Condividi tramite

Controllo app e protezione basata sulla virtualizzazione dell'integrità del codice

Windows include un set di tecnologie hardware e del sistema operativo che, se configurate insieme, consentono alle aziende di "bloccare" i sistemi Windows in modo che si comportino più come dispositivi tutto schermo. In questa configurazione, il controllo delle app per le aziende viene usato per limitare i dispositivi all'esecuzione solo di app approvate, mentre il sistema operativo viene sottoposto a protezione avanzata contro gli attacchi alla memoria del kernel usando l'integrità della memoria.

Nota

L'integrità della memoria è talvolta definita integrità del codice protetta da hypervisor (HVCI) o integrità del codice applicata dall'hypervisor ed è stata originariamente rilasciata come parte di Device Guard. Device Guard non viene più usato se non per individuare l'integrità della memoria e le impostazioni VBS in Criteri di gruppo o nel Registro di sistema di Windows.

I criteri di controllo delle app e l'integrità della memoria sono protezioni potenti che possono essere usate separatamente. Tuttavia, quando queste due tecnologie sono configurate per funzionare insieme, presentano una funzionalità di protezione avanzata per i dispositivi Windows. L'uso di Controllo app per limitare i dispositivi solo alle app autorizzate presenta questi vantaggi rispetto ad altre soluzioni:

  1. Il kernel Windows gestisce l'imposizione dei criteri di controllo delle app e non richiede altri servizi o agenti.
  2. I criteri di controllo delle app vengono applicati all'inizio della sequenza di avvio prima di quasi tutto il codice del sistema operativo e prima dell'esecuzione delle soluzioni antivirus tradizionali.
  3. Controllo app consente di impostare i criteri di controllo delle applicazioni per qualsiasi codice eseguito in Windows, inclusi i driver in modalità kernel e persino il codice eseguito come parte di Windows.
  4. I clienti possono proteggere i criteri di controllo delle app anche da manomissioni dell'amministratore locale firmando digitalmente i criteri. La modifica dei criteri firmati richiede privilegi amministrativi e l'accesso al processo di firma digitale dell'organizzazione. L'uso di criteri firmati rende difficile per un utente malintenzionato, incluso uno che riesce a ottenere privilegi amministrativi, manomettere i criteri di controllo delle app.
  5. È possibile proteggere l'intero meccanismo di imposizione del controllo app con l'integrità della memoria. Anche se esiste una vulnerabilità nel codice in modalità kernel, l'integrità della memoria riduce notevolmente la probabilità che un utente malintenzionato possa sfruttarla correttamente. Senza l'integrità della memoria, un utente malintenzionato che compromette il kernel potrebbe in genere disabilitare la maggior parte delle difese di sistema, inclusi i criteri di controllo delle applicazioni applicati da Controllo app o da qualsiasi altra soluzione di controllo delle applicazioni.

Non esistono dipendenze dirette tra controllo app e integrità della memoria. È possibile distribuirli singolarmente o insieme e non esiste alcun ordine in cui devono essere distribuiti.

L'integrità della memoria si basa sulla sicurezza basata su Virtualizzazione Windows e presenta requisiti di compatibilità hardware, firmware e driver del kernel che alcuni sistemi meno recenti non possono soddisfare.

Controllo app non ha requisiti hardware o software specifici.