Hvordan virtualisering endrer Windows applikasjonssikkerhet

Hvordan lage et Windows 10-systembilde og bruke det til å gjenopprette datamaskinen Hvis du har en ledig harddisk, kan du ha et brukervennlig systembilde for å gjøre om datamaskinen din hvis noe går galt. Slik kan du konfigurere og bruke et Windows 10-bilde.

Mer om Windows

  • Slik bruker du God Mode i Windows 10
  • Windows 10 PowerToys: Et jukseark
  • Microsofts største flopper i tiåret
  • 10 triks og finpusse for tilpasning av Windows 10 (gratis PDF)

Virtuelle maskiner (VMer) isolerer et helt operativsystem, og hvis det du virkelig ønsker er å isolere en enkelt applikasjon, eller til og med en enkelt prosess, er det en tungvekt måte å gjøre det på. Windows 10 bruker Microsoft hypervisor, Hyper-V, for flere forskjellige nivåer av virtualisering - for å gjøre alt fra å beskytte måten brukere logger seg på Windows til å la Windows gjenvinne minne tildelt til sandkassede applikasjoner. Det betyr at virtualisering kan forbedre Windows-sikkerheten uten omkostningene og begrensningene ved å hugge systemet opp i tradisjonelle VM-er.

Dette krever mer integrasjon mellom Hyper-V og Windows-kjernen: i noen tilfeller gjør kjernen ting som hypervisoren tradisjonelt ville ha gjort; i andre gjør ikke kjernen alt arbeidet den vanligvis vil gjøre for å administrere en prosess.

SE: Windows 10-sikkerhet: En guide for bedriftsledere (Tech Pro Research)

Setter kjernen i ansvar

Windows Defender Application Guard (WDAG) er en forbedret sikkerhetsmodus for Edge-nettleseren som kjører et minimalt Windows-skall på en 'slanket' Hyper-V-instans som bare kjører Edge.

Bilde: Microsoft

Ingenting som kjører i Application Guard-vinduet kan krysse grensen til Windows-skrivebordet ditt, slik at du kan bruke det til å besøke ikke-betrodde nettsteder uten frykt for at informasjon blir stjålet eller malware blir lastet ned. Men WDAG-beholderen deler sikkert DLLs, kjørbare filer og andre OS-ressurser mellom gjest og vert, så beholderen tar bare 18 MB diskplass. Den henter innstillinger for språk og tilgjengelighet fra Windows, og kjernen kan også stoppe eller avprioritere beholderen når den ikke brukes aktivt.

Windows Defender Application Guard var opprinnelig bare tilgjengelig i SA-lisensierte Enterprise-utgaver av Windows 10. Imidlertid er den nå tilgjengelig også for Pro-brukere, selv om det er begrenset til å starte det manuelt - enterprise-administrert modus, der administratorer kan velge hvilke pålitelige domener og dokumenter kan lastes ned til verts-PC-en, trenger fortsatt Windows 10 Enterprise. Uansett må du slå den på i Windows-funksjoner.

Den integrasjonen blir enda mer granulær med Windows Sandbox som vil være i den kommende utgaven av 1903 av Windows. Dette er en ren Windows 10-forekomst på forespørsel som er designet for å hjelpe utviklere og testere med å prøve ut ny programvare uten å påvirke Windows-installasjonene.

Virtuelle maskiner kjører i partisjoner som har en virtuell visning av CPU og får sin egen private virtuelle minneadresse-region, med Hyper-V-behandlingsprosessoravbrudd, planlegger tråder på de virtuelle prosessorene og omapper fysiske minneadresser til de virtuelle minneadressene. For å gjøre det til en lett måte å isolere et program for å kjøre på en egen Windows-kjerne, slik at det ikke kan påvirke Windows-hovedsystemet, bruker sandkassen de samme fysiske minnesidene som Windows-systemet i stedet for virtuelle minneadresser.

Windows Sandbox bruker de samme fysiske minnesidene som det viktigste Windows-systemet i stedet for virtuelle minneadresser.

