- Combineert VBS, HVCI, WDAC en Credential Guard om code en referenties te isoleren.
- Gebruik gezondheidsverklaring en voorwaardelijke toegang met MDM en voer ID in.
- Implementeer WDAC met ConfigMgr, bewaak gebeurtenissen en onderteken beleid.
- Compleet met BitLocker, Exploit Guard, Application Guard en Firewall.
Het beveiligen van een Windows-computer gaat niet alleen over het inschakelen van vier opties en dat is alles; het gaat om het op één lijn brengen veiligheid van hardware, systeembeveiligingen en toepassingsbeheerbeleid die samenwerken. In deze handleiding zetten we alle onderdelen op een rij: Credential Guard, BitLocker, AppLocker, Device Guard/WDAC, Application Guard, VBS, HVCI en Conditional Access Health Attestation.
Als u wagenparken beheert of waardevolle vracht vervoert, wilt u deze lagen op een geplande manier implementeren. Door ze goed te combineren worden pass-the-hash-aanvallen, bootkits en andere aanvallen verminderd. malware en Boot en uitvoering van ongeautoriseerde softwareen maakt het ook mogelijk om toegangsbeslissingen te nemen op basis van de werkelijke status van het apparaat.
Beschermingslagen in Windows: hardware en veilig opstarten
Om bij de basis te beginnen, vertrouwt Windows op bescherming op een laag niveau: TPM 2.0, UEFI met Secure Boot, Boot Measurement (PCR/TCG) en ELAMHet doel is om alleen legitieme code uit de eerste milliseconde te laden en alles vast te leggen wat er bij het opstarten gebeurt.
El TPM (1.2 en bij voorkeur 2.0) Biedt cryptografische sleutels, statistieken en functies om geheimen te verzegelen (zoals BitLocker of authenticatiesleutels) en ondersteunt verificatie op afstand. TPM 2.0 standaardiseert gedrag, ondersteunt SHA-256 in PCR en biedt meer algoritmeflexibiliteit.
met UEFI Secure Boot De firmware valideert of de bootloader en kritieke Windows-binaire bestanden zijn ondertekend voordat het systeem wordt opgestart. Zo worden schadelijke alternatieve loaders geblokkeerd. Beveiligd opstartconfiguratiebeleid breidt deze controle uit naar gevoelige parameters (bijvoorbeeld het voorkomen van de handtekeningtestmodus).
ELAM (vroege lancering anti-malware) zorgt ervoor dat de antimalwaredriver wordt geladen voordat de rest van de chauffeurs Stuurprogramma's opstarten en classificeren om te voorkomen dat niet-vertrouwde stuurprogramma's worden geladen, waardoor de vertrouwensketen wordt voortgezet.
Bovendien is de Virtualisatiegebaseerde beveiliging (VBS) met Hyper-V creëert een extra grens, waardoor cruciale services (code-integriteit en referenties) worden geïsoleerd van de Windows-kernel zelf, zodat deze zelfs een gecompromitteerde kernel kan overleven.
Credential Guard in detail
Credential Guard isoleert gevoelige inloggegevens (onder andere NTLM-hashes en Kerberos TGT's) in een beveiligd proces (LsaIso.exe) dat