Device guard windows 10 где находится

Автор статьи — Андрей Каптелин, участник ИТ-сообщества Device Guard – набор программно-аппаратных технологий защиты, доступный для устройств с Windows 10. Статья...

Автор статьи — Андрей Каптелин, участник ИТ-сообщества

Device Guard – набор программно-аппаратных технологий защиты, доступный для устройств с Windows 10. Статья посвящена одной из компонент Device Guard – политике Code Integrity (CI). С деталями настройки и применения CI можно познакомиться здесь.

Назначение Device Guard

В современном мире киберугрозы развиваются очень быстро. Технологии защиты уже не поспевают за развитием вредоносных программ, как за их количеством, так и расширяющимся спектром атак.

Вирусы из забавы для одиночек переросли в организованную киберпреступность. Автоматизация и низкая стоимость сложных атак не оставляет шанса даже небольшим компаниям оставаться незамеченными.

Классическое решение основывается на трех основных условиях: установленные обновления, обновленный антивирус и отсутствие административных привилегий. Это уже давно сложившийся подход. Однако, совершенно легальная с точки зрения антивируса программа может выполнять нежелательные действия и не использовать при этом уязвимости ПО. Такой взгляд на безопасность ставит под подозрение любую программу. Уже нельзя полагаться на список сигнатур антивируса, а анализировать действия всех программ довольно трудно.

Новые угрозы требуют новых решений безопасности, и в Windows 10 они уже имеются. Одно из решений – запускать только одобренное программное обеспечение. Такой подход успешно опробован на мобильных платформах Windows и Apple. В них абсолютно все ПО проходит проверку и имеет цифровую подпись, на основании которой устройство разрешает его запуск. В Windows эту функцию обеспечивает механизм проверки целостности кода – Code Integrity (CI).

Уже на стадии запуска компьютера можно контролировать запуск программного обеспечения, подписанного доверенными сертификатами. Далее, имея список своего программного обеспечения, можно запретить запуск чего-то иного, и задача обеспечения безопасности решена. Список доверенных сертификатов, используемых для подписи исполняемых файлов, представляет собой файл-политику, которым и руководствуется операционная система.

Но мир ПО на Windows весьма разнообразен, и далеко не все программы имеют цифровые подписи, а многие не получат их никогда. Для этого механизм Code Integrity может использовать подписанные вашим сертификатом каталоги – списки файлов программы и их хэш-коды.

В итоге, для использования нового механизма, требуется создать политику, содержащую список доверенных сертификатов и хэш-коды не подписанных файлов и, при необходимости, дополнить её файлами-каталогами разрешенного программного обеспечения.

Самым простым использование Device Guard будет для новых, либо уже имеющихся рабочих мест с фиксированным списком ПО. Достаточно сформировать политику целостности кода и активировать функционал, после этого ничто постороннее не сможет запуститься на этих компьютерах.

Существует также возможность создания политик на основе нескольких возможных вариантов рабочих мест и слияние их в единую политику, назначаемую в последующем всем рабочим местам.

Для продвинутых пользователей, которые сами выбирают и устанавливают программы, достаточно режима аудита. Журнал запускаемых приложений пригодится в дальнейшем для определения нужных и ненужных программ.

Замечу, Device Guard с механизмами Code Integrity и Virtualization Based Security (VBS) доступен только в редакции Windows 10 Enterprise.

Настройка политики Code Integrity

Настройка Device Guard в пользовательском режиме (User Mode Code Integrity) наиболее близка к обычным задачам ограничения запуска программного обеспечения.
Для того чтобы создать политику Code Integrity на эталонном компьютере, потребуется создать теневую копию диска и запустить командлет сканирования файлов. В данном случае теневая копия позволяет получить процессу сканирования доступ ко всем, в том числе открытым на момент сканирования, файлам.

#Create a ShadowCopy to avoid locks
$s1 = (gwmi -List Win32_ShadowCopy).Create("C:","ClientAccessible")
$s2 = gwmi Win32_ShadowCopy | ? { $_.ID -eq $s1.ShadowID }
$d  = $s2.DeviceObject + ""
cmd /c mklink /d C:scpy "$d"

Полученный снимок диска, подмонтированный в папку C:scpy, можно просканировать следующим командлетом:

New-CIPolicy -Level PcaCertificate -Fallback Hash -FilePath C:BasePolicy.xml -ScanPath C:scpy -UserPEs

Данная команда создаст список подписей (сертификатов), обнаруженных на эталонном компьютере, и посчитает хэш-коды исполняемых файлов, не имеющих подписи. Результатом будет XML-файл содержащий следующие параметры:

<Rule><Option>Enabled:Audit Mode</Option></Rule>

Опция, включающая работу модуля Code Integrity в режиме аудита, при котором все не попадающие под сформированную политику исполняемые файлы записываются в журнал аудита.

<Signer Name="Microsoft Code Signing PCA" ID="ID_SIGNER_S_231"><CertRoot Value=" 4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" Type="TBS"/></Signer>

Пример обнаруженного сертификата. Все подписанные им исполняемые файлы будут выполняться без ограничений.

<Allow Hash=" 88A87238099A3B4BB392C82589CA099DC70629D6EA32CF79F9071011C5994CA2" FriendlyName="\?GLOBALROOTDeviceHarddiskVolume4Distrnpp.6.8.3.Installer.exe Hash Page Sha256" ID="ID_ALLOW_A_8_1"/>

Пример обнаруженного файла без цифровой подписи. При совпадении хэш-кода, данный файл будет запущен.

Полученный XML-файл необходимо скомпилировать в бинарный формат и поместить в системную папку C:WindowsSystem32CodeIntegrity.

ConvertFrom-CIPolicy C:BasePolicy.xml C:SIPolicy.bin 
cp C:SIPolicy.bin c:WindowsSystem32CodeIntegritySIPolicy.p7b 

После перезагрузки компьютера механизм Code Integrity начнет работу в режиме аудита. Проверив запуск и работу всех необходимых программ, можно дополнить политику данными, собранными аудитом, выполнив следующую команду.

New-CIPolicy -Level PcaCertificate -Fallback Hash C:AuditPolicy.xml -Audit

Ключ -Audit указывает, что необходимо создать политику на основе записей в журнале аудита.
Файл AuditPolicy.xml аналогичен по структуре файлу BasePolicy.xml, сформированному ранее.
Для объединения результатов первичного сканирования и собранной в режиме аудита информации существует команда объединения политик.

Merge-CIPolicy –OutputFilePath C:Final.xml –PolicyPaths C: BasePolicy.xml,C:AuditPolicy.xml

Чтобы включить принудительное применение политики, в полученном файле отключаем режим аудита.

Set-RuleOption -Option 3 -FilePath C:Final.xml -Delete

В результате удаляется запись Enabled:Audit Mode из XML-файла, и такая политика будет блокировать всё неучтенное в ней ПО.

Далее компилируем XML-файл в бинарный формат, снова выполнив команду

ConvertFrom-CIPolicy C:Final.xml C:SIPolicy.bin

Распространить политику на целевые компьютеры можно как скопировав удобным способом файл SIPolicy.bin, так и воспользовавшись групповой политикой Windows 10 в разделе Computer ConfigurationAdministrative TemplatesSystemDevice Guard.

Создание файла-каталога

Политика Code Integrity представляет собой монолитный список разрешенного программного обеспечения, что не всегда удобно. Для использования новых или обновленных программ, если их не удаётся заверить электронной подписью, можно создать файл-каталог.

Для примера возьмём программу 7zip, для которой создадим файл каталога, содержащий как данные об дистрибутиве, так и о всех исполняемых файлах после установки дистрибутива.

Для этого на станции без активного Device Guard запустим утилиту мониторинга PackageInspector (входит в состав Windows 10 Enterprise), указав в качестве параметров букву диска для наблюдения и запускаемый файл дистрибутива программы.

