugen worden geladen begint te scannen.

We hadden eerder gesproken over hoe Windows 8.1 een anti-malware besturingssysteem is. Het werkt op zichzelf en andere applicaties om te zien of het echte applicaties zijn die de computer nodig heeft, lang voordat de interface wordt geladen, zodat een beveiligingsniveau wordt toegevoegd aan de computers waarop het wordt uitgevoerd. Kortom, het biedt Trusted Boot, een malwarebeveiligingsservice om malware tegen te houden. Maar malware-schrijvers zijn slim en kunnen bepaalde technieken gebruiken om deze inspectie te omzeilen. Microsoft heeft daarom een ​​andere functie toegevoegd die strengere anti-malwaremaatregelen tijdens het opstarten belooft.

Apparaatbeveiliging in Windows 10

Nu de beveiliging toeneemt, brengt Microsoft nu een firmware in die op het hardwareniveau zal werken tijdens en zelfs vóór het opstarten, zodat alleen correct ondertekende applicaties en scripts kunnen worden geladen. Dit wordt genoemd Windows Device Guard en OEM's zijn er klaar voor om het te installeren op de computers die ze produceren.

Device Guard is een van de beste beveiligingsfuncties van Microsoft in Windows 10. OEM's zoals Acer, Fujitsu, HP, NCR, Lenovo, PAR en Toshiba hebben het ook goedgekeurd.

Device Guard is een combinatie van hardware- en softwarebeveiligingsfuncties die, indien samen geconfigureerd, een apparaat vergrendelen zodat het alleen vertrouwde applicaties kan uitvoeren. Het maakt gebruik van de nieuwe op virtualisatie gebaseerde beveiliging in Windows 10 om de Code Integrity-service te isoleren van de Windows-kernel zelf, waardoor de service handtekeningen gebruikt die zijn gedefinieerd door uw door een onderneming bestuurde beleid om te bepalen wat betrouwbaar is.

De basisfunctie van Device Guard in Windows 10 zou zijn om elk proces dat in het geheugen wordt geladen te testen voor uitvoering, voorafgaand aan en tijdens het opstartproces. Het zou controleren op echtheid, gebaseerd op de juiste handtekeningen van de applicaties en zal voorkomen dat een proces dat geen goede handtekening heeft, wordt geladen in het geheugen.

Microsoft's Device Guard maakt gebruik van technologie die is ingebed op hardwareniveau - in plaats van op het niveau van de software, die het detecteren van malware zou kunnen missen. Het maakt ook gebruik van virtualisatie om een ​​goed besluitvormingsproces te bewerkstelligen, dat de computer zal vertellen wat hij moet toestaan ​​en wat te voorkomen dat het in het geheugen wordt geladen. Deze isolatie voorkomt malware, zelfs als de aanvaller volledige controle heeft over systemen waarop de bewaker is geïnstalleerd. Ze kunnen proberen, maar zullen de code niet kunnen uitvoeren, omdat de Guard zijn eigen algoritmen heeft die de malware blokkeren voor uitvoering.

Zegt Microsoft:

Dit biedt een aanzienlijk voordeel ten opzichte van traditionele antivirus- en app-besturingstechnologieën zoals AppLocker, Bit9 en andere die door een beheerder of malware worden geknoeid..

Device Guard vs Antivirus Software

Windows-gebruikers moeten nog steeds antimalware-software installeren die op hun apparaten wordt uitgevoerd voor malware afkomstig van andere bronnen. Het enige dat Windows Device Guard u beschermt, is de malware die tijdens het opstarten in het geheugen probeert te laden, voordat die antivirussoftware u kan beschermen.

Omdat de nieuwe Device Guard mogelijk geen toegang heeft tot macro's in documenten en scriptgebaseerde malware, zegt Microsoft dat gebruikers behalve de Guard ook antimalware-software moeten gebruiken. Windows heeft nu ingebouwde antimalware genaamd Windows Defender. U kunt hiervan afhankelijk zijn of een antimalware van derden gebruiken om uzelf beter te beschermen.

Staat Device Guard andere besturingssystemen toe

De Windows Guard laat alleen vooraf goedgekeurde applicaties verwerken tijdens het booten. IT-ontwikkelaars kunnen ervoor kiezen om alle applicaties van een vertrouwde leverancier toe te staan ​​of ze kunnen het configureren om elke aanvraag te controleren op goedkeuring. Ongeacht de configuratie, laat Windows Guard alleen goedgekeurde toepassingen uitvoeren. In de meeste gevallen worden de goedgekeurde applicaties beslist door de handtekening van de ontwikkelaar van de applicatie.

Dit geeft een draai aan opstartopties. Besturingssystemen die geen geverifieerde digitale handtekeningen hebben, kunnen door Windows Guard niet worden geladen. Het kost echter niet veel om een ​​applicatie of besturingssysteem te krijgen om gecertificeerd te worden.

Vereiste hardware & software voor Device Guard

Om Device Guard te gebruiken, moet u de volgende hardware en software installeren en configureren:

1. Windows 10. Device Guard werkt alleen met apparaten met Windows 10.
2. UEFI. Het bevat een functie genaamd Secure Boot die de integriteit van uw apparaat binnen de firmware zelf helpt beschermen.
3. Trusted Boot. Het is een architecturale verandering die helpt beschermen tegen rootkit-aanvallen.
4. Op virtualisatie gebaseerde beveiliging. Een Hyper-V-beveiligde container die de gevoelige Windows 10-processen isoleert. T
5. Pakketinspecteurstool. Een hulpmiddel dat u helpt bij het maken van een catalogus van de bestanden die moeten worden ondertekend voor klassieke Windows-toepassingen.

U kunt hier meer over lezen op TechNet.

Lees wat tijd om te lezen over Enterprise Data Protection in Windows 10.