Windows Defender应用程序控制介绍

鉴于当今的威胁环境，应用程序控制是保护企业的重要防线，并且它具有超越传统防病毒解决方案的固有优势。具体而言，应用程序控制将所有应用程序默认为可信的模型翻转为应用程序必须获得信任才能运行的模型。澳大利亚信号局等许多组织都理解这一点，并经常将应用程序控制作为解决基于可执行文件的恶意软件（.exe，.dll等）威胁的最有效方法之一。

虽然大多数客户固有地理解应用程序控制的价值，但事实是很少有客户能够以可管理的方式使用应用程序控制解决方案。因此，应用控制解决方案的采用率很低。事实上，我们估计只有约20％的客户使用任何类型的应用控制技术; 在许多情况下，这些客户仅在部分设备上使用它，因为创建和维护全面的允许/拒绝列表非常困难。对于Windows 10,1709版本（也被称为Fall Creators Update），我们认为我们已经改变了这种情况，现在有一个解决方案是大多数客户采用和部署几乎所有设备的可行方案。

在Windows 10中，我们引入了Windows Defender Device Guard，这是一组硬件和操作系统技术，当配置在一起时，它们允许企业锁定Windows系统，使其可以与许多移动设备的属性一起运行。Device Guard将限制设备仅使用称为可配置代码完整性（CI）的功能运行授权应用程序，同时通过使用基于虚拟化的代码完整性保护（HVCI）来强化操作系统与内核内存的攻击。借助Device Guard的可配置CI，客户可以获得高度差异化的应用控制解决方案，从而提供了大多数其他解决方案所不具备的几项独特优势。

首先，可配置的CI策略由Windows内核本身强制执行。因此，在几乎所有其他操作系统代码和传统防病毒解决方案运行之前，策略在引导序列的早期生效。其次，可配置CI允许客户不仅通过用户模式运行的代码设置应用程序控制策略，还可以设置内核模式硬件和软件驱动程序，甚至是作为Windows一部分运行的代码。第三，即使本地管理员通过对策略进行数字签名篡改，客户也可以保护可配置的CI策略。这意味着更改策略不仅需要管理权限，还需要访问组织的数字签名流程。这使得设法获得管理权限的攻击者或恶意软件极难改变应用程序控制策略。

最后，整个可配置的CI执行机制可能受到HVCI的保护，这就创造了即使内核模式代码中存在漏洞，攻击者可能成功利用它的可能性也大大降低的情况。为什么这是相关的？这是因为破坏内核的攻击者会拥有足够的权限来禁用大多数系统防御措施，并覆盖由可配置CI或任何其他应用程序控制解决方案实施的应用程序控制策略。

为什么这是相关的？这是因为破坏内核的攻击者会拥有足够的权限来禁用大多数系统防御措施，并覆盖由可配置CI或任何其他应用程序控制解决方案实施的应用程序控制策略。为什么这是相关的？这是因为破坏内核的攻击者会拥有足够的权限来禁用大多数系统防御措施，并覆盖由可配置CI或任何其他应用程序控制解决方案实施的应用程序控制策略。

当我们最初设计Device Guard时，它是在考虑到特定安全承诺的情况下构建的。尽管它的两个主要操作系统功能（可配置CI和HVCI）之间没有直接依赖关系，但我们故意将我们的营销故事集中在您将它们部署在一起时获得的Device Guard锁定状态。

但是，这无意中给许多客户留下了一个印象，即这两个特性是无法连接的，无法单独部署。鉴于HVCI依赖于基于Windows虚拟化的安全性，它具有额外的硬件，固件和内核驱动程序兼容性要求，这是一些较老的系统无法实现的。因此，许多客户都认为他们无法使用可配置的CI。

自Windows 10首次发布以来，全球已经见证了大量的黑客攻击和恶意软件攻击，单靠应用程序控制就可以完全阻止攻击。因此，通过Fall Creators Update，我们在我们的安全堆栈中推广可配置CI，并为其提供自己的名称：Windows Defender Application Control。我们希望这次品牌改变能够帮助我们与客户沟通他们在Windows中进行应用程序控制的选择，并且这样做可以让更多的客户开始在其组织内部进行应用程序控制。