Bilde: Microsoft

Den direkte kartleggingen sparer ressurser, men gjøres uten å dele hemmeligheter mellom verten og sandkassen. Hyper-V planlegger ikke den virtuelle prosessoren som sandkassen bruker: Windows-kjernen har en ny integrert planlegger som lar Windows vert OS styre sandkassen som alle andre prosesser og bestemme når den kjører. På samme måte tildeler og planlegger Windows-verten grafikkressurser for den virtualiserte applikasjonen i sandkassen sammen med andre programmer som kjører: en 'opplyst' DirectX-grafikkdriver kjører i den virtuelle maskinen som forstår at den er virtualisert og koordinerer med grafikkdriveren som kjører på Windows vert for å få det til å fungere. Fordi maskinvareakselerert gjengivelse bruker mye mindre strøm (det er for ting som å øke hastigheten på nettlesing og Photoshop, så vel som for faktisk grafikk), forbedrer det batteriets levetid.

Å gi kjernen mer kontroll over applikasjonen i sandkassen (som antagelig er mindre viktig enn applikasjoner som er installert normalt) betyr at den ikke kan komme i veien for oppgaver med høyere prioritet i Windows og bremse systemet. I mellomtiden forblir kode som kjører i sandkassen fullstendig isolert fra resten av Windows, slik at sikkerhetsfolk kan bruke den til å teste ut utnyttelser og malware, mens utviklere kan bruke den til å prøve ut koden de utvikler.

I motsetning til en Hyper-V VM, sparer ikke Windows Sandbox noen tilstand mellom økter: hver gang du kjører den får du en helt ny forekomst av Windows - helt ned til standardappene. Det gir deg en kjent tilstand å jobbe fra, men betyr også at du må laste inn apper eller teste data hver gang du bruker dem.

Avrivet VM-er

Virtualiseringsbasert sikkerhet (VBS, tidligere kjent som Virtual Secure Mode og nå også kjent som Windows Defender System Guard container) tar dette i den andre retningen, noe som gir Windows-kjernen mindre kontroll i tilfelle det er blitt kompromittert.

Bilde: Microsoft

VBS bruker Hyper-V for å lage sikre 'minne enklaver' - isolerte områder av minnet innenfor adresserommet til en brukermodusprosess som er fullstendig kontrollert av hypervisoren. De kjører på et høyere virtuelt tillitsnivå enn resten av Windows (VTL1 i stedet for VTL0) fordi de bruker maskinvarevirtualiseringsfunksjonene til 64-biters Intel- og AMD-prosessorer og TPM 2 for å skape en sikker plass med attestering på en PC som ellers ikke er tillit .

Hvis en prosess i VTL0 prøver å lese minne i en enkve, kaster Windows et ugyldig tilgangs unntak. Kjerne- og kjernemodusdriverne kan ikke tukle med hva som er i vedleggene, så selv om kjernen er kompromittert av skadelig programvare, er det et nivå av systemforsvar den ikke kan deaktivere eller overstyre.

Enhver kode som er lastet inn i enklaven er signert, så integriteten kan garanteres. Hvis du setter enklaven i feilsøkingsmodus, fjerner det minneisolasjonen, så det er en attestasjonsrapport som viser hvilken modus enklaven er i. Dette gir mulighet for sikker kommunikasjon mellom to enklaver, eller en fjernkontroll av enhetshelsen. Når Windows starter opp, bruker Windows Defender System Guard TPM for å måle integriteten til firmware, maskinvarekonfigurasjon og Windows boot-komponenter. Det er signert og lagret sikkert, og kan sjekkes med antimalware eller enhetsadministrasjonsverktøy, enten på samme enhet eller eksternt for helsekontroller som en del av betinget tilgang.

Disse enklavene er opprettet som 'minimale prosesser' som Windows ikke administrerer. En minimal prosess er et tomt adresserom i brukermodus, og mens kjernen vil håndtere planleggingstråder som skal kjøres i den, er det ikke ansvarlig for å lage trådene som kjører der. Dette er forskjellig fra pico-prosessene som brukes for Windows Subsystem for Linux (WSL), selv om de ble lagt til kjernen på samme tid.

Slik dette fungerer er at Hyper-V hypervisor laster først når PCen starter opp, før Windows gjør det - men det er bare hypervisoren, ikke Hyper-V-nettverkstjenester og administrasjonsstabel. Windows kjører fortsatt som verts OS for normal virtualisering, og disse Hyper-V-tjenestene lastes inn hvis du trenger dem for å kjøre VM-er. Men hypervisoren abstraherer Windows-verts OS fra maskinvaren, som lar maskinvaren deles mellom Windows og de spesifikke prosessene og minnet som Hyper-V kjører i disse sikre enklavene.