.PackageInspector.exe start C: -path c:Distr7z1508-x64.exe

По окончании установки 7zip проверяем его запуск и работу и останавливаем мониторинг командой

.PackageInspector.exe stop c: -name C:Distr7zip.cat -cdfpath c:Distr7zip.cdf

Файл 7zip.cdf покажет все исполняемые файлы, подвергшиеся мониторингу.
Файл 7zip.cat содержит скомпилированную информацию для Device Guard.

Чтобы созданный файл каталога стал доверенным для Device Guard, подпишем его своей цифровой подписью.

Если у администратора уже имеется импортированный сертификат с назначением Code Sign, его можно использовать для подписи прямо из PowerShell, указав алгоритм хеширования SHA256, необходимый для Device Guard.

Get-ChildItem cert:CurrentUserMy -codesign
Set-AuthenticodeSignature -HashAlgorithm SHA256 7zip-osnova.cat @(Get-ChildItem cert:CurrentUserMy -codesign)[0] 

Сертификат должен быть выдан доверенным центром сертификации, корневой сертификат которого был импортирован на эталонный компьютер перед созданием политики.

Далее нужно поместить сгенерированный и подписанный файл каталога на нужные компьютеры, скопировав в хранилище каталогов по пути
C:WindowsSystem32CatRoot{F750E6C3-38EE-11D1-85E5-00C04FC295EE}

В отличие от политики, файлы каталогов применяются сразу и без перезагрузки. Теперь установка и работа 7zip на компьютере разрешена.

Более подробная документация находится на портале TechNet по адресу:
https://technet.microsoft.com/ru-ru/library/mt463091(v=vs.85).aspx

Device Guard — это сочетание корпоративных программных и аппаратных функций безопасности, которые при совместной настройке блокируют устройство для запуска только доверенных приложений, указанных в политике целостности кода. . Если приложение не является доверенным, оно не сможет работать. Если оборудование соответствует основным требованиям, это означает, что даже если злоумышленник может получить контроль над ядром Windows, он не сможет запустить вредоносный исполняемый код. При наличии подходящего оборудования Device Guard может использовать новую систему безопасности на основе виртуализации в Windows 10, чтобы изолировать службу целостности кода от Microsoft Windows. В этом случае служба целостности кода запускается в той же папке, что и виртуализированный защищенный контейнер Windows.

Из этого руководства вы узнаете, как включить или отключить безопасность на основе виртуализации Device Guard на компьютерах с Windows 10 Enterprise и Windows 10 Education.

Вы должны войти в систему как администратор, чтобы включить или отключить Device Guard.

  1. Как открыть Безопасность Windows в Windows 10
  2. Как включить защиту от изменений для безопасности Windows в Windows 10
  3. Повышение безопасности Windows 10 с помощью защиты от эксплойтов

Шаг 1 . Откройте возможности Windows.

В Windows 10 Enterprise / Education версии 1607 или более поздней выберите Hyper-V Hypervisor в Hyper-V и нажмите OK.

Изображение 1: Как включить или отключить Device Guard в Windows 10

В версиях Windows 10 Enterprise / Education до версии 1607 выберите Hyper-V Hypervisor в Hyper-V, выберите изолированный пользовательский режим и нажмите OK.

Изображение 2: как включить или отключить Device Guard в Windows 10

Шаг 2 . Откройте редактор локальной групповой политики.

Шаг 3 . Перейдите к следующему ключу на левой панели редактора локальной групповой политики.

Конфигурация компьютераАдминистративные шаблоныSystemDevice Guard

Изображение 3: как включить или отключить Device Guard в Windows 10

Шаг 4. На правой панели Device Guard в редакторе локальной групповой политики дважды щелкните политику «Включить безопасность на основе виртуализации», чтобы изменить ее.

Шаг 5. Следуйте шагу 6 (включить) или шагу 7 (выключить).

Шаг 6. Чтобы активировать Device Guard

  1. Выберите Включено.
  2. В разделе «Параметры» выберите «Безопасная загрузка» или «Безопасная загрузка и защита DMA» в раскрывающемся меню «Выбрать уровень безопасности платформы».

Примечание. Параметр «Безопасная загрузка» (рекомендуется) обеспечивает безопасную загрузку с несколькими средствами защиты, поддерживаемыми определенным аппаратным обеспечением компьютера. Компьютер с диспетчером памяти ввода / вывода (IOMMU) будет иметь безопасную загрузку с защитой DMA. Компьютер без модулей IOMMU активирует только безопасную загрузку.

Безопасная загрузка с DMA обеспечивает безопасную загрузку и VBS только на компьютерах, поддерживающих DMA, т. Е. Компьютерах с модулями IOMMU. С этим параметром любой компьютер без IOMMU не будет иметь защиты VBS (аппаратной), хотя он может включить политики целостности кода.

  1. В разделе «Параметры» выберите «Включено с блокировкой UEFI» или «Включено без блокировки» в раскрывающемся меню «Защита на основе виртуализации» целостности кода.

Примечание. При включении параметра блокировки UEFI обеспечивается удаленное отключение защиты целостности кода на основе виртуализации. Чтобы отключить эту функцию, вам необходимо настроить групповую политику, а также удалить параметры безопасности для каждого компьютера с текущим пользователем, чтобы удалить конфигурацию в UEFI.

Параметр Включено без блокировки для виртуализации Защита целостности кода удаленно отключена с помощью групповой политики.

  1. При желании вы также можете активировать Credential Guard, выбрав Включено с блокировкой UEFI или Включено без блокировки в раскрывающемся меню Конфигурация Credential Guard.

Примечание. Если опция включена с блокировкой UEFI, Credential Guard не отключается удаленно. Чтобы отключить эту функцию, необходимо установить для групповой политики значение Отключено, а также удалить функцию безопасности на каждом компьютере с текущим пользователем, чтобы удалить конфигурацию в UEFI.

Параметр «Включено без блокировки» позволяет удаленно отключить Credential Guard с помощью групповой политики. Устройства, использующие эту установку, должны работать под управлением операционной системы Windows 10 (версия 1511) или более поздней версии.

  1. Перейти к шагу 8.

Шаг 7. Чтобы отключить Device Guard

Выберите «Не настроено» или «Отключено», нажмите «ОК» и перейдите к шагу 8.

Примечание. Значение по умолчанию «Не настроено».

Изображение 4: Как включить или отключить Device Guard в Windows 10

Шаг 8. Закройте редактор локальной групповой политики.

Шаг 9. Перезагрузите компьютер, чтобы изменения вступили в силу.

Желаю всем успехов!

Device Guard — использует виртуализацию для изоляции секретов и тем самым обеспечивает защиту от взлома. Это гарантирует, что только привилегированное системное программное обеспечение может получить доступ к таким данным как хэши паролей NTLM и учетные данные домена. Credential Guard создает виртуальный контейнер и хранит все важные данные в нем, что не позволяет получить доступ к этим токенам на уровне системы без специальных прав авторизации. Примечательно то, что Credential Guard можно развернуть на виртуальной машине как Hyper-V.

К примеру, если хакер взломал и получил доступ к Windows 10, то он мог получить и доступ к хэшу, который используется для шифрования учетных записей, так как хэш храниться в локальной ОЗУ без защиты. В Credential Guard хэш храниться в виртуальном контейнере, и даже, если система будет скомпрометирована, то хакер не получит доступ к этому хэшу.

Ограничение на использование Device Guard

  1. Поддержка виртуализации 64x битным процессором.
  2. Безопасная загрузка.
  3. Чип на материнской плате TPM версии 1.0 или 2.0.
  4. Включенный Hyper-V.
  5. Доступно в Windows 10 Education, Enterprise и Windows Server 2016.

В документации Microsoft вы можете обнаружить, что Credential Guard поддерживается в Windows 10, что означает Pro и Home. Я сам запутался, и дело в том, что документация не правильная и требует правок. На github есть обсуждение на эту тему, и функция Credential Guard как бы есть, но она не шифрует данные в виртуальном контейнере, т.е. она не работает. Обратите внимание на это сообщение и это.