这是否意味着Windows Defender Device Guard将会消失？一点也不。Device Guard将继续存在，用于描述通过使用Windows Defender应用程序控制（WDAC），HVCI以及硬件和固件安全功能实现的完全锁定状态。它还使我们能够与OEM合作伙伴合作，确定“Device Guard capable”设备的规格，以便我们共同的客户可以轻松购买符合Device Guard原始设备方案所有硬件和固件要求的设备。

使用托管安装程序更易于应用程序控制

在去年春季发布的Windows 10 Creators Update（1703）中，我们引入了一个名为托管安装程序的 WDAC选项，以通过诸如System Center Configuration Manager等解决方案为具有集中管理软件库的组织简化WDAC的管理。通过托管安装程序选项，企业可以声明可信的软件分发权限，以便由它们部署的任何应用程序自动由WDAC应用程序控制策略授权，而无需定义明确的允许规则。System Center Configuration Manager 1706添加了对WDAC和托管安装程序的本地支持，使WDAC的部署成为两到三点击操作。

在我们的安全堆栈中重新定位Windows Defender Application Control消除了对Device Guard的需求混淆，并且托管安装程序为具有良好管理的软件库的组织大大简化了选项。然而，由于业务需要或组织对中央控制的抵制，许多客户难以引入应用程序控制。考虑到这些客户，我们很高兴能够在Fall Creators Update中引入Windows Defender Application Control的新选项，这将允许企业利用Microsoft的云端智能安全图（ISG）自动授权从Windows上运行的数十亿应用程序和二进制文件目录构建的知名和信誉良好的应用程序。

当启用ISG选项时，Microsoft的ISG确定为知名且信誉良好的软件将被自动授权，无需为每个应用程序或二进制文件指定特定的手动创作规则。这使得IT管理员可以轻松地允许常用和流行的软件，如Microsoft Office和Adobe Reader，同时防止未知的和已知错误的软件运行。这种云驱动的应用程序控制将帮助客户保护他们的环境免受像WannaCry这样的攻击，该攻击运行不常见的脚本或二进制文件，同时仍允许最终用户或商业团体管理他们各自的应用程序需求。

“创作者更新”和“秋季创作者更新”中引入的所有新策略选项都是为了补充早期Windows 10版本中的WDAC策略。代码签名为识别和授权应用程序提供了最强大的方式，当使用明确的允许和拒绝规则时，代码签名为企业提供了表达最安全的应用程序控制策略的手段。管理安装程序和ISG驱动的应用程序控制等较新的控件为企业提供了平衡可管理性和安全需求所需的灵活性。

当这些选项与现有工具（如signtool，Package Inspector和Microsoft Store for Business的Device Guard签名服务）一起使用时企业可以通过应用程序控制来开始更安全的Windows 10系统之旅。对于处于活跃开发中的应用程序，可以使用Windows SDK工具（如signtool）将代码签名合并到应用程序的构建过程中。

对于不在开发或从第三方获取的应用程序，Package Inspector提供了一种通过监视应用程序的安装过程来生成目录文件的方法。目录文件一经创建，就可以使用组织自己的签名进行签名，从而允许组织对现有应用程序进行授权，而无需重建或重新打包它们。目录签名可以使用组织内部PKI颁发的证书或使用Device Guard签名服务来管理代码签名密钥和对目录文件签名。Device Guard签名服务自动生成并保护特定于组织的代码签名密钥，并为上传和签名应用程序目录文件提供方便的界面。

随着Fall Creator的更新，Windows Defender Advanced Threat Protection（WD ATP）正在获得重大更新，其中之一与Windows预防性保护堆栈的集成管理有关，这意味着Windows Defender应用程序控制，防病毒，防火墙和其他功能都将为恶意软件和其他类型的攻击提供完整的镜像，这些攻击已经遇到但被Windows预防性保护堆栈成功阻止。所有这些信息都将出现在Windows Defender ATP的安全中心控制台中，安全中心控制台充当安全操作团队的单一窗口。另外，这些相同的预防性保护功能也可以在System Center Configuration Manager或Intune中集成启用和配置，如下图所示。

通过Fall Creators Update，我们相信，通过成为市场上首批解决方案之一，我们已经实现了民主化应用程序控制，使其易于管理并使其能够在运行Windows 10企业版的任何设备上运行。请下载Fall Creators更新并开始概念验证测试，以确定Windows Defender Application Control是否适合您的组织。我们期待收到您的反馈，以便我们能够继续为您的组织和用户提供更好的解决方案