Охрана на устройства в Windows 10 е фърмуер, който няма да позволи да се зареждат не-автентирани, неподписани, неоторизирани програми, както и операционни системи. Вече говорихме как се нуждаем от операционна система, която извършва самоконтрол на това, което се захранва с нея и се зарежда в RAM за изпълнение. В зависимост само от анти-зловреден софтуер не е мъдро нещо в наши дни, въпреки че нямаме много възможности. Анти-злонамереният софтуер е отделно приложение и трябва да бъде зареден в паметта, преди да започне да сканира приложенията, които се зареждат в паметта.
Преди това говорихме как Windows 8.1 е операционна система срещу злонамерен софтуер. Тя действа върху себе си и други приложения, за да види дали те са оригинални приложения, изисквани от компютъра, много преди зареждането на интерфейса, така че да се добави ниво на сигурност към компютрите, където се изпълнява. Накратко, той предвижда Надеждно зареждане, услуга за защита на злонамерен софтуер, за да запази зловреден софтуер в залива. Но злонамерените писатели са умни и могат да използват определени техники, за да заобиколят тази проверка. Затова Microsoft донесе още една функция, която обещава по-строги анти-злонамерени мерки по време на зареждането.
Охрана на устройства в Windows 10
С проблеми, свързани с сигурността, Microsoft вече внася фърмуер, който ще действа на хардуерно ниво по време и дори преди зареждане, за да зарежда само правилно подписани приложения и скриптове. Това се нарича Windows Guard Device и производителите на оригинално оборудване са щастливо готови да го инсталират на компютрите, които произвеждат.
Device Guard е една от най-важните функции за защита на Microsoft в Windows 10. Производителите на устройства като Acer, Fujitsu, HP, NCR, Lenovo, PAR и Toshiba също го подкрепят.
Device Guard is a combination of hardware and software security features that, when configured together, will lock a device down so that it can only run trusted applications. It uses the new virtualization-based security in Windows 10 to isolate the Code Integrity service from the Windows kernel itself, letting the service use signatures defined by your enterprise-controlled policy to help determine what is trustworthy.
Основната функция на Device Guard в Windows 10 би било да се тества всеки процес, който се зарежда в паметта за изпълнение, преди и по време на процеса на зареждане. Тя ще провери истинността на базата на правилните подписи на приложенията и ще предотврати всякакъв процес, който няма подходящ подпис, от зареждането в паметта.
Device Guard на Microsoft използва технология, вградена на хардуерно ниво - вместо да бъде на ниво софтуер, което може да пропусне откриването на злонамерен софтуер. Той също така използва виртуализацията за вземане на правилен процес на вземане на решения, който ще каже на компютъра какво да позволи и какво да предотврати натоварването в паметта. Тази изолация ще предотврати злонамерен софтуер, дори ако нападателят има пълен контрол над системите, в които е инсталиран пазачът. Те могат да се опитат, но няма да могат да изпълнят кода, тъй като Guard има собствени алгоритми, които ще блокират зловреден софтуер от изпълнение.
Казва Microsoft:
This gives it a significant advantage over traditional anti-virus and app control technologies like AppLocker, Bit9, and others that are subject to tampering by an administrator or malware.
Охрана на устройства срещу антивирусен софтуер
Потребителите на Windows все пак ще трябва да инсталират антималаурен софтуер, който да работи на техните устройства за злонамерен софтуер, произхождащ от други източници. Единственото нещо, с което Windows Device Guard ще ви защити, е злонамереният софтуер, който се опитва да зареди в паметта по време на зареждане, преди антивирусният софтуер да може да ви защити.
Тъй като новата защита на устройствата може да няма достъп до макроси в зловреден софтуер и документи, Microsoft твърди, че потребителите ще трябва да използват антималоуин софтуер в допълнение към Guard. Windows вече разполага с вграден антималауер, наречен Windows Defender. Можете да разчитате на него или да използвате антималюрист на трета страна, за да се предпазите по-добре.
Дали Device Guard позволява други операционни системи
Системата за наблюдение на Windows ще позволи да се обработват само предварително одобрени приложения по време на зареждане. ИТ разработчиците могат да изберат да разрешат всички приложения от надежден доставчик или да го конфигурират, за да проверяват всяко заявление за одобрение. Независимо от конфигурацията, Windows Guard ще позволи да се изпълняват само одобрени приложения. В повечето случаи одобрените кандидатури се решават с подпис на разработчика на заявлението.
Това дава обрат на опциите за зареждане. Тези операционни системи, които нямат потвърдени цифрови подписи, няма да бъдат разрешени от Windows Guard да бъдат заредени. Това обаче не отнема много, за да получите всяко приложение или операционна система, за да получите сертификат.
Необходим хардуер и софтуер за защита на устройства
За да използвате Device Guard, трябва да инсталирате и конфигурирате следния хардуер и софтуер:
- Windows 10. Device Guard работи само с устройства, работещи под Windows 10.
- UEFI. Тя включва функция, наречена Secure Boot, която помага за защита на целостта на устройството ви в самия фърмуер.
- Надеждно зареждане. Това е архитектурна промяна, която помага за защита срещу нападения от корен.
- Сигурност, базирана на виртуализация. Защитен с Hyper-V контейнер, който изолира чувствителните Windows 10 процеси. T
- Инструмент за инспектор на пакети. Инструмент, който ви помага да създадете каталог на файловете, които се нуждаят от подписване за класически приложения на Windows.
Можете да прочетете повече за това в TechNet.
Запазете известно време, за да прочетете за защитата на данните на Enterprise в Windows 10.