Как включить и отключить Device Guard

В групповых политиках перейдите «Конфигурация компьютера» > «Административные шаблоны» > «Система» > «Device Guard» > справа выберите «Включить средство обеспечения безопасности на основе виртуализации«.

Device Guard Как включить

Ошибка несовместимости с Credential Guard сторонних виртуальных машин

Иногда, пользователи могут видеть ошибку «VMware Workstation и устройства Device/Credential Guard несовместимы. VMware Workstation можно запустить после отключения Device/Credential Guard» при использовании сторонних виртуальных машин как VirtualBox или VMware Workstation.

VMware Workstation и устройства Device Credential Guard несовместимы. VMware Workstation можно запустить после отключения Device Credential Guard

Способ 1. В этом случае нужно отключить несколько компонентов как Aplication Guard, Hyper-V и песочница Windows. Также, посмотрите не включен ли Credential Guard в групповых политиках, указанном выше способом.

отключение компонентов вирутализации

Способ 2. Если выше способ не помог и виртуальные машины выдают ошибку на несовместимость Credential Guard, то откройте редактор реестра и перейдите по пути:

  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceGuardScenariosHypervisorEnforcedCodeIntegrity
  • Нажмите два раза по Enabled и установите значение 0.
  • Перезагрузите ПК.

HypervisorEnformedCodeIntegrity

Если после перезапуска Windows, ошибка появляется, то запустите командную строку от имени администратора и введите:

  • bcdedit /set hypervisorlaunchtype off

Если хотите вернуть команду по умолчанию, то введите bcdedit /set hypervisorlaunchtype auto

bcdedit /set hypervisorlaunchtype off


Смотрите еще:

  • Включить и использовать Exploit Protection в Windows 10
  • Изоляция ядра и Целостность памяти в Защитнике Windows 10
  • Как обновить и очистить прошивку процессора безопасности TPM
  • Как включить или отключить Windows Sandbox в Windows 10
  • Защитник Windows: Ограничить нагрузку на процессор

[ Telegram | Поддержать ]

На чтение 3 мин. Просмотров 302 Опубликовано 03.07.2021

Device Guard позволяет заблокировать систему для запуска только доверенных приложений. Выполните следующие действия, чтобы включить Device Guard в Windows 10.

Одной из интересных функций Windows является Device Guard. Эта функция специально разработана для предприятий, где безопасность и контроль являются главными требованиями. Когда он включен и настроен правильно, он позволяет администраторам ограничивать систему запуском только доверенного приложения. Хорошо то, что администраторы могут устанавливать правила, называемые политиками целостности кода, для определения того, что составляет доверенные приложения. Если приложение не находится в списке доверенных, оно не будет работать, что бы вы ни делали.

Поскольку Device Guard представляет собой комбинацию аппаратных и программных функций безопасности и работает в защищенном контейнере гипервизора вместе с ядром Windows, очень сложно обойти ограничения. Итак, в этом кратком руководстве я покажу, как включить Device Guard и отключить его при необходимости.

Содержание

  1. Требования
  2. Шаги по включению Device Guard (GPO)
  3. Действия по отключению

Требования

Чтобы включить и использовать защиту устройства, вы должны соответствовать определенным требованиям к аппаратному и программному обеспечению. Они заключаются в следующем.

  • Требования к оборудованию: У Microsoft есть отличная страница со списком всех конкретных требований к оборудованию. Взгляните на это.
  • Требования к программному обеспечению: Должна использоваться версия Windows Enterprise или Education. Если вы используете другие версии, такие как Home или Pro, ваша система несовместима.

Шаги по включению Device Guard (GPO)

Шаги по включить функцию защиты устройства довольно просто и понятно. Помните, что ваша система должна соответствовать всем перечисленным выше требованиям.

1. Первое, что нам нужно сделать, это включить гипервизор Hyper-V. Для этого откройте меню «Пуск», выполните поиск по запросу « Включение или отключение компонентов Windows » и щелкните результат поиска.

2. На панели «Функции Windows» прокрутите вниз, разверните «Hyper-V → Hyper-V Platform» и установите флажок «Hyper-V Hypervisor» . Нажмите кнопку « Ok », чтобы сохранить изменения.

3. Теперь Windows внесет необходимые изменения. Перезагрузите Windows, чтобы изменения вступили в силу.

4. Затем откройте меню «Пуск», найдите « gpedit.msc » и щелкните результат поиска, чтобы открыть редактор групповой политики.

5. В редакторе групповой политики перейдите в следующую папку.

Конфигурация компьютера → Административные шаблоны → Система → Device Guard

6 . На правой панели найдите и дважды щелкните объект групповой политики « Включить безопасность на основе виртуализации ».

7. В окне свойств выберите вариант « Включено ». Это действие активирует от трех до четырех дополнительных параметров на панели «Параметры».

8. В доступных раскрывающихся меню выберите соответствующие параметры .

Если вам когда-нибудь понадобится дополнительная информация о том, что делает каждый параметр, взгляните на левую панель. Он подробно расскажет вам, что делает каждый параметр.

9. По завершении настройки нажмите кнопки « Применить » и « Ok ».

10. Перезагрузите Windows .

После включения Device Guard вам необходимо настроить политики. Я рекомендую вам начать работу с этого руководства Microsoft.

Действия по отключению

Если вы хотите отключить функцию Device Guard, просто выберите «Отключено» или «Не настроено» »В окне свойств политики (см. Шаг 7).

Вот и все. Надеюсь, это поможет. Если вы застряли или вам нужна помощь, прокомментируйте ниже, и я постараюсь помочь в максимально возможной степени. Если вам понравилась эта статья, узнайте, как включить защиту от программ-вымогателей в Windows 10, чтобы защитить ваши данные от программ-вымогателей.

Вы тут: Главная Popular Принцип работы S Mode в Windows 10 и настройка Device Guard своими руками

Недавно Microsoft объявила, что после официального выпуска версии 1803 (RS4) на рынок выйдет более 20 моделей ПК с Windows 10 Home и Pro в режиме S Mode, а организации смогут развертывать в нем издание Enterprise. Сегодня я расскажу о том, как работает S Mode в Windows 10, а вы сможете попробовать его на практике, воспользовавшись готовыми политиками WDAC или настроив их самостоятельно.

Microsoft относительно недавно начала экспериментировать с этим вариантом поставки Windows 10, поэтому история вопроса короткая.

Издание Windows 10 S

Изначально Microsoft сделала отдельное издание Windows 10 S, и в мае 2017 года компания выпустила свой Surface Laptop с этим изданием на борту. Доподлинно неизвестно, что скрывается за буквой “S”, но можно предположить Security.

В этом издании можно запускать только приложения из Магазина, а также классические программы, входящие в состав Windows, но не все. В черный список попали исполняемые файлы, с помощью которых можно запустить вредоносный код или нарушить нормальную работу системы: cmd, powershell, mshta, wmic, cscript, wscript, regedit и т.д.

При попытке запустить заблокированное приложение появляется такое окно:

S Mode WDAC

В издании S ссылка «Узнать…» ведет в магазин, где можно обновиться до обычного издания.

Кому нужна такая Windows

Осенью 2017 года Microsoft анонсировала устройства вендоров, а заодно изобрела новый ужасный термин для целевой аудитории – Firstline Workers. По версии компании, это два миллиарда неких людей, которые являются первой точкой контакта между их работодателем и клиентами.

S Mode WDAC

Журналист Brad Sams опубликовал полученную от Microsoft статистику переходов с издания S до обычного на устройствах вендоров (апгрейд был бесплатным).

