Partilhar via


Controlo de Aplicações e proteção baseada na virtualização da integridade do código

O Windows inclui um conjunto de tecnologias de hardware e SO que, quando configuradas em conjunto, permitem às empresas "bloquear" sistemas Windows para que se comportem mais como dispositivos de quiosque. Nesta configuração, o Controlo de Aplicações para Empresas é utilizado para restringir dispositivos para executar apenas aplicações aprovadas, enquanto o SO é endurecido contra ataques de memória de kernel com integridade de memória.

Observação

Por vezes, a integridade da memória é referida como integridade de código protegida por hipervisor (HVCI) ou integridade de código imposta pelo hipervisor e foi originalmente lançada como parte do Device Guard. O Device Guard já não é utilizado, exceto para localizar a integridade da memória e as definições de VBS no Política de Grupo ou no registo do Windows.

As políticas de Controlo de Aplicações e a integridade da memória são proteções avançadas que podem ser utilizadas separadamente. No entanto, quando estas duas tecnologias estão configuradas para funcionar em conjunto, apresentam uma forte capacidade de proteção para dispositivos Windows. A utilização do Controlo de Aplicações para restringir dispositivos apenas a aplicações autorizadas tem estas vantagens em comparação com outras soluções:

  1. O kernel do Windows processa a imposição da política de Controlo de Aplicações e não requer outros serviços ou agentes.
  2. A política de Controlo de Aplicações entra em vigor no início da sequência de arranque antes de quase todos os outros códigos do SO e antes da execução das soluções antivírus tradicionais.
  3. O Controlo de Aplicações permite-lhe definir a política de controlo de aplicações para qualquer código que seja executado no Windows, incluindo controladores de modo kernel e até código que seja executado como parte do Windows.
  4. Os clientes podem proteger a política de Controlo de Aplicações mesmo contra adulteração de administrador local ao assinar digitalmente a política. Alterar a política assinada requer privilégios administrativos e acesso ao processo de assinatura digital da organização. A utilização de políticas assinadas dificulta a adulteração da política de Controlo de Aplicações por parte de um atacante, incluindo um que consiga obter privilégios administrativos.
  5. Pode proteger todo o mecanismo de imposição do Controlo de Aplicações com integridade de memória. Mesmo que exista uma vulnerabilidade no código do modo kernel, a integridade da memória reduz significativamente a probabilidade de um atacante poder explorá-la com êxito. Sem a integridade da memória, um atacante que comprometa o kernel pode normalmente desativar a maioria das defesas do sistema, incluindo as políticas de controlo de aplicações impostas pelo Controlo de Aplicações ou qualquer outra solução de controlo de aplicações.

Não existem dependências diretas entre o Controlo de Aplicações e a integridade da memória. Pode implementá-las individualmente ou em conjunto e não existe nenhuma ordem pela qual tenham de ser implementadas.

A integridade da memória depende da segurança baseada na Virtualização do Windows e tem requisitos de compatibilidade de controladores de kernel, firmware e hardware que alguns sistemas mais antigos não conseguem cumprir.

O Controlo de Aplicações não tem requisitos específicos de hardware ou software.