Verwaltung des Windows Defender Device Guard auf Windows-Desktops

Verwaltung des Windows Defender Device Guard auf Windows-Desktops

Desktop-Sicherheit ist ein wichtiges Anliegen der Unternehmens-IT, aber herkömmliche Antiviren- und Anti-Malware-Tools können nicht immer mit Tausenden von neuen und ungetesteten Dateien oder Anwendungen Schritt halten, die jeden Tag ein System erreichen können.

Inhaltsverzeichnis

Mit dem Ansatz von Windows Defender Device Guard für die Desktop-Sicherheit funktionieren Desktops als geschlossene Systeme, die nur vorab genehmigten Code ausführen, fast wie eine Whitelist für Software. Der systemeigene Windows Defender Device Guard in Windows 10 hilft der IT-Abteilung, dieses Ziel und andere kritische Sicherheitsaufgaben zu erreichen.

Was ist Windows Defender Device Guard?

Device Guard in Windows 10 beginnt auf der Hardwareebene und nutzt virtualisierungsbasierte Sicherheits- und HVCI-Funktionen (Hypervisor-enforced Code Integrity), die Firmware, Hardwaresicherheit und sichere Boot-Funktionen umfassen. Beispielsweise stützt sich Device Guard auf die UEFI-Firmware (Unified Extensible Firmware Interface) - die heutige Version des BIOS -, die in der Lage ist, einen Computer durch Funktionen wie Boot-Reihenfolge, Boot-Einträge, sicheren Boot, Kontrolle über Virtualisierungserweiterungen und andere Firmware-Funktionen zu sperren.

Darüber hinaus verwendet Device Guard die Trusted Platform Module (TPM) 2.0-Technologie, die bestimmte Hardwaresysteme authentifiziert. IT-Profis müssen sicherstellen, dass ihre Desktops über geeignete UEFI-Firmware, TPM- und HVCI-konforme Treiber verfügen, die über einen geschützten Speicher verfügen, den die Angreifer nicht verändern können.

Sobald Sie die Funktionen von Device Guard in Windows 10 aktivieren, können sie mit dem Windows-Kernel erzwungene Code-Integritätsrichtlinien festlegen, die Systeme auf die Verwendung nur autorisierter Anwendungen beschränken. Die Richtlinie selbst wird durch digitale Signaturen geschützt, so dass es für einen Angreifer nahezu unmöglich ist, die Richtlinie zu ändern und ein System erfolgreich für einen Angriff zu öffnen.

Mit der Bereitstellung von Windows 10 Version 1709 wurde Windows Defender Device Guard in zwei Tools aufgeteilt, die als Windows Defender Exploit Guard und Windows Defender Application Control bezeichnet werden. Windows Defender Exploit Guard ist größtenteils für die Low-Level-Hardware-Schutzmaßnahmen einschließlich der Verwendung von UEFI, Secure Boot und TPM verantwortlich. Die Windows Defender-Anwendungssteuerung legt die Richtlinie fest, die steuert, welcher Code im Kernel- und Benutzermodus auf dem System ausgeführt werden kann. Für die Zwecke dieses Artikels werden beide Tools als Windows Defender Device Guard bezeichnet.

Wovor schützt der Device Guard in Windows 10?

Windows Defender Device Guard verwendet eine Kombination aus Hardware- und Software-Richtlinien, um Desktops zu sperren, damit sie nur vertrauenswürdige Anwendungen ausführen können, die durch die Codeintegritätsrichtlinie einer Organisation definiert sind. Wenn die IT-Abteilung den Desktop so einschränkt, dass nur bekannte und vertrauenswürdige Software ausgeführt werden kann, ist sie nicht so sehr auf Anti-Malware-Tools angewiesen.

Wenn die IT-Abteilung den Desktop nur auf die Ausführung bekannter und vertrauenswürdiger Software beschränkt, muss sie sich nicht so sehr auf Anti-Malware-Tools verlassen.