  • 60% остались на S
  • Из перешедших на обычное издание, 60% сделали это в первые сутки
  • Из не перешедших на обычное издание в первые семь дней, 83% остались на S

Трудно поверить, что 6 из 10 человек устроил столь ограниченный режим, но это были устройства из нижнего ценового сегмента (в статистику не попали владельцы Surface Laptop). Поэтому сведения основаны на не самых опытных пользователях или наоборот, слишком опытных ;) Но очевидно, что потенциальная аудитория у такого подхода есть, и она вполне пересекается с типичными жертвами вредоносного и кривого ПО.

S Mode

Первоначально Microsoft планировала сделать бесплатным обновление издания S до обычного Home, но брать $49 за переход на Pro. Этой весной компания сменила стратегию. Начиная с версии 1803 вместо отдельного издания будет просто режим S, который можно бесплатно отключить на всех изданиях и получить обычную Windows 10, будь то Pro или Home.

Видимо, со временем S Mode станет основным в новых компьютерах с Windows. И платное отключение ограничений лишь вызвало бы гнев владельцев новых ПК, не подозревавших о подвохе. Я считаю новый подход более разумным.

S Mode в действии

Я отдаю себе отчет, что подавляющее большинство читателей этого блога такая Windows не устроит. Но ведь интересно же попробовать :) Загнать себя в S Mode вы можете за минуту на любом издании.

  1. Загрузите ZIP-архив и распакуйте файл SIPolicy.p7b в любое место
  2. Скопируйте файл в папку C:WindowsSystem32CodeIntegrity
  3. Перезагрузите систему и запустите любое стороннее приложение

Вот так блокируется запуск браузера Chrome (скриншот сделан в издании Pro, но в Home работает точно так же).

S Mode WDAC

Когда надоест жить по новым правилам, просто удалите файл из системной папки и перезагрузитесь.

В готовых устройствах S Mode может форсироваться несколько иначе, например, путем размещения файла политик winsipolicy.p7b на разделе EFI в папке EFIMicrosoftBoot, либо в папке WindowsBootEFI. Но это мелочи реализации.

Понятно, что в S Mode сторонних классических приложений нет изначально, и установить их не получится. Однако в моем примере консоли не блокируются, и дальше я покажу, как это делается в S Mode.

Device Guard

Microsoft не публикует техническую документацию по реализации ограничений в издании S, из-за чего создается некий налет таинственности. Но читатели моего канала в Telegram , наверняка, вспомнили пост про защиту целостности кода с помощью гипервизора (HVCI), где тоже фигурировал файл SIPolicy.p7b.

В Windows 10 реализована мощная защитная технология – Windows Defender Device Guard. Это набор политик, контролирующих целостность исполняемого кода. Они загружаются при запуске системы и применяются ко всему устройству.

Device Guard стоит на трех китах:

  • Windows Defender Application Control (WDAC) — политики контроля запуска приложений допускают только выполнение явно разрешенного подписанного кода. В файле SIPolicy.p7b выше сконфигурированы политики, блокирующие запуск любых приложений, кроме магазинных и подписанных Microsoft.
  • VSM Protected Code Integrity — целостность кода, защищенная с помощью режима виртуальной безопасности (Virtual Secure Mode). Технология опирается на виртуализацию процессора для дополнительной защиты данных в памяти. В рамках VSM работает механизм Kernel Mode Code Integrity (KMCI), контролирующий целостность кода в режиме ядра. В пользовательском режиме контроль осуществляет аналогичный механизм User Mode Code Integrity (UMCI). Вместе они форсируют настроенные политики WDAC.
  • UEFI Secure Boot — защита файлов загрузки ОС от манипуляций и подмены. Для работы Device Guard требуется загрузка в нативный UEFI и включенный Secure Boot.

S Mode WDAC

Политики контроля приложений (WDAC)

Device Guard вообще и WDAC в частности рассчитаны на применение в крупных организациях. Командлеты PowerShell и групповые политики для работы с политиками целостности кода есть только в корпоративных изданиях Enterprise / Education. Но сама по себе технология защиты реализована и в младших изданиях Windows, что констатирует msinfo32 в моем издании Pro (в домашнем издании эти сведения не отображаются).

S Mode WDAC

Именно политики WDAC препятствуют запуску сторонних приложений в моем примере. В S Mode они также блокируют ряд исполняемых файлов Microsoft, и сейчас я покажу, как это настроено.

Вам понадобится корпоративное издание

Device Guard – большая и сложная тема, поэтому я разберу основы создания и настройки политик приложений, а также подкину вам достаточно документации по этому вопросу.

Для конфигурации и создания политик требуется издание Enterprise или Education, и вы можете воспользоваться бесплатной виртуальной машиной (на ней же и тестировать).

Создание простой блокирующей политики WDAC

В папке C:windowsschemascodeIntegrityExamplePolicies есть образцы форсирования (Enforce) и аудита (Audit) политик в формате XML. Там, кстати, есть и образец для HVCI.

S Mode WDAC

Для примера выше я взял файл DefaultWindows_Enforced.xml и преобразовал его в двоичный формат PKCS #7 с помощью командлета PowerShell ConvertFrom-CIPolicy.

ConvertFrom-CIPolicy -XmlFilePath C:windowsschemasCodeIntegrityExamplePoliciesDefaultWindows_Enforced.xml -BinaryFilePath C:WindowsSystem32CodeIntegritySIPolicy.p7b

Команда сразу помещает в системную папку сформированный файл политик, которые начинают применяться после перезагрузки.

Все срабатывания политики регистрируются в журнале событий: Журналы приложений и служб – Microsoft – Windows – Code Integrity. На картинке событие, которое заносится при запуске заблокированного приложения.

S Mode WDAC

Для аудита воспользуйтесь файлом DefaultWindows_Audit.xml. В этом случае ничего не блокируется, но в журнал вносится запись с информационным уровнем.

Блокировка отдельных приложений

Надо понимать, что в состав Windows входит немало приложений, с помощью которых можно выполнить произвольный код, даже если они для этого не предназначены. Формально Microsoft может не считать это уязвимостью, если нет повышения привилегий, но факт остается фактом.

Осмотрительные администраторы блокируют такие приложения с помощью SRP или AppLocker, но можно использовать и Device Guard.

Правила для файлов: пример запрета

Давайте посмотрим, как в S Mode блокируются CMD, PowerShell и прочие системные приложения, позволяющие выполнение кода. Документация перечисляет полный набор доступных уровней правил для файлов — от имени файла до издателя. На другой странице есть образец политики в формате XML, где содержатся правила для приложений, которые могут послужить для выполнения произвольного кода.

В списке нет консолей, но их несложно добавить. Скопируйте файл в текстовый редактор, и двигайтесь по нему сверху вниз.

Узел Rules

В узле Rules сформулированы общие правила Device Guard.

<Rule>
      <Option>Enabled:UMCI</Option>
</Rule>

По умолчанию Device Guard форсирует только KMCI, a это правило включает UMCI (оно активно и в образце DefaultWindows_Enforced.xml). Форсирование UMCI переводит PowerShell 5.1 в режим Constrained Language, значительно снижая поверхность атаки. Это даже важнее, чем просто блокировка запуска powershell.exe, потому что злоумышленники могут задействовать PowerShell и другими способами.

<Rule>
      <Option>Enabled:Audit Mode</Option>
</Rule>

Образец рассчитан на аудит. Если вы планируете форсировать политику, удалите правило.

Узел File Rules

Раздел содержит правила для файлов.

    <Deny  ID="ID_DENY_WINDBG"            FriendlyName="windbg.exe"                  FileName="windbg.Exe" MinimumFileVersion = "65535.65535.65535.65535" />

По порядку:

  • ID — идентификатор правила на ваше усмотрение.
  • FriendlyName и FileName — имя файла, причем обойти политику переименованием файла не получится, поскольку отслеживание ведется на уровне имени в ресурсах файла (FileName). Замена ресурсов ломает цифровую подпись, что тоже ведет к блокировке.
  • MinimumFileVersion  — минимальная версия файла, которую разрешает политика. В примере указана максимально возможная версия, т.е. полный запрет. Но если, скажем, уязвимость есть в версии 3.2.1, а в версии 3.2.2 она исправлена, в политике можно указать 3.2.2.

