Hvordan virtualisering ændrer Windows-applikationssikkerhed

Sådan opretter du et Windows 10-systembillede og bruger det til at gendanne din computer Hvis du har en ekstra harddisk, kan du have et system, der er klar til brug, til at gøre om din computer, hvis noget går galt. Her er, hvordan du opsættes og bruger et Windows 10-billede.

Mere om Windows

  • Sådan bruges God Mode i Windows 10
  • Windows 10 PowerToys: Et snyderi
  • Microsofts største flopper i årtiet
  • 10 tricks og tweaks til tilpasning af Windows 10 (gratis PDF)

Virtuelle maskiner (VM'er) isolerer et helt operativsystem, og hvis det, du virkelig ønsker, er at isolere en enkelt applikation, eller endda en enkelt proces, er det en tungvægtig måde at gøre det på. Windows 10 bruger Microsoft hypervisor, Hyper-V, til flere forskellige niveauer af virtualisering - til at gøre alt fra at beskytte den måde, brugerne logger på Windows til at lade Windows genvinde hukommelse tildelt til sandkassede applikationer. Det betyder, at virtualisering kan forbedre Windows-sikkerhed uden de omkostninger og begrænsninger, der er ved at skære systemet op i traditionelle VM'er.

Dette kræver mere integration mellem Hyper-V og Windows-kernen: i nogle tilfælde gør kernen ting, som hypervisoren traditionelt ville have gjort; i andre gør kernen ikke alt det arbejde, det normalt ville gøre for at styre en proces.

SE: Windows 10-sikkerhed: En guide til virksomhedsledere (Tech Pro Research)

Sætter kerne i ansvar

Windows Defender Application Guard (WDAG) er en forbedret sikkerhedstilstand for Edge-browseren, der kører et minimalt Windows-shell på en 'slanket' Hyper-V-instans, der kun kører Edge.

Billede: Microsoft

Intet, der kører i vinduet Application Guard, kan krydse grænsen til dit Windows-skrivebord, så du kan bruge det til at besøge upålidelige websteder uden frygt for, at oplysninger bliver stjålet eller malware bliver downloadet. Men WDAG-beholderen deler sikkert DLL'er, eksekverbare og andre OS-ressourcer mellem gæst og vært, så containeren kun tager 18 MB diskplads. Det henter sprog- og tilgængelighedsindstillinger fra Windows, og kernen kan også suspendere eller afprioritere containeren, når den ikke bruges aktivt.

Windows Defender Application Guard var oprindeligt kun tilgængelig i SA-licenserede Enterprise-udgaver af Windows 10. Men det er nu også tilgængeligt for Pro-brugere, skønt det er begrænset til at starte det manuelt - virksomhedsstyret tilstand, hvor administratorer kan vælge, hvilke betroede domæner og dokumenter kan downloades til værts-pc'en, har stadig brug for Windows 10 Enterprise. Uanset hvad, skal du tænde det i Windows-funktioner.

Denne integration bliver endnu mere granulær med Windows Sandbox, der vil være i den kommende 1903-udgivelse af Windows. Dette er en on-demand ren Windows 10-instans, der er designet til at hjælpe udviklere og testere med at afprøve ny software uden at påvirke deres Windows-installationer.

Virtuelle maskiner kører i partitioner, der har en virtuel visning af CPU'en og får deres egen private virtuelle hukommelsesadresse-region, med Hyper-V-håndteringsprocessorafbrydelser, planlægningstråde på de virtuelle processorer og omindsætning af fysiske hukommelsesadresser til den virtuelle hukommelsesadresser. For at gøre det til en let måde at isolere et program til at køre på en separat Windows-kerne, så det ikke kan påvirke det vigtigste Windows-system, bruger sandkassen de samme fysiske hukommelsessider som det vigtigste Windows-system i stedet for virtuel hukommelsesadresser.

Windows Sandbox bruger de samme fysiske hukommelsessider som det vigtigste Windows-system i stedet for virtuel hukommelsesadresser.

Billede: Microsoft

Denne direkte kortlægning sparer ressourcer, men gøres uden at dele hemmeligheder mellem værten og sandkassen. Hyper-V planlægger ikke den virtuelle processor, som sandkassen bruger enten: Windows-kernen har en ny integreret planlægning, der lader Windows-værts OS styre sandkassen som enhver anden proces og beslutte, hvornår den kører. Tilsvarende allokerer og planlægger Windows-værten grafikressourcer til den virtualiserede applikation i sandkassen sammen med andre kørende applikationer: en 'oplyst' DirectX-grafikdriver kører i den virtuelle maskine, der forstår, at den er virtualiseret og koordinerer med grafikdriveren, der kører på Windows vært for at gøre det arbejde. Fordi hardwareaccelereret gengivelse bruger meget mindre strøm (det er til ting som at fremskynde webbrowsing og Photoshop såvel som til faktisk grafik), forbedrer det batteriets levetid.

At give kernen mere kontrol over applikationen i sandkassen (hvilket formodentlig er mindre vigtigt end applikationer, der er installeret normalt) betyder, at det ikke kan komme i vejen for opgaver med højere prioritet i Windows og bremse systemet. I mellemtiden forbliver kode, der kører i sandkassen, fuldstændigt isoleret fra resten af ​​Windows, så sikkerhedsfolk kan bruge den til at teste udbytter og malware, mens udviklere kan bruge den til at afprøve kode, de udvikler.

I modsætning til en Hyper-V VM, sparer Windows Sandbox ikke nogen tilstand mellem sessionerne: Hver gang du kører den får du en helt ny forekomst af Windows - helt ned til standardapps. Det giver dig en kendt tilstand at arbejde ud fra, men betyder også, at du bliver nødt til at genindlæse apps eller testdata hver gang du bruger dem.

Fjernet VM'er

Virtualiseringsbaseret sikkerhed (VBS, tidligere kendt som Virtual Secure Mode og nu også kendt som Windows Defender System Guard-containeren) tager dette i den anden retning, hvilket giver Windows-kernen mindre kontrol i tilfælde af, at det er blevet kompromitteret.

Billede: Microsoft

VBS bruger Hyper-V til at oprette sikre 'hukommelses enklaver' - isolerede hukommelsesregioner inden for adresserummet i en brugertilstandsproces, der er fuldstændigt kontrolleret af hypervisoren. De kører på et højere virtuel tillidsniveau end resten af ​​Windows (VTL1 snarere end VTL0), fordi de bruger hardware-virtualiseringsfunktionerne i 64-bit Intel- og AMD-CPU'er og TPM 2 til at skabe et sikkert rum med attestering på en pc, der ellers ikke er tillid til .

Hvis en proces i VTL0 forsøger at læse hukommelse i en enklave, kaster Windows en ugyldig adgangsundtagelse. Kerne- og kernel-mode drivere kan ikke manipulere med hvad der er i enklaverne, så selvom kernen er kompromitteret af malware er der et niveau af systemforsvar, den kan ikke deaktivere eller tilsidesætte.

Enhver kode, der indlæses i enklaven, underskrives, så dens integritet kan garanteres. Hvis du sætter enklaven i debugtilstand, fjerner det hukommelsesisolering, så der er en attestationsrapport, der viser, hvilken tilstand enklaven er i. Dette giver mulighed for sikker kommunikation mellem to enklaver eller en fjernkontrol af enhedssundhed. Når Windows starter, bruger Windows Defender System Guard TPM til at måle integriteten af ​​firmware, hardwarekonfiguration og Windows-bootkomponenter. Det er underskrevet og gemt sikkert og kan kontrolleres med antimalware eller enhedsadministrationsværktøjer, enten på den samme enhed eller eksternt til sundhedscheck som en del af betinget adgang.

Disse enklaver er oprettet som 'minimale processer', som Windows ikke administrerer. En minimal proces er et tomt adresserum til brugertilstand, og mens kernen håndterer planlægningstråde, der skal køres i det, er det ikke ansvarligt for at oprette de tråde, der kører der. Dette adskiller sig fra pico-processerne, der bruges til Windows Subsystem for Linux (WSL), selvom de blev føjet til kernen på samme tid.

Sådan fungerer det, er at Hyper-V-hypervisoren indlæses først, når pc'en starter, før Windows gør det - men det er bare hypervisoren, ikke Hyper-V-netværkstjenesterne og administrationsstakken. Windows kører stadig som værts OS til normal virtualisering, og disse Hyper-V-tjenester indlæses, hvis du har brug for dem til at køre VM'er. Men hypervisoren abstraherer Windows-værts OS fra hardwaren, som gør det muligt at dele hardware mellem Windows og de specifikke processer og hukommelse, som Hyper-V kører i disse sikre enklaver.

'Trustlets' er programmer, der kører som IUM (isoleret brugertilstand) -processer i Virtual Secure Mode (også kaldet virtualiseringsbaseret sikkerhed eller Windows Defender System Guard).

Billede: Microsoft

Disse kaldes 'trustlets', og for Windows er de ting som Kernel Model Code Integrity (KMCI), Hypervisor Code Integrity (HVCI) og Local Security Authority, LSA. LSA Subsystem Service (LSASS.EXE) er det, der administrerer sikkerhedspolitikker og brugerkonti, verificerer brugerlogins til Windows, anvender AD-politikker, opretter adgangstokens og logger revisionsalarmer. LSASS.EXE kører i Windows som sædvanligt, så ældre tjenester, der har brug for at tale direkte med tjenesten, stadig fungerer. Men det er virkelig bare en stub, der taler til det 'isolerede' tilfælde af LSA, der kører i den sikre enklave (LSAIso). Det betyder, at Windows-logonprocessen er beskyttet, hvilket blokerer hele kategorier af angreb.

Device Guard, nu kendt som Windows Defender Application Control, bruger kombinationen af ​​HCVI og tilpassede kodeintegritetsniveauer for at begrænse, hvilke applikationer der kan køre på en pc.

Du bliver nødt til at bruge gruppepolitikker eller Intune til at skubbe lister over pålidelige applikationer til grupper af brugere og låse pc'er til kun det sæt programmer, du vil køre. Du ønsker sandsynligvis ikke at køre Device Guard på alle dine pc'er - bare dem, der håndterer kritiske applikationer og tjenester, eller som er beregnet til at blive brugt til specifikke opgaver, f.eks. Callcentre og helpdesk. Det samme værktøj beskytter Windows-kernekode og reducerer risikoen for, at malware påvirker pc'er.

En af de mere almindelige måder at angribe netværk på er eskalering af privilegier ved at bruge gemte legitimationsoplysninger til at hæve en angribers adgangsprivilegier. Windows Defender Credential Guard sigter mod at reducere disse risici ved at isolere hemmeligheder og legitimationsoplysninger, så de kun kan fås adgang til af kendt betroet systemsoftware.

I modsætning til WDAG er disse funktioner kun tilgængelige i Enterprise- og Education-udgaver af Windows 10 - og på Windows Server. SQL Server's Always Encrypted-tilstand bruger også sikre enklaver til sikkert at dekryptere krypterede data til ting som indeksering uden at udsætte dem.

Microsoft ugentlig nyhedsbrev

Vær din virksomheds Microsoft-insider ved hjælp af disse Windows- og Office-tutorials og vores eksperters analyser af Microsofts virksomhedsprodukter. Leveres mandage og onsdage

Tilmeld dig i dag

Læs mere om Windows 10

  • Microsoft standser udrulning af Windows 10. oktober 2018-opdatering: Hvad sker der derefter? (ZDNet)
  • Microsoft trækker Windows 10. oktober-opdatering (version 1809) (ZDNet)
  • Windows 10. oktober-opdatering slette dine filer? Dette værktøj kan muligvis gendanne dem (ZDNet)
  • Windows 10 oktober opdateringsproblemer: Aftørrede dokumenter plus Intel driver-advarsel (ZDNet)
  • Windows 10 1809: Microsoft afslører funktioner, der falder i oktober 2018-opdatering
  • Top ti funktioner i Windows 10. oktober 2018-opdateringen
  • Top ti virksomhedsfunktioner i Windows 10. oktober-opdateringen
  • Windows 10. oktober 2018 Opdatering: Sådan bruges cloud-klippebord
  • Windows 10. oktober 2018-opdatering: Sådan bruges de nye Storage Sense-funktioner
  • Microsoft begynder at rulle Windows 10. oktober 2018-opdatering (ZDNet)
  • Windows 10. oktober 2018 Opdatering: Sådan får du det tidligt
  • Windows 10. oktober 2018 Opdatering: Sådan udsættes det
  • Windows 10. oktober 2018-opdatering: De nye funktioner, der betyder mest (ZDNet)

© Copyright 2020 | mobilegn.com