Bởi
- Kelly M. Stewart
Đã xuất bản:ngày 26 tháng 4 năm 2023
Windows Defender Device Guard là một tính năng bảo mật dành cho Windows 10 và Windows Server được thiết kế để sử dụng các chính sách về danh sách trắng và tính toàn vẹn mã của ứng dụng nhằm bảo vệ thiết bị của người dùng khỏi mã độc hại có thể xâm phạm hệ điều hành.
Với chính sách toàn vẹn mã mà bộ phận CNTT tạo ra để xác định phần mềm nào có thể chạy trên Windows 10, bộ phận CNTT có thể ngăn các ứng dụng không xác định hoặc không đáng tin cậy cũng như các plugin, tiện ích bổ sung hoặc mô-đun ứng dụng khác truy cập vào thiết bị của người dùng cuối.
Device Guard kết hợp với AppLocker và Windows Defender Credential Guard của Microsoft để cung cấp một hệ thống bảo mật phòng ngừa. Đội ngũ CNTT có thể sử dụng Device Guard cùng với Chế độ bảo mật ảo (VSM), một nhân được bảo vệ bởi bộ ảo hóa Windows, để cung cấp khả năng bảo mật dựa trên ảo hóa, giúp loại bỏ các trình điều khiển và tệp xấu khỏi hệ thống.
Theo trang web của Microsoft, "Device Guard không còn được sử dụng ngoại trừ việc xác định tính toàn vẹn của bộ nhớ và cài đặt VBS trong Chính sách nhóm hoặc sổ đăng ký Windows."
Bộ bảo vệ thiết bị của Windows Defender hoạt động như thế nào?
Bộ bảo vệ thiết bị của Bộ bảo vệ Windows sử dụng các chính sách về tính toàn vẹn của mã, còn được gọi là Kiểm soát ứng dụng của Bộ bảo vệ Windows kể từ Windows 10 phiên bản 1709, để bộ phận CNTT đưa vào danh sách cho phép các ứng dụng và tiện ích mở rộng trong các ứng dụng có thể chạy trên HĐH. Điều này cho phép bộ phận CNTT chặn phần mềm không mong muốn trước khi nó xâm nhập vào hệ thống. Bộ phận CNTT cũng có thể tạo một nhóm người dùng đáng tin cậy có chữ ký đáng tin cậy, những người duy nhất có thể thay đổi chính sách tính toàn vẹn của mã. Device Guard chạy các chính sách về tính toàn vẹn của mã thông qua nhân trong vùng chứa.
Device Guard cung cấp bảo mật cho cả việc triển khai máy tính để bàn vật lý và ảo. Chính sách toàn vẹn mã Device Guard hoạt động trên các phần mở rộng ảo hóa CPU, bản dịch địa chỉ cấp hai và đơn vị quản lý bộ nhớ đầu vào/đầu ra (IOMMU).
Các tính năng chính của Windows Defender Device Guard
Một công cụ bổ sung trong Kiểm soát ứng dụng của Bộ bảo vệ Windows có tên là Trình kiểm tra gói sẽ tạo danh mục các tệp nhị phân cho tất cả các ứng dụng đáng tin cậy. Ngay cả khi phần mềm độc hại xâm nhập vào nhân VSM, Device Guard sẽ ngăn nó thực thi mã bằng tính năng kiểm tra tính toàn vẹn của mã trong hệ thống bảo mật. Nếu có một cuộc tấn công truy cập bộ nhớ trực tiếp, IOMMU sẽ từ chối quyền truy cập vào các yêu cầu bộ nhớ bất thường. Bộ bảo vệ thiết bị của Bộ bảo vệ Windows cũng có Giao diện chương trình cơ sở có thể mở rộng toàn cầu giúp thực hiện khởi động an toàn nhằm bảo vệ khỏi bộ công cụ khởi động và những kẻ tấn công vũ phu.
Công cụ quản lý Windows Defender Device Guard
Các chuyên gia CNTT có thể sử dụng các phương pháp quản lý tương tự với Device Guard giống như cách họ thực hiện với các chương trình Windows khác. CNTT có thể thiết lập và quản lý các tệp danh mục và chính sách toàn vẹn mã bằng Đối tượng chính sách nhóm trong mẫu quản trị. CNTT có thể triển khai và quản lý các chính sách về tính toàn vẹn của mã, tệp danh mục và tính năng bảo mật phần cứng bằng Trình quản lý Cấu hình Trung tâm Hệ thống. Windows PowerShell hoạt động tốt cho các chuyên gia CNTT muốn tập trung vào việc tạo và gửi các chính sách về tính toàn vẹn của mã. Theo Microsoft, Microsoft Intune cuối cùng cũng có thể hỗ trợ triển khai và quản lý các tệp danh mục cũng như các chính sách về tính toàn vẹn của mã.
Tiếp tục đọc Giới thiệu về Microsoft Windows Defender Device Guard
- Làm cách nào để tránh các sự cố tương thích với Windows Defender?
- Quản lý Windows Defender Device Guard trong máy tính để bàn Windows
- Tính năng chống vi-rút của Bộ bảo vệ Microsoft có gì trên Windows?
Tìm hiểu sâu hơn về quản lý máy tính để bàn
-
bảo mật dựa trên ảo hóa (VBS)
Bởi:Rahul Awati
-
Bảo vệ khai thác Windows Defender
Bởi:Alexander Gillis
-
So sánh các công cụ EDR dành cho Windows Server
Bởi:Brien Posey
-
Microsoft tập trung vào bảo mật từ xa với bản cập nhật Windows 11
Bởi:Antone Gonsalves