Ein sekundärer Vorteil von Device Guard bei Windows-Desktops besteht darin, die Compliance und die Geschäftskontinuität eines Unternehmens zu verbessern. Mit Device Guard können Unternehmen sicherstellen, dass der gesamte auf einem bestimmten Desktop zulässige Code ihren Standards entspricht. Diese Verwaltungspraxis kann die Änderungskontrollmechanismen eines Unternehmens ergänzen und Administratoren alarmieren, wenn jemand versucht, unerlaubten Code auszuführen, sei es ein Benutzer oder ein Angreifer von außen.

Wie die meisten Richtlinien ist eine Richtlinie zur Codeintegrität jedoch keine einmalige Angelegenheit. Unternehmen testen, entwickeln und implementieren ständig neue Anwendungen, und die Entwickler vorhandener Anwendungen führen ständig Patches, Aktualisierungen und Upgrades ihrer Anwendungen durch. Eine Organisation, die Device Guard auf Windows-Desktops implementiert, muss die Codeintegritätsrichtlinie regelmäßig überprüfen, um sicherzustellen, dass Benutzer auf die neuesten und besten Versionen von Anwendungen zugreifen können.

Was sind die bewährten Verfahren für die Verwendung von Windows Defender Device Guard?

Die Verwendung von Windows Defender Device Guard-Funktionen ist nicht so einfach, wie es scheinen mag. Die Festlegung von Anwendungsberechtigungen durch eine geeignete Richtlinie zur Codeintegrität erfordert eine gewisse Validierung und regelmäßige Aktualisierung der Richtlinie. Dies kann jedoch einen enormen Aufwand bedeuten.

Wenn sich Organisationen auf codegeschützte Desktops verlassen, um sich selbst sicherheitstechnisch zu überwachen, können alle Desktops, die nicht gesperrt sind, erhebliche Schwachstellen in der allgemeinen Desktop-Sicherheit der Organisation verursachen. Das macht Device Guard zu einem Alles-oder-Nichts-Angebot, und das kann bei älteren Systemen, die die Anforderungen an Device Guard oder BYOD-Geräte nicht erfüllen, schwierig durchzusetzen sein- Erst recht, wenn die IT-Abteilung die Geräte nicht direkt kontrollieren kann.

Die Funktionen von Windows Defender Device Guard stellen eine Reihe von Systemhardwareanforderungen an den Prozessor, den Firmwaretyp und die Mindestversion. Sie erfordern auch TPM-Sicherheit. Die Anforderungen sind zwar nicht besonders exotisch oder teuer, aber sie sind nicht notwendigerweise auf jedem Computer - insbesondere nicht auf Endgeräten wie PCs - verfügbar, so dass die IT-Abteilung Schwierigkeiten haben kann, Device Guard-Support zu leisten.

Tools wie Microsofts Hardware-Ready-Tool Device Guard und Credential Guard können helfen, indem ein PowerShell-Skript ausgeführt wird, um die Hardwarekompatibilität zu prüfen und Device Guard auf Windows-Desktops zu aktivieren. Organisationen, die eine einheitliche System-Sperrrichtlinie anwenden, sind jedoch in der Regel besser mit standardisierter Computerhardware bedient, die Device Guard von Anfang an unterstützt. Bei einer standardisierten Hardware-Richtlinie erhält jeder Mitarbeiter das gleiche PC- oder Laptop-Modell, das Device Guard unterstützt.

Die IT-Abteilung muss auch die Desktop-Anwendungen verstehen, die ihre Benutzer benötigen; die IT-Abteilung muss festlegen, welche Anwendungen für ein Geschäftsgerät zulässig sind, bevor sie eine System-Sperrstrategie verfolgt. Beispielsweise könnten einige Anwendungen Probleme für die Sperrstrategie der IT-Abteilung verursachen, wenn sie .DLLs laden, automatische Updates ausführen oder andere Software installieren können. IT-Fachleute müssen eine klare Richtlinie und einen Prozess entwickeln, um die Code-Integritätsrichtlinie regelmäßig zu aktualisieren und sicherzustellen, dass die Benutzer rechtzeitig auf die neuesten und effektivsten Anwendungen zugreifen können.

Diese Artikel könnte Sie ebenfalls interessieren: