Windows 10 Device Guard

Spridningen av skadlig kod till Windows Phone är så gott som noll, och vad beror då detta på? Det enda som kan installeras på telefonen är program från Store. Dessa program är både kontrollerade och signerade och tänk nu tanken om din feta Windows 10 klient hade samma skydd!

Windows 10 innehåller något som heter Device Guard där det går att konfigurera så att enbart godkända  och signerade applikationer kan exekveras. Min första tanke när jag hörde om den här funktionen var skillnaden på detta och Software Restriction Policies (SRP) samt AppLocker som också har funktionen att kunna begränsa så enbart signerade applikationer kan köras.

Till skillnad från SRP och AppLocker så lägger sig Device Guard djupare än själva operativsystemet så även om själva operativsystemet skulle bli infekterat ser Device Guard till vad som får exekveras och på så sätt skyddar mot skadliga program.

Med hjälp av hårdvara och en virtualiseringstjänst som är oberoende av själva Windows operativsystemet spelar det ingen roll om en ”bad guy” eller en vanlig användare lyckas bli administratör och tar över systemet, den kommer fortfarande inte kunna stänga av Device Guard eller ändra vad som får köras.

Windows 10 klienten kanske inte blir särskilt användbar i nuläget om man enbart tillåter att köra appar från Store. Men vad gäller då applikationer som inte kommer från Microsoft? Device Guard kan även konfigureras att enbart köra signerade (desktop)applikationer och även osignerade egenutvecklade applikationer som konfigureras via en referensmaskin.

Referensmaskinen bygger upp en policy med regler över allt som får köras. För att öka säkerheten signeras den här listan och på samma sätt som att appar från Store får exekveras på en Device Guard -skyddad klient kan vi även signera egna applikationer så även de kan köras utan att skapa en ny policy.

För att Device Guard skall erbjuda maximalt skydd måste Windows 10 klienterna även ha:

  • UEFI och dess Trusted Boot för att på sätt kunna förhindra att något osignerat kan startas upp vid uppstart och skyddar själva bootprocessen.
  • Virtualization-Based security. En Hyper-V skyddad container som isolerar känsliga Windows 10 processer och på samma sätt ser till att enbart signerade processer får köras för att skydda Windows 10 kärnan
  • TPM 2.0 chip i våra enheter för att skydda signeringen av vår Device Guard policy med hjälp av denna isolerade hårdvara.

Från att du startar upp din dator till att du börjar att använda den, skyddar följande komponenter:DeviceGuard

AppLocker är fortfarande aktuellt och används nu mer än någonsin i Windows 10 och det är dels det som används i Enterprise Data Protection (EDP), DLP funktionen som jag kommer skriva mer om så fort det lanseras. Via AppLocker kan vi exempelvis styra vilken information som får öppnas med vilken programvara för att på det sättet skydda mot informationsläckage av både avsiktlig men även oavsiktlig karaktär.
AppLocker har även blivit enklare att hantera via MDM lösningar som både Configuration Manager och Intune.

Advertisements
Det här inlägget postades i Windows 10 och har märkts med etiketterna . Bokmärk permalänken.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s