Partager via


Contrôle des applications et protection de l’intégrité du code basée sur la virtualisation

Windows inclut un ensemble de technologies matérielles et de système d’exploitation qui, lorsqu’elles sont configurées ensemble, permettent aux entreprises de « verrouiller » les systèmes Windows afin qu’ils se comportent davantage comme des appareils kiosque. Dans cette configuration, App Control for Business est utilisé pour limiter les appareils à exécuter uniquement des applications approuvées, tandis que le système d’exploitation est renforcé contre les attaques de mémoire du noyau à l’aide de l’intégrité de la mémoire.

Remarque

L’intégrité de la mémoire est parfois appelée intégrité du code protégé par l’hyperviseur (HVCI) ou intégrité du code appliquée à l’hyperviseur, et a été initialement publiée dans le cadre de Device Guard. Device Guard n’est plus utilisé, sauf pour localiser l’intégrité de la mémoire et les paramètres VBS dans stratégie de groupe ou le Registre Windows.

Les stratégies de contrôle d’application et l’intégrité de la mémoire sont des protections puissantes qui peuvent être utilisées séparément. Toutefois, lorsque ces deux technologies sont configurées pour fonctionner ensemble, elles présentent une forte capacité de protection pour les appareils Windows. L’utilisation du contrôle d’application pour limiter les appareils aux applications autorisées présente les avantages suivants par rapport aux autres solutions :

  1. Le noyau Windows gère l’application de la stratégie De contrôle d’application et ne nécessite aucun autre service ou agent.
  2. La stratégie App Control prend effet au début de la séquence de démarrage avant presque tout le code du système d’exploitation et avant l’exécution des solutions antivirus traditionnelles.
  3. Le contrôle d’application vous permet de définir une stratégie de contrôle d’application pour tout code qui s’exécute sur Windows, y compris les pilotes en mode noyau et même le code qui s’exécute dans le cadre de Windows.
  4. Les clients peuvent protéger la stratégie App Control, même contre la falsification de l’administrateur local en signant numériquement la stratégie. La modification de la stratégie signée nécessite à la fois des privilèges d’administration et un accès au processus de signature numérique de l’organization. En utilisant des stratégies signées, il est difficile pour un attaquant, y compris un attaquant qui parvient à obtenir des privilèges d’administration, de falsifier la stratégie De contrôle d’application.
  5. Vous pouvez protéger l’ensemble du mécanisme d’application du contrôle d’application avec l’intégrité de la mémoire. Même si une vulnérabilité existe dans le code en mode noyau, l’intégrité de la mémoire réduit considérablement la probabilité qu’un attaquant puisse l’exploiter avec succès. Sans intégrité de la mémoire, un attaquant qui compromet le noyau peut normalement désactiver la plupart des défenses système, y compris les stratégies de contrôle d’application appliquées par Le contrôle d’application ou toute autre solution de contrôle d’application.

Il n’existe aucune dépendance directe entre app Control et l’intégrité de la mémoire. Vous pouvez les déployer individuellement ou ensemble et il n’existe aucun ordre dans lequel ils doivent être déployés.

L’intégrité de la mémoire s’appuie sur la sécurité basée sur la virtualisation Windows et présente des exigences de compatibilité matérielle, microprogramme et pilote de noyau que certains systèmes plus anciens ne peuvent pas respecter.

App Control n’a pas de configuration matérielle ou logicielle spécifique.