Добавьте полный запрет на запуск консолей:

<Deny  ID="ID_DENY_CMD" FriendlyName="cmd.exe" FileName="cmd.exe" MinimumFileVersion = "65535.65535.65535.65535" />
<Deny  ID="ID_DENY_POWERSHELL" FriendlyName="powershell.exe" FileName="powershell.exe" MinimumFileVersion = "65535.65535.65535.65535" />

Узел Signers

Раздел содержит правила для подписей. В образце есть такой узел:

<SigningScenario Value="12" ID="ID_SIGNINGSCENARIO_WINDOWS" FriendlyName="User Mode Signing Scenarios">
      <ProductSigners>
        <FileRulesRef>
          <FileRuleRef RuleID="ID_DENY_BGINFO"/>
          <FileRuleRef RuleID="ID_DENY_CBD"/>
          <FileRuleRef RuleID="ID_DENY_KD"/>
          <FileRuleRef RuleID="ID_DENY_NTKD" />
          <FileRuleRef RuleID="ID_DENY_WINDBG" />
		  ...

Здесь перечислены идентификаторы файловых правил, добавьте свои:

<FileRuleRef RuleID="ID_DENY_CMD"/>
<FileRuleRef RuleID="ID_DENY_POWERSHELL"/>

Сохраните файл с любым именем, например, FilePolicy_Enforced.xml где-нибудь в C:temp.

Объединение и применение политик

Теперь надо объединить политику с правилами для файлов с общей политикой контроля кода. Тем самым будут блокироваться не только сторонние приложения, но и файлы из списка.

Я буду форсировать политику, и чтобы не набирать длинные пути, я скопировал в C:temp образец DefaultWindows_Enforced.xml. Для объединения используется командлет Merge-CIPolicy.

cd c:temp
Merge-CIPolicy -PolicyPaths '.DefaultWindows_Enforced.xml','.FilePolicy_Enforced.xml' -OutputFilePath '.MergedPolicy.xml'

На выходе получается файл MergedPolicy.xml, который теперь можно конвертировать в политику. Я сразу помещаю сформированный файл в системную папку.

ConvertFrom-CIPolicy -XmlFilePath C:tempMergedPolicy.xml -BinaryFilePath C:WindowsSystem32CodeIntegritySIPolicy.p7b

Результат после перезагрузки:

S Mode WDAC

Работает! Конечно, на практике обязательно потребуется не только запретить что-то, но и разрешить какие-то приложения.

Разрешение отдельных приложений

В качестве примера возьмем браузер Chrome и разрешим его запуск, сохраняя запрет на прочие сторонние приложения и консоли.

Создание правила для издателя

Правило Publisher будет опираться на сертификат издателя, которым подписан исполняемый файл браузера Chrome (см. также примечание Артема в комментариях по поводу правил Publisher и FilePublisher).

Командлет New-CIPolicy умеет сканировать указанную папку и создавать правила в соответствии с заданными параметрами. Пример продолжает работу в папке temp.

New-CIPolicy -Level Publisher -ScanPath "C:Program Files (x86)GoogleChromeApplication" -FilePath '.AllowPolicy.xml' -UserPE

Здесь задается уровень правил для издателя, а параметр UserPEs обеспечивает применение политики к приложениям, запускаемым в режиме пользователя (без этого параметра защита блокирует запуск). По результатам сканирования создается файл AllowPolicy.xml, где в разделе Signers вы найдете правило для конкретного сертификата Symantec, которым подписан исполняемый файл Chrome.

    <Signer ID="ID_SIGNER_S_2B" Name="Symantec Class 3 SHA256 Code Signing CA">
      <CertRoot Type="TBS" Value="A08E79C386083D875014C409C13D144E0A24386132980DF11FF59737C8489EB1" />
      <CertPublisher Value="Google Inc" />
    </Signer>

Файл политик формируется для режима аудита, поэтому для форсирования надо удалить из него правило Enabled:Audit Mode.

Объединение и применение политик

Теперь нужно объединить три правила уже знакомым командлетом Merge-CIPolicy. Команда та же, что и раньше, но в теперь список политик добавляется разрешающая:

Merge-CIPolicy -PolicyPaths '.DefaultWindows_Enforced.xml','.FilePolicy_Enforced.xml', '.AllowPolicy.xml' -OutputFilePath '.MergedPolicy.xml'

Создание файла политики из XML вы уже видели:

ConvertFrom-CIPolicy -XmlFilePath C:tempMergedPolicy.xml -BinaryFilePath C:WindowsSystem32CodeIntegritySIPolicy.p7b

В результате Chrome будет запускаться, а все сторонние приложения и консоли – блокироваться.

S Mode WDAC

Тему разрешения запуска неподписанных приложений я оставляю вам для самостоятельного изучения ;)

Полезные материалы

Цель этой статьи – снять завесу таинственности с S Mode и познакомить вас с основами политик контроля приложений. Для внедрения на практике придется повозиться подольше, и я подобрал для вас ссылки по теме.

На момент публикации статьи документация не переведена на русский язык, но это не должно быть проблемой для ИТ-специалиста, берущегося развертывать политики WDAC.

  • Руководство по развертыванию Device Guard
  • Развертывание WDAC
  • Создание политики WDAC на основе шаблонного ПК
  • Getting Started with Windows Device Guard: 1, 2
  • Windows 10 Device Guard and Credential Guard Demystified
  • Скрипт PowerShell для обратной конвертации файла политик в XML

Дискуссия и опрос

Device Guard и S Mode в частности не являются непробиваемой защитой. Исследователи время от времени публикуют способы обхода Device Guard, и наверное, невозможно полностью защитить Windows, не превращая ее в бесполезную для работы ОС. Но контроль запуска приложений значительно снижает поверхность атаки, эффективно защищая от массовых угроз.

У меня отец пользуется только браузером (Chrome, но я сам пересадил его с IE), торрентом, проигрывателем видео, Skype и Telegram. И я время от времени нахожу у него какие-то левые программы и прочие агенты mail.ru. Думаю, он вполне смог бы работать в S Mode, и я считаю этот режим правильным направлением в контексте укрепления безопасности экосистемы Windows в целом.

Microsoft не бросит Магазин, и там фактически уже есть набор приложений (не UWP, так Desktop Bridge), который должен удовлетворить не самых требовательных пользователей. Компания также возлагает надежды на Progressive Web Apps (PWA). Начиная с версии 1803 их поддерживает Edge, а в качестве канала доставки можно использовать Магазин.

Расскажите в комментариях, есть ли у вас родственники или знакомые, которым было бы достаточно S Mode, и рекомендовали бы вы этот режим им? Опрос покажет количественный расклад. Если S Mode хватило бы лично вам, выбирайте первый пункт.

Есть ли у вас родственники или знакомые, которых устроил бы S Mode?

  • Да, если бы в магазине был сторонний браузер (35%, голосов: 65)
  • Нет (32%, голосов: 58)
  • Да (23%, голосов: 42)
  • Не знаю / Моего варианта тут нет (10%, голосов: 19)

Проголосовало: 184 [архив опросов]

Загрузка ... Загрузка …

Device Guard в Windows 10 – это микропрограмма, которая не позволяет загружать не прошедшие проверку подлинности, неподписанные, неавторизованные программы, а также операционные системы. Мы уже говорили о том, что нам нужна операционная система, которая выполняет самопроверку того, что все подается на него и загружается в оперативную память для выполнения. Зависимость только от программного обеспечения для защиты от вредоносных программ не является мудрой вещью в наши дни, хотя у нас не так много вариантов. Антивредоносное ПО – это отдельное приложение, которое необходимо загрузить в память, прежде чем оно начнет сканирование приложений, загружаемых в память.

Ранее мы говорили о том, что Windows 8.1 – это антивирусная операционная система. Он действует на себя и на другие приложения, чтобы определить, являются ли они подлинными приложениями, необходимыми компьютеру, задолго до загрузки интерфейса, так что уровень безопасности добавляется к компьютерам, на которых он запускается. Короче говоря, он предоставляет Trusted Boot , службу защиты от вредоносного ПО во время загрузки, чтобы держать вредоносное ПО в страхе. Но авторы вредоносных программ умны и могут использовать определенные методы, чтобы обойти эту проверку. Поэтому Microsoft добавила еще одну функцию, которая обещает более жесткие меры защиты от вредоносного ПО во время загрузки.

Содержание

  1. Device Guard в Windows 10
  2. Разрешает ли Device Guard другие операционные системы?
  3. Необходимое аппаратное и программное обеспечение для Device Guard

Device Guard в Windows 10

В связи с растущими проблемами безопасности Microsoft теперь предлагает встроенное ПО, которое будет работать на аппаратном уровне во время и даже перед загрузкой, чтобы позволить загружать только правильно подписанные приложения и сценарии. Это называется Windows Device Guard , и OEM-производители с радостью готовы установить его на компьютеры, которые они производят.

Device Guard – одна из главных функций безопасности Microsoft в Windows 10. OEM-производители, такие как Acer, Fujitsu, HP, NCR, Lenovo, PAR и Toshiba, также одобрили ее.

Device Guard – это комбинация аппаратных и программных функций безопасности, которые при совместном конфигурировании блокируют устройство, чтобы оно могло запускать только доверенные приложения. Он использует новую систему безопасности на основе виртуализации в Windows 10, чтобы изолировать службу целостности кода от самого ядра Windows, позволяя службе использовать сигнатуры, определенные вашей корпоративной политикой, чтобы помочь определить, что заслуживает доверия.

Основная функция Device Guard в Windows 10 заключается в проверке каждого процесса, загружаемого в память, на выполнение до и во время процесса загрузки. Он будет проверять подлинность, основываясь на надлежащих сигнатурах приложений, и будет предотвращать загрузку в память любого процесса, которому не хватает надлежащей подписи.

Device Guard от Microsoft использует технологию, встроенную на аппаратном уровне, а не на программном уровне, которая может пропустить обнаружение вредоносного ПО. Он также использует виртуализацию для обеспечения правильного процесса принятия решений, который сообщит компьютеру, что разрешать и что предотвращать загрузку в память. Эта изоляция предотвратит вредоносное ПО, даже если злоумышленник полностью контролирует системы, в которых установлена ​​защита. Они могут попытаться, но не смогут выполнить код, поскольку у Guard есть свои собственные алгоритмы, которые блокируют выполнение вредоносных программ.

Говорит Microsoft:

Это дает ему значительное преимущество по сравнению с традиционными антивирусными технологиями и технологиями контроля приложений, такими как AppLocker, Bit9 и другие, которые могут быть изменены администратором или вредоносным ПО.

Device Guard против антивирусного программного обеспечения

Пользователям Windows по-прежнему необходимо установить на свои устройства программное обеспечение для защиты от вредоносных программ, если вредоносное ПО происходит из других источников. Единственное, от чего Windows Device Guard защитит вас, – это вредоносная программа, которая пытается загрузиться в память во время загрузки, прежде чем антивирусная программа сможет защитить вас.

Поскольку новый Device Guard может не иметь доступа к макросам в документах и ​​вредоносных программах на основе сценариев, Microsoft заявляет, что пользователям придется использовать программное обеспечение для защиты от вредоносных программ в дополнение к Guard. В Windows теперь есть встроенная антивирусная программа под названием Защитник Windows. Вы можете зависеть от этого или использовать стороннее вредоносное ПО для лучшей защиты.

Разрешает ли Device Guard другие операционные системы?

Windows Guard позволяет обрабатывать только предварительно утвержденные приложения во время загрузки. ИТ-разработчики могут разрешить все приложения доверенному поставщику или настроить его для проверки каждого приложения на утверждение. Независимо от конфигурации, Windows Guard разрешит запуск только утвержденных приложений. В большинстве случаев утвержденные заявки будут определены подписью разработчика приложения.

Это дает поворот к параметрам загрузки. Те операционные системы, которые не имеют проверенных цифровых подписей, не будут загружены Windows Guard для загрузки.Однако для того, чтобы получить какое-либо приложение или ОС для получения сертификата, не требуется много усилий.

Необходимое аппаратное и программное обеспечение для Device Guard

Чтобы использовать Device Guard, вам необходимо установить и настроить следующее аппаратное и программное обеспечение:

  1. Windows 10. Device Guard работает только с устройствами под управлением Windows 10.
  2. UEFI. Он включает функцию Secure Boot, которая помогает защитить целостность вашего устройства в самой прошивке.
  3. Надежный ботинок. Это архитектурное изменение, которое помогает защитить от руткит-атак.
  4. Безопасность на основе виртуализации. Контейнер, защищенный Hyper-V, который изолирует чувствительные процессы Windows 10. T
  5. Инспектор пакетов. Инструмент, который поможет вам создать каталог файлов, которые требуют подписи для классических приложений Windows.

Вы можете прочитать больше об этом на TechNet.

Потратьте некоторое время, чтобы прочитать о защите корпоративных данных в Windows 10.

Безмалый В.Ф.

Microsoft Security Trusted Advisor

Вирусы-шифровальщики стали настоящим бичем нашего времени. Увы, стоит признать, что мы живем в эпоху бурного развития данного типа угроз. Посмотрим статистику 2016 года от Kaspersky Lab:

  • Возникло 62 новых семейства программ-вымогателей.
  • Количество новых модификаций вымогателей выросло в 11 раз – с 2900 в период с января по март до 32 091 в июле–сентябре.
  • С января по конец сентября число атак на компании увеличилось в три раза: если в январе атаки проводились в среднем каждые две минуты, то в сентябре – уже каждые 40 секунд.
  • Интенсивность атак на пользователей удвоилась: атаки проводились в среднем раз в 20 секунд в начале периода и раз в 10 секунд в его конце.
  • Каждая пятая компания малого или среднего бизнеса, заплатившая выкуп, так и не получила доступ к своим данным.

Как видите, ситуация совсем неутешительна. Что делать? Естественно, первое что приходит на ум – делать резервные копии, в корпоративных сетях не хранить никакие данные на рабочих станциях. Ведь делать резервные копии серверов куда проще, тем более делать их регулярно, несколько раз в сутки. Чем мы рискуем в таком случае? Тем что пользователи, увы, будут в любом случае хранить данные на своем ПК. Особенно VIP-пользователи, считающие что правила написаны не для них. Ну, возразите вы своему руководителю? Чем закончится? Как правило, поиском работы для ИТ.

И все же если пользовательский ПК зашифрован, вы потеряете, как максимум, информацию за период от предшествующего резервного копирования до текущего времени. Но что делать, если и это не выход?

Для этого вам необходимо понять, как происходит заражение?

Атака может происходить по нескольким векторам. Как правило, самый распространенный путь заражения – электронная почта. Сегодня преступники активно используют методы социальной инженерии, эффективность которых, увы, со временем не падает. Преступник может позвонить сотруднику вашей компании и после беседы направить письмо с вложением, содержащим вредоносную ссылку. Сотрудник, безусловно, откроет этот файл, ведь он только что говорил с отправителем по телефону. Это, естественно, один из примеров. К сожалению, от таких атак не застрахован никто. Снизить вероятность подобной атаки можно лишь регулярным обучением пользователей.

