Compartir a través de

Control de aplicaciones y protección basada en virtualización de la integridad del código

Windows incluye un conjunto de tecnologías de hardware y sistema operativo que, cuando se configuran juntos, permiten a las empresas "bloquear" los sistemas Windows para que se comporten más como dispositivos de pantalla completa. En esta configuración, App Control for Business se usa para restringir que los dispositivos ejecuten solo aplicaciones aprobadas, mientras que el sistema operativo se protege frente a ataques de memoria del kernel mediante la integridad de la memoria.

Nota

La integridad de memoria a veces se conoce como integridad de código protegida por hipervisor (HVCI) o integridad de código aplicado por hipervisor, y se publicó originalmente como parte de Device Guard. Device Guard ya no se usa excepto para buscar la integridad de la memoria y la configuración de VBS en directiva de grupo o en el Registro de Windows.

Las directivas de Control de aplicaciones y la integridad de la memoria son protecciones eficaces que se pueden usar por separado. Sin embargo, cuando estas dos tecnologías están configuradas para funcionar conjuntamente, presentan una fuerte capacidad de protección para dispositivos Windows. El uso de App Control para restringir los dispositivos solo a aplicaciones autorizadas tiene estas ventajas sobre otras soluciones:

  1. El kernel de Windows controla el cumplimiento de la directiva de App Control y no requiere otros servicios ni agentes.
  2. La directiva de Control de aplicaciones surte efecto al principio de la secuencia de arranque antes que casi todo el resto del código del sistema operativo y antes de que se ejecuten las soluciones antivirus tradicionales.
  3. App Control le permite establecer la directiva de control de aplicaciones para cualquier código que se ejecute en Windows, incluidos los controladores de modo kernel e incluso el código que se ejecuta como parte de Windows.
  4. Los clientes pueden proteger la directiva de App Control incluso contra la manipulación del administrador local mediante la firma digital de la directiva. El cambio de la directiva firmada requiere privilegios administrativos y acceso al proceso de firma digital de la organización. El uso de directivas firmadas dificulta que un atacante, incluido el que administra obtener privilegios administrativos, altere la directiva de App Control.
  5. Puede proteger todo el mecanismo de cumplimiento de App Control con integridad de memoria. Incluso si existe una vulnerabilidad en el código en modo kernel, la integridad de la memoria reduce en gran medida la probabilidad de que un atacante pueda aprovecharla correctamente. Sin integridad de memoria, un atacante que pone en peligro el kernel podría deshabilitar normalmente la mayoría de las defensas del sistema, incluidas las directivas de control de aplicaciones aplicadas por App Control o cualquier otra solución de control de aplicaciones.

No hay dependencias directas entre App Control y la integridad de la memoria. Puede implementarlos individualmente o juntos y no hay ningún orden en el que se deban implementar.

La integridad de la memoria se basa en la seguridad basada en la virtualización de Windows y tiene requisitos de compatibilidad de hardware, firmware y controladores de kernel que algunos sistemas anteriores no pueden cumplir.

App Control no tiene requisitos específicos de hardware o software.