首页 > 业界动态 > 正文

解决Windows 10恶意软件的Device Guard长什么样?
2016-02-20 19:45:01   来源: 作者:Michael Cobb 翻译:邹铮 TechTarget中国    评论:0 点击:

现在端点再次成为信息安全战争的中心。恶意软件感染每天都在发生,安全团队每天都在努力保护网络免受恶意代码影响。对此,Windows 10企业版引入了各种安全创新技术,例如Windows Hello多因素生物特征身份验证以及Microsoft Passport―目前完全支持FIDO(快速身份认证)联盟标准。

现在端点再次成为信息安全战争的中心。恶意软件感染每天都在发生,安全团队每天都在努力保护网络免受恶意代码影响。对此,Windows 10企业版引入了各种安全创新技术,例如Windows Hello多因素生物特征身份验证以及Microsoft Passport—目前完全支持FIDO(快速身份认证)联盟标准。其中可阻止恶意代码永久损害Windows 10设备的关键安全控制是Microsoft Device Guard,它可保护核心内核抵御恶意软件。Windows安全专业人士应该了解这个新的安全技术的工作原理以及企业应该将它部署在哪里以抵御Windows 10恶意软件和当今的网络攻击。

应用白名单采用信任为中心的模式,只允许明确允许执行的应用。对于一次性设备,只需要运行数量有限的已知程序,白名单是抵御恶意软件和糟糕用户行为的有效安全控制,它还可帮助抵御零日攻击、多态病毒和未知恶意软件变体。然而,考虑到企业内需要管理的应用、版本以及补丁的数量,企业很难采用应用白名单的做法。微软试图通过Device Guard来改变这种局面,让企业范围内的白名单更容易管理和执行,并可锁定用户的设备,让他们只能运行可信的应用。

Microsoft Device Guard结合硬件和软件安全功能来限制Windows 10企业操作系统,让其只能运行受信任方签名的代码--企业的代码完整性政策中定义了受信任方。对于没有加密签名的内部以及第三方开发的应用,可使用链到微软的证书进行认证,而不需要重新打包应用。只有由受信任签名者签署的更新策略可以变更设备的应用控制策略,这与AppLocker相比是显著的改进,AppLocker可被具有管理权限的攻击者访问。

Device Guard的工作原理是利用设备处理器和主板芯片组中IOMMU(输入输出内存管理单元)功能来隔离其本身与Windows的其他部分。这种虚拟化辅助安全技术利用了一种新的Hyper-V组件,称为虚拟安全模式(VSM),这是受保护的VM,它直接位于管理程序中,并与Windows 10内核隔离。当设备启动时,通用可扩展固件接口(UEFI)安全启动可确保Windows启动组件先于其他组件启动,以防止启动工具包执行。接下来,Hyper-V虚拟安全(VBS)技术开始运行来隔离核心Windows服务,这些服务主要用于确保操作系统安全性和完整性的关键。通过阻止恶意软件在启动过程运行或启动后在内核运行,这种隔离可保护内核、特权驱动程序和系统防御(例如反恶意软件程序)。同时,可信平台模块(TPM)也将启动,这是独立的硬件组件,它可保护用户凭证和证书等敏感数据。另外,TPM可存储系统安全启动的证明,这可用来在允许设备连接到网络之前验证其完整性。

在启用VBS的同时,Device Guard在与Windows内核以及操作系统其余部分隔离的VSM容器中运行自己的Windows准系统实例,这不会被其他软件篡改。但Device Guard不只是内核模式代码签名的更新版本;它还提供用户模式代码完整性检查,以确保在用户模式运行的事物(例如设备、通用Windows平台应用或典型的Windows应用)得到签名和受信任。即使恶意软件感染机器,它也无法访问Device Guard容器或绕过代码签名检查来执行恶意负载。这将让攻击者更难运行恶意软件--即使他拥有完整的系统权限,攻击者也很难安装代码坚持到重新启动后,再通过高级持续威胁来永久地感染设备。

虽然Microsoft Device Guard并不意味着Windows 10恶意软件的终结,但它提高了攻击者安装恶意代码的障碍。我们都知道,数字签名的应用已经存在很长时间,但这是第一次管理员可轻松地管理它们以确保企业设备的完整性以及执行自己的综合信任模型。只有企业授权的应用将被信任,而不是防病毒程序认为受信任的应用,但这里仍然需要部署这两个解决方案:Device Guard阻止可执行文件和基于脚本的恶意软件,而防病毒程序可涵盖Device Guard无法涵盖的攻击媒介,例如基于JIT的应用以及Office文档内的宏。

Credential Guard

据微软称,约80%到90%数据泄露事故是源自凭证被盗,攻击者使用偷来的域和用户登录凭证来访问网络和其他计算机。Window NT局域网管理器(NTLM)身份验证是微软使用的挑战-响应身份验证协议,它存在大多数Windows环境中,这种协议的最大问题是,攻击者并不一定需要获取用户的明文密码,就可以进行身份验证来访问远程服务器或服务;而是使用他们密码的哈希值。当用户登录到Windows时,系统中安装的恶意软件可收集哈希值,并可使用它们来模拟用户。这种攻击被称为“哈希传递”和“票据传递”攻击,名称取决于攻击者以哪种登录凭证为目标。尽管微软的Kerberos安全包改进了NTLM的安全性,但通过使用这些攻击技术来绕过身份验证系统,NTLM仍可能受到攻击。

这种攻击被用在很多高知名度的数据攻击事故中,其中包括美国人事管理局攻击事件。为了防止这种攻击,Windows 10企业版使用了被称为Credential Guard的新功能来保护VSM内的登录凭证,VSM只有足够的功能运行登录服务用于身份验证代理。访问令牌和票据以完全随机且全长度哈希值存储,可避免暴力攻击。通过使用与Device Guard相同的基于硬件和虚拟化的安全技术,即使恶意代码获得完整的系统权限,攻击者都无法访问Credential Guard存储的任何数据。

企业将需要投资于硬件和软件来利用Windows 10企业版的很多新安全功能,其中Microsoft Device Guard和Credential Guard需要满足以下要求:

· UEFI 2.3.1或更高版本

· 虚拟化扩展,例如Intel VT-d或AMD-Vi

· 64位版本的Windows Enterprise 10

· IOMMU

· TPM芯片2.0版

· Secure Boot

硬件供应商已经开始生产Device Guard-capable或Device Guard-ready设备,包括惠普、宏

相关热词搜索:Device Guard 端点安全 恶意软件

上一篇:关于近日FortiOS安全事件的声明
下一篇:趋势杀毒曝远程执行漏洞 可盗取用户所有密码

分享到: 收藏