Источником атаки может служить фишинговый сайт, на который пользователь зашел по мошеннической ссылке, случайно нажатая кем-то ссылка или почтовое вложение. Все чаще заражение происходит через мобильные устройства сотрудников, с которых они получают доступ к корпоративным ресурсам. А ведь антивирус больше не панацея. Известны сотни программ, которые обнаруживались уже после заражения.

Более того, часто администраторы либо не устанавливают обновления безопасности, либо делают это значительно позже необходимого.

Что посоветовать?

В данной статье мы рассмотрим несколько технологий от Microsoft.

Windows Defender Advanced Threat Protection

Ключевые особенности данного сервиса:

  1. Отказоустойчивый, полноценный датчик уровня ядра, который подвержен меньшим рискам, чем установленное «поверх» стороннее средство.
  2. Высокая производительность, гарантированная Майкрософт (решениепрошло строгое тестирование Windows и отвечает требованиям к производительности).
  3. Может работать одновременно с любым сторонним антивирусом и файерволом, проблем совместимости приложений нет, так как данная служба работает на базе сервиса Microsoft Azure и доступ к консоли WD ATP педоставляется через портал securitycenter.windows.com. Компонент ATP разработан Майкрософт как часть Windows 10 (модель «Windows как услуга», WaaS), при обновлении ОС не возникает ошибок типа«синий экран» (так как для активации расширенных средств обнаружения не требуется реконструирование ядра Windows, достаточно скачать с портала скрипт и распространить его с помощью групповых политик).
  4. Возможность проведения расследования:
    • Ретроспективный анализ ВСЕХ событий на ВСЕХ конечных точках за период до 6 месяцев и глобальный поиск.
    • Удобный доступ к функциям детонации (глубокого анализа).
    • Аналитика угроз из ведущих источников (Майкрософт, iSIGHT) встроена врешение.
  5. Поведенческий анализ:
    • Обнаружение на основе анализа поведения позволяет выявлять неизвестные угрозы и даже угрозы нулевого дня.
    • Масштабы отслеживания — создание базовой модели нормального поведения для каждой машины на основе данных, полученных с более 1 млрд устройств подуправлением Windows.
    • Глубина анализа.
  6. Решение на базе облака
    • Не нужны локальные компоненты, неограниченные возможности масштабирования.
    • Логика обнаружения не доступна для изучения злоумышленником за счет использования облачных сервисов.
    • Контроль конечных точек, даже когда они не подключены ккорпоративному домену.
    • Высокий уровень соответствия требованиям и конфиденциальности данных, основанный на строгих отраслевых стандартах.

Для работы Windows Defender ATP использует:

  • Датчики поведенческого анализа, встроенные в Windows Эти датчики собирают поведенческие сигналы от компонентов операционной системы.
  • Облачная аналитика. Используя такие технологии Machine Learning в Azure, информация собирается с Win10, Office, EMS, проводится анализ и рекомендуется то или иное поведение.
  • Анализ угроз. В результате анализа Windows Defender ATP идентифицирует инструменты атакующего, методы и процедуры и генерирует предупреждения, если обнаруживается угроза.

На следующей схеме показаны сервисные компоненты Windows Defender ATP:

Windows Defender ATP работает как с существующими технологиями безопасности Windows на конечных точках, такими как: Windows Defender, AppLocker и Device Guard, так и со сторонними решениями по обеспечению безопасности и антивирусными продуктами.

Device Guard

Device Guard или, чаще встречается термин «белый список ПО», — метод защиты основанный на том, что запускается только разрешенное ПО. Данный метод нуждается в большой предварительной работе.

Перед внедрением данного метода вы должны составить список программного обеспечения (с учетом версий) применяемого в вашей организации. Причем не просто составить список, а составить список, отсортировав его по компьютерам и пользователям. А затем проверить совместимость ПК на возможность настройки на них DG

Увы, но стоит признать, что в большинстве организаций подобный учет попросту отсутствует и никогда не проводился. Подобная инвентаризация занимает много времени и сил.

Кроме того, следует учесть, что сами пользователи не знают какое именно ПО им нужно.

Что такое Device Guard

Device Guard — сочетание корпоративных функций безопасности оборудования и программного обеспечения, которые можно настроить для блокировки устройства, чтобы на нем запускались только доверенные приложения. Если приложение не является доверенным, оно не будет работать ни при каких условиях. Это также означает, что даже если злоумышленник получит контроль над ядром Windows, он с гораздо меньшей вероятностью сможет запустить вредоносный код после перезапуска компьютера вследствие метода принятия решений о том, что и когда может запускаться.

В Windows 10 Корпоративная Device Guard задействует новые меры безопасности на основе виртуализации для изоляции службы целостности кода от самого ядра Microsoft Windows, что позволяет службе использовать сигнатуры, определенные корпоративной политикой для определения надежных объектов. По существу, служба целостности кода работает вместе с ядром в контейнере Windows, защищенном гипервизором.

Как работает Device Guard

Device Guard позволяет операционной системе Windows 10 Корпоративная запускать только код, подписанный доверенными источниками, в соответствии с вашей политикой целостности кода ядра при помощи определенных конфигураций оборудования и безопасности, включая:

  • целостность кода пользовательского режима (UMCI);
  • новые правила целостности кода ядра, в том числе новые ограничения подписей, установленные лабораториями WHQL;
  • безопасную загрузку с ограничениями базы данных (db/dbx);
  • безопасность на основе виртуализации для защиты системной памяти, а также приложений и драйверов на основе ядра от возможного взлома;
  • дополнительно:доверенный платформенный модуль (TPM) 1.2 или 2.0.

Следует учесть, что так как устройство запускается с использованием безопасной загрузки UEFI, потому программы типа boot-kit и root-kit не смогут запускаться.

После безопасного запуска операционная система Windows 10 Enterprise может запустить службы безопасности на основе Hyper-V. Эти службы обеспечивают защиту ядра системы, не позволяя вредоносному коду запускаться на ранних этапах загрузки или в режиме ядра после запуска.

Требуемое оборудование и программное обеспечение

Перед загрузкой и использованием Device Guard необходимо выполнить следующие требования

Требование Описание
Windows 10 Enterprise Компьютер должен работать под управлением ОС Windows 10 Enterprise.
Микропрограммное обеспечение UEFI версии 2.3.1 или старше и поддержка безопасной загрузки Чтобы убедиться, что микропрограммное обеспечение использует UEFI 2.3.1 или более поздней версии и безопасную загрузку, можно выполнить проверку на соответствие требованиям Программы совместимости оборудования для Windows, воспользовавшись следующей ссылкой:  System.Fundamentals.Firmware.CS.UE FISecureBoot.ConnectedStandby .
Расширения виртуализации Для поддержки механизма обеспечения безопасности на основе виртуализации необходимы следующие расширения виртуализации:

  • Intel VT-x или AMD-V.
  • Преобразование адресов второго уровня (SLAT).
Блокировка встроенного ПО. Необходимо заблокировать настройку встроенного ПО, чтобы не допустить запуска других операционных систем и внесения изменений в параметры UEFI. Кроме того, необходимо заблокировать все остальные методы загрузки, кроме загрузки с жесткого диска.
64-разрядная (64) архитектура Функции, которые механизм обеспечения безопасности на основе виртуализации использует в низкоуровневой оболочке Windows, могут работать только в 64-разрядных архитектурах.
Модуль IOMMU (модуль управления памятью для операций ввода-вывода) VT-d или AMD-Vi В Windows 10 модуль IOMMU повышает устойчивость системы к атакам на память. ?
Процесс безопасного обновления встроенного ПО Чтобы убедиться, что встроенное ПО поддерживает процесс безопасного обновления, его можно проверить на соответствие требованиям программы совместимости оборудования для Windows, воспользовавшись:  System.Fundamentals.Firmware.UEFISecureBoot .
Действия перед использованием Device Guard в вашей организации

Прежде чем начать использовать Device Guard, необходимо настроить среду и политики.

Подпись приложений

Режим Device Guard поддерживает и приложения UWP, и классические приложения для Windows. Доверие между Device Guard и вашими приложениями устанавливается, когда ваши приложения подписываются с помощью подписи, которую вы определяете, как надежную. Однако подходят не все подписи.

Внимание! Начиная с Windows 10 1703 все приложения, развернутые через SCCM являются доверенными

Подпись ставится следующим образом.

  • С помощью процедуры публикации в Магазине Windows.Все приложения в Магазине Microsoft Store автоматически подписываются с помощью специальных подписей, предоставляемых нашим или вашим собственным центром сертификации (ЦС).
  • Использование собственного цифрового сертификата или инфраструктуры открытых ключей (PKI).Поставщики услуг Интернета и организации могут сами подписывать свои классические приложения для Windows, добавляя себя в список доверенных источников.
  • С помощью заверителя подписи, отличного от Microsoft.Поставщики услуг Интернета и организации могут использовать доверенного заверителя подписи, отличного от Microsoft, чтобы подписывать собственные классические приложения для Windows.
  • С помощью веб-службы, предоставляемой Microsoft (выйдет позже в этом году).Поставщики услуг Интернета и организации смогут использовать более надежную, предоставляемую корпорацией Microsoft, веб-службу для подписания своих классических приложений для Windows.
Заключение

Применяя данные технологии, вы сможете снизить вероятность заражения. Вместе с тем хотелось бы отметить, что только комплексный подход обеспечит вам защиту от вредоносного ПО. Надеюсь, что приведенное описание подходов к защите от шифровальщиков подтолкнет вас к более глубокому изучению технологий.

Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

In today’s Ask the Admin, I will show you how to enable and configure Device Guard in Windows 10 Enterprise and Windows Server 2016.

Device Guard is new in Windows 10 Enterprise. For the first time, it allows system administrators to customize kernel-mode and user-mode, code integrity checks using Configurable Code Integrity (CCI). Using a Device Guard policy, untrusted code can be blocked once the boot loader has started. This can help in preventing malware or other untrusted code from running on your systems. Additionally, if Virtual Secure Mode (VSM) is enabled, Device Guard provides more robust application control than Windows 7 AppLocker by utilizing a chain of trust. This can extend from the device hardware right through to the Windows kernel.

For more information on how Device Guard differs from AppLocker, the native application control solution in Windows 7, see Windows 10 Device Guard Versus AppLocker and What Is Windows 10 Device Guard? on Petri IT Knowledgebase.

Create a Device Guard Policy

In this article, I am going to run you through a basic proof-of-concept so that you can see how Device Guard works. In a production environment, you would need to do more work to ensure that policies do not prevent Windows booting or line-of-business apps from functioning correctly.

There is no GUI for Device Guard, so you will need to be comfortable using PowerShell cmdlets. The cmdlets work by scanning a clean, malware-free reference system. It will then, generate a set of rules that allow all scanned files to run by using a list of allowed publishers. Unsigned files will be blocked. Files signed by publishers that are not included in Device Guard policy will also be blocked. This will occur regardless of whether Windows trusts them.

There are ways to deal with unsigned files but that is for another article. The instructions below will assume that all the files scanned by Device Guard are signed and trusted by Windows. To test whether Device Guard is working, we will download a file that is not trusted in our Device Guard policy.

Scan a Reference Device

The reference Windows 10 or Windows Server 2016 device should be malware-free. They should also be configured in the same way as devices that you would apply the policy. There are three steps to deploying a policy:

  1. Scan a reference system to create an XML policy file. It should contain a list of rules to allow signers.
  2. Convert the XML file into a .bin file.
  3. Configure Device Guard using a Group Policy Object (GPO) or local policy.

VSM is not required but it does enable Device Guard to provide more robust protection.

Let’s start by creating a Device Guard policy using a clean install of Windows 10 Enterprise.

  • Open PowerShell with local admin privileges.
  • Change the working directory to c:temp.
  • Run New-CIPolicy to create an XML file for the local device.
  • You can view the contents of the file using Get-Content.
New-CIPolicy -FilePath '.policywin.xml' -Level Publisher -UserPEs -ScanPath 'c:windowssystem32'
Get-Content '.policywin.xml'

I restricted New-CIPolicy to the scanning of the system32 folder. This should capture most files that Windows needs to boot and run. We will scan the Program Files folder separately, which will generate a second XML file, policyprogs.xml. It can be merged with policywin.xml. The -UserPEs parameter tells New-CIPolicy to include user-mode programs in the scan.

Scan a reference system using the New-CIPolicy cmdlet (Image Credit: Russell Smith)Scan a Reference System Using the New-CIPolicy Cmdlet (Image Credit: Russell Smith)

Run New-CIPolicy again. This time, create a set of publisher rules for user-mode files.

New-CIPolicy -FilePath '.policyprogs.xml' -Level Publisher -UserPEs -ScanPath 
'c:program files' -NoScript

Merge XML and policyprogs.xml using Merge-CIPolicy.

Merge-CIPolicy -PolicyPaths '.policywin.xml', '.policyprogs.xml' -OutputFilePath 
'.policyfinal.xml'

New-CIPolicy always creates policies in audit mode. We will need to enforce policies by deleting the audit-mode rule from the XML file.

Set-RuleOption -FilePath '.policyfinal.xml' -Option 3 -Delete

Additionally, before deploying the Device Guard policy to production, set rule-option 9 from Advanced Boot Options Menu and rule-option 10 from Boot Audit on Failure. Administrators can access a pre-boot command prompt for managing Windows if the policy blocks a kernel-mode driver. These options can be deleted later.

Set-RuleOption -FilePath '.policyfinal.xml' -Option 9
Set-RuleOption -FilePath '.policyfinal.xml' -Option 10

Convert XML into a Device Guard policy using ConvertFrom-CIPolicy.

ConvertFrom-CIPolicy '.policyfinal.xml' '.DeviceGuardPolicy.bin'

Prepare the policy file for Device Guard (Image Credit: Russell Smith)

Prepare the Policy File for Device Guard (Image Credit: Russell Smith)

Enable Device Guard in Policy

To enable Device Guard, we need to add the DeviceGuardPolicy.bin file to a policy setting. In this example, I will use local policy to enable Device Guard on a single device. In a production environment, you can use Group Policy to enable Device Guard in your environment. For more details on creating GPOs, see Create and Link a Group Policy Object in Active Directory on Petri.

  • Type mmc in the search box on the taskbar, right click mmc in the results, and select Run as administrator from the menu.
  • In the console window, press CTRL+M to add a snap-in.
  • Under Available snap-ins on the left of the Add or Remove Snap-Ins dialogue, double-click Group Policy Object Editor in the list.

Enable Device Guard in policy (Image Credit: Russell Smith)

Enable Device Guard in Policy (Image Credit: Russell Smith)

  • Click Finish in the Select Group Policy Object dialogue to select the local computer.
  • Click OK in the Add or Remove Snap-Ins.
  • Under Local Computer Policy in the console window, expand Computer Configuration > Administrative Templates > System > Device Guard.
  • Double-click Deploy Code Integrity Policy on the right and set the policy to Enabled.
  • Add the path to the bin file you created in the previous steps. The file must be accessible from a local or network location on each device that receives the policy setting.
  • Reboot the device.

Test Device Guard

Let’s check if Device Guard is working. Download Google Chrome. Run the installer and you should see that Device Guard has blocked it. Because Google was not included in our Device Guard policy as a trusted publisher, any files signed by Google will be blocked.

Test Device Guard (Image Credit: Russell Smith)

Test Device Guard (Image Credit: Russell Smith)

In this article, I showed you how to get started with Device Guard in Windows 10 Enterprise.

Like this post? Please share to your friends:
  • Device guard windows 10 home как отключить
  • Device discovery tool скачать для windows
  • Device cproctrl c windows system32 sspicli dll
  • Device census windows 10 что это
  • Developing drivers with the windows driver foundation pdf