O Device Guard no Windows 10 mantém o malware ausente

O Device Guard no Windows 10 é um firmware que não permite que programas não autenticados, não assinados, não autorizados, bem como sistemas operacionais sejam carregados. Já falamos sobre como precisamos de um sistema operacional que realize verificações automáticas sobre o que está sendo alimentado e carregado em sua RAM para execução. Dependendo de um software anti-malware, não é uma coisa sensata hoje em dia, embora não tenhamos muitas opções. Um anti-malware é um aplicativo separado e precisa ser carregado na memória antes de começar a escanear os aplicativos que estão sendo carregados na memória.

Anteriormente falamos sobre como o Windows 8.1 é um sistema operacional anti-malware. Ele age sobre ele mesmo e outros aplicativos para ver se eles são aplicativos genuínos exigidos pelo computador, muito antes de carregar a interface, de modo que um nível de segurança seja adicionado aos computadores em que está sendo executado. Em suma, ele fornece Trusted Boot , um serviço de proteção contra malware de tempo de inicialização para manter o malware sob controle. Mas os criadores de malware são espertos e podem usar certas técnicas para contornar essa inspeção. A Microsoft trouxe, portanto, outro recurso que promete medidas antimalware mais rígidas durante a inicialização.

Device Guard no Windows 10

Com as preocupações de segurança aumentando, a Microsoft está trazendo um firmware que atua no nível do hardware durante e até antes da inicialização, para permitir que apenas aplicativos e scripts assinados adequadamente sejam carregados. Isso está sendo chamado Windows Device Guard e os OEMs estão prontos para instalá-lo nos computadores que fabricam.

O Device Guard é um dos principais recursos de segurança da Microsoft no Windows 10. OEMs como Acer, Fujitsu, HP, NCR, Lenovo, PAR e Toshiba também o endossaram.

O Device Guard é uma combinação de recursos de segurança de hardware e software que, quando configurados juntos, bloquearão um dispositivo para que ele possa executar somente aplicativos confiáveis. Ele usa a nova segurança baseada em virtualização no Windows 10 para isolar o serviço de integridade de código do próprio kernel do Windows, permitindo que o serviço use assinaturas definidas pela política controlada pela empresa para ajudar a determinar o que é confiável.

A função básica do dispositivo O Guard no Windows 10 seria testar cada processo sendo carregado na memória para execução, antes e durante o processo de inicialização. Verificaria a autenticidade, com base nas assinaturas apropriadas dos aplicativos e impediria que qualquer processo que não tivesse uma assinatura adequada fosse carregado na memória.

O Device Guard da Microsoft emprega a tecnologia incorporada no nível do hardware - em vez de estar no software nível, o que poderia deixar de detectar o malware. Ele também emprega a virtualização para trazer o processo apropriado de tomada de decisão, que informará ao computador o que permitir e o que evitar de ser carregado na memória. Esse isolamento impedirá o malware, mesmo se o invasor tiver controle total dos sistemas nos quais o protetor está instalado. Eles podem tentar, mas não poderão executar o código, pois o Guard possui seus próprios algoritmos que bloquearão a execução do malware.

Diz Microsoft:

Isso dá uma vantagem significativa sobre o antivírus tradicional e tecnologias de controle de aplicativos como AppLocker, Bit9 e outras que estão sujeitas a adulterações por um administrador ou malware

Device Guard vs Software antivírus

Os usuários do Windows ainda precisarão instalar softwares antimalware para serem executados em seus dispositivos para malware originário de outras fontes. A única coisa que o Windows Device Guard irá protegê-lo é o malware que tenta carregar na memória durante o tempo de inicialização, antes que o software antivírus possa protegê-lo.

Como o novo Device Guard pode não conseguir acessar macros em documentos e malware baseados em script, a Microsoft diz que os usuários terão que usar o software antimalware além do Guard. O Windows agora possui um antimalware interno chamado Windows Defender. Você pode depender dele ou usar um antimalware de terceiros para se proteger melhor.

O Device Guard permite outros sistemas operacionais

O Windows Guard permitirá que somente aplicativos pré-aprovados sejam processados ​​durante o tempo de inicialização. Os desenvolvedores de TI podem optar por permitir todos os aplicativos por um fornecedor confiável ou podem configurá-lo para verificar a aprovação de cada aplicativo. Independentemente da configuração, o Windows Guard permitirá que apenas aplicativos aprovados sejam executados. Na maioria dos casos, os aplicativos aprovados serão decididos pela assinatura do desenvolvedor do aplicativo.

Isso dá um toque para as opções de inicialização. Os sistemas operacionais que não tiverem assinaturas digitais verificadas não serão permitidos pelo Windows Guard para serem carregados. No entanto, não é preciso muito para que qualquer aplicativo ou sistema operacional seja certificado.

Hardware e software necessários para o Device Guard

Para usar o Device Guard, você precisa instalar e configurar o seguinte hardware e software:

1. Windows 10. O Device Guard funciona somente com dispositivos que executam o Windows 10.
2. UEFI. Ele inclui um recurso chamado Inicialização Segura que ajuda a proteger a integridade do seu dispositivo dentro do próprio firmware.
3. Inicialização Confiável. É uma alteração de arquitetura que ajuda a proteger contra ataques de rootkits.
4. Segurança baseada em virtualização. Um contêiner protegido do Hyper-V que isola os processos sensíveis do Windows 10. T
5. Ferramenta de inspecção de pacotes. Uma ferramenta que ajuda a criar um catálogo dos arquivos que exigem assinatura para aplicativos clássicos do Windows

Você pode ler mais sobre isso no TechNet.

Poupe algum tempo para ler sobre o Enterprise Data Protection no Windows 10.