Открыть сервис

Device Guard

Device Guard — это набор технологий корпоративной безопасности, встроенных в операционные системы Microsoft Windows (начиная с Windows 10 Enterprise и Windows Server 2016), предназначенный для защиты устройств от выполнения вредоносного кода и несанкционированного запуска неподписанных или непроверенных приложений. Device Guard реализует политику «белого списка» (whitelisting), разрешая выполнение только доверенных исполняемых файлов, скриптов и драйверов, что существенно снижает риск заражения системы через эксплойты нулевого дня, фишинговые атаки и другие методы внедрения вредоносного ПО. Технология работает на уровне ядра операционной системы и использует аппаратные возможности виртуализации, обеспечивая изоляцию процессов и целостность системы.

История и развитие

Device Guard был впервые представлен корпорацией Microsoft в 2015 году как часть обновления Windows 10 Enterprise (версия 1511). Разработка технологии была ответом на рост числа сложных кибератак, нацеленных на корпоративные сети, включая атаки с использованием вредоносных драйверов и программ-вымогателей. Изначально Device Guard позиционировался как альтернатива традиционным антивирусам, основанным на сигнатурном анализе, и предлагал более проактивный подход — контроль выполнения кода на основе политик.

В 2016 году, с выходом Windows 10 версии 1607 (Anniversary Update), Device Guard был интегрирован с функцией Credential Guard, которая защищает хэши паролей и билеты Kerberos от кражи. В 2017 году, в версии 1709 (Fall Creators Update), Microsoft объединила Device Guard и Application Guard (изолированная среда для браузера Edge) в единую платформу Windows Defender System Guard, которая теперь включает в себя несколько компонентов защиты целостности системы.

В 2019 году, с выпуском Windows 10 версии 1903, Microsoft переименовала Device Guard в Windows Defender Application Control (WDAC), хотя термин «Device Guard» продолжает использоваться в документации и сообществе для обозначения набора технологий, включая WDAC, Credential Guard и System Guard. В последующих версиях Windows 10 и Windows 11 функциональность WDAC была расширена: добавлена поддержка политик для контейнеров, улучшена интеграция с Microsoft Intune для управления мобильными устройствами, а также введены новые возможности для управления политиками через PowerShell.

Архитектура и компоненты

Device Guard состоит из нескольких взаимосвязанных компонентов, работающих на разных уровнях системы:

1. Windows Defender Application Control (WDAC)

Основной компонент, реализующий политику «белого списка». WDAC определяет, какие исполняемые файлы (EXE, DLL, MSI, скрипты PowerShell, драйверы) могут быть запущены на устройстве. Политики WDAC могут быть основаны на:

  • Хэшах файлов (SHA-256) — разрешение конкретных файлов.
  • Сертификатах подписи — разрешение всех файлов, подписанных определённым издателем (например, Microsoft, Adobe).
  • Правилах файлового пути — разрешение файлов из определённых каталогов (например, C:\Program Files).
  • Атрибутах файлов — например, версия продукта или имя файла.

Политики WDAC применяются на уровне ядра и не могут быть отключены обычным пользователем или администратором без специального ключа восстановления.

2. Credential Guard

Компонент, защищающий учётные данные пользователя от кражи. Использует изоляцию на основе виртуализации (Virtualization-based Security, VBS) для хранения хэшей паролей, билетов Kerberos и других секретов в защищённой области памяти, недоступной для операционной системы и драйверов. Credential Guard предотвращает атаки типа «Pass-the-Hash» и «Pass-the-Ticket», которые часто используются злоумышленниками для перемещения по сети.

3. System Guard

Набор технологий, обеспечивающих целостность системы на этапе загрузки и во время работы. Включает:

  • Secure Boot — проверка цифровой подписи загрузчика и ядра ОС.
  • Measured Boot — измерение состояния загрузки с помощью TPM (Trusted Platform Module) и отправка отчёта в систему мониторинга.
  • Kernel DMA Protection — защита от атак через порты DMA (Direct Memory Access), например, через Thunderbolt или PCIe.

4. Virtualization-based Security (VBS)

Аппаратная платформа, на которой работают Credential Guard и System Guard. VBS использует гипервизор Windows (Hyper-V) для создания изолированных виртуальных сред (Trustlets), в которых выполняются критически важные процессы безопасности. Это изолирует их от остальной части ОС, даже если ядро системы скомпрометировано.

Принцип работы

Device Guard функционирует на основе следующих этапов:

  1. Загрузка системы: Secure Boot проверяет подпись загрузчика, затем Measured Boot фиксирует измерения в TPM. Если целостность нарушена, система может не загрузиться или отправить предупреждение.
  2. Применение политик WDAC: При попытке запуска любого исполняемого файла ядро системы проверяет его соответствие политике WDAC. Если файл не разрешён, он блокируется, и событие регистрируется в журнале событий Windows.
  3. Изоляция учётных данных: Credential Guard хранит хэши паролей и билеты в защищённой области VBS, доступ к которой имеют только доверенные процессы. Даже если злоумышленник получит доступ к ядру, он не сможет прочитать эти данные.
  4. Мониторинг целостности: System Guard постоянно проверяет состояние системы, включая целостность драйверов и защиту от DMA-атак.