'Trustlets' er programmer som kjører som IUM (Isolated User Mode) -prosesser i Virtual Secure Mode (også kjent som virtualiseringsbasert sikkerhet eller Windows Defender System Guard).

Bilde: Microsoft

Disse kalles 'trustlets', og for Windows er det ting som Kernel Model Code Integrity (KMCI), Hypervisor Code Integrity (HVCI) og Local Security Authority, LSA. LSA Subsystem Service (LSASS.EXE) er det som administrerer sikkerhetspolicyer og brukerkontoer, verifiserer brukerpålogginger til Windows, bruker AD-policyer, lager tilgangstegn og logger revisjonsvarsler. LSASS.EXE kjører i Windows som vanlig, slik at eldre tjenester som trenger å snakke direkte med tjenesten fremdeles fungerer. Men det er egentlig bare en stubbe som snakker med den 'isolerte' forekomsten av LSA som kjører i den sikre enklaven (LSAIso). Det betyr at Windows-påloggingsprosessen er beskyttet, og blokkerer hele angrepskategorier.

Device Guard, nå kjent som Windows Defender Application Control, bruker kombinasjonen av HCVI og tilpassede kodeintegritetsnivåer for å begrense hvilke applikasjoner som kan kjøres på en PC.

Du må bruke gruppepolicyer eller Intune for å skyve lister over pålitelige applikasjoner til grupper av brukere, og låse PC-er til bare settet med applikasjoner du vil kjøre. Du vil sannsynligvis ikke kjøre Device Guard på alle PCene dine - bare de som håndterer kritiske applikasjoner og tjenester, eller som er ment å brukes til spesifikke oppgaver, for eksempel call center og helpdesk. Det samme verktøyet beskytter Windows-kjernekoden, og reduserer risikoen for skadelig programvare som påvirker PC-er.

En av de mer vanlige måtene å angripe nettverk på er eskalering av privilegier, ved å bruke lagrede legitimasjon for å heve en angriperes tilgangsprivilegier. Windows Defender Credential Guard har som mål å redusere risikoen ved å isolere hemmeligheter og legitimasjon slik at de bare kan nås av kjent pålitelig systemprogramvare.

I motsetning til WDAG, er disse funksjonene bare tilgjengelige i Enterprise og Education-utgavene av Windows 10 - og på Windows Server. SQL Server's Always Encrypted-modus bruker også sikre enklaver for å trygt dekryptere krypterte data for ting som indeksering uten å avsløre dem.

Microsoft Weekly Newsletter

Vær din virksomhets Microsoft-innsider ved hjelp av disse Windows- og Office-opplæringsprogrammene og våre eksperters analyser av Microsofts bedriftsprodukter. Leveres mandager og onsdager

Registrer deg i dag

Les mer om Windows 10

  • Microsoft stopper lanseringen av Windows 10. oktober 2018-oppdatering: Hva skjer videre? (ZDNet)
  • Microsoft trekker Windows 10 oktober-oppdatering (versjon 1809) (ZDNet)
  • Windows 10. oktober-oppdatering slette filene dine? Dette verktøyet kan gjenopprette dem (ZDNet)
  • Windows 10 oktober oppdateringsproblemer: Tømte dokumenter, pluss Intel-driveradvarsel (ZDNet)
  • Windows 10 1809: Microsoft avslører funksjoner som det synker i oktober 2018-oppdateringen
  • Topp ti funksjoner i Windows 10. oktober 2018-oppdateringen
  • Topp ti bedriftsfunksjoner i Windows 10. oktober-oppdateringen
  • Windows 10. oktober 2018 Oppdatering: Hvordan bruke skyklippbord
  • Windows 10. oktober 2018-oppdatering: Slik bruker du de nye Storage Sense-funksjonene
  • Microsoft begynner å rulle ut Windows 10. oktober 2018-oppdatering (ZDNet)
  • Windows 10. oktober 2018-oppdatering: Slik får du det tidlig
  • Windows 10. oktober 2018-oppdatering: Hvordan utsette det
  • Windows 10. oktober 2018-oppdatering: De nye funksjonene som betyr mest (ZDNet)

© Copyright 2020 | mobilegn.com