Настройка и управление

Device Guard настраивается и управляется через несколько инструментов:

  • PowerShell: основные команды для создания, применения и управления политиками WDAC (например, New-CIPolicy, ConvertFrom-CIPolicy, Set-RuleOption).
  • Group Policy: политики Device Guard могут быть распространены через Active Directory на все устройства в домене.
  • Microsoft Intune: для облачного управления политиками на устройствах, не входящих в домен.
  • Windows Defender Security Center: графический интерфейс для просмотра состояния защиты и журналов событий.

Политики WDAC обычно создаются в режиме аудита (Audit Mode), который позволяет тестировать правила без блокировки приложений, а затем переводятся в режим принудительного применения (Enforce Mode). Для восстановления системы после случайной блокировки критически важных файлов используется ключ восстановления, который генерируется при создании политики.

Применение

Device Guard используется в средах, где требуется высокий уровень безопасности:

  • Корпоративные сети: защита рабочих станций и серверов от вредоносного ПО, особенно в организациях с высокими требованиями к конфиденциальности данных (банки, государственные учреждения, оборонные предприятия).
  • Киоски и терминалы: ограничение запуска только разрешённых приложений на общедоступных устройствах (банкоматы, информационные киоски).
  • Разработка и тестирование: изоляция сред разработки от вредоносных воздействий, защита от запуска неподписанных драйверов.
  • Удалённые рабочие места: защита устройств, подключаемых к корпоративной сети через VPN, от атак на основе фишинга.

Критика и ограничения

Несмотря на высокую эффективность, Device Guard имеет ряд недостатков:

  • Сложность настройки: создание политик WDAC требует глубоких знаний о структуре приложений и зависимостях. Ошибки могут привести к блокировке легитимного ПО, вплоть до невозможности загрузки системы.
  • Совместимость: не все приложения корректно работают с WDAC, особенно старые или неподписанные. Это требует дополнительного тестирования и, возможно, обновления ПО.
  • Производительность: использование VBS и изоляции на основе гипервизора может снижать производительность системы, особенно на устройствах с ограниченными ресурсами (например, на старых ПК).
  • Требования к оборудованию: для полноценной работы Device Guard требуются процессоры с поддержкой виртуализации (Intel VT-x или AMD-V), TPM 2.0, UEFI с Secure Boot, а также поддержка IOMMU для DMA-защиты. Это делает технологию недоступной для многих старых устройств.
  • Управляемость: в больших организациях управление политиками может быть трудоёмким, особенно при частом обновлении ПО. Требуется интеграция с системами управления конфигурациями (SCCM, Intune).

Сравнение с альтернативами

Device Guard часто сравнивают с другими решениями для контроля приложений:

  • AppLocker: более старая технология Microsoft, работающая на уровне пользовательского режима. AppLocker проще в настройке, но менее безопасен, так как может быть обойдён через уязвимости в ядре. Device Guard, работающий на уровне ядра, обеспечивает более надёжную защиту.
  • Cylance (BlackBerry): решение на основе искусственного интеллекта, которое анализирует поведение файлов. В отличие от Device Guard, Cylance не требует создания политик, но может давать ложные срабатывания.
  • Carbon Black (VMware): платформа для обнаружения и реагирования на угрозы (EDR), которая может дополнять Device Guard, но не заменяет его. Device Guard блокирует выполнение кода до его запуска, тогда как Carbon Black анализирует поведение после запуска.

Интересные факты

  • Device Guard был разработан в ответ на атаку Stuxnet (2010), которая использовала подписанные драйверы для компрометации систем. Технология делает такие атаки практически невозможными, блокируя неподписанные драйверы.
  • В 2017 году Microsoft выпустила бесплатный инструмент Device Guard Readiness Tool, который помогает администраторам оценить готовность инфраструктуры к внедрению технологии.
  • Device Guard поддерживает политики для контейнеров Docker, что позволяет изолировать контейнерные среды от остальной системы.

Источники

  • Microsoft Docs. «Windows Defender Application Control (WDAC)». — Microsoft Corporation, 2023.
  • Microsoft Docs. «Credential Guard». — Microsoft Corporation, 2023.
  • Microsoft Docs. «System Guard». — Microsoft Corporation, 2023.
  • Microsoft Security Response Center. «Device Guard: A new approach to security». — Microsoft Corporation, 2015.
  • TechNet. «Device Guard and Credential Guard deployment guide». — Microsoft Corporation, 2016.
  • Cimpanu, C. «Microsoft Device Guard: What is it and how to use it». — ZDNet, 2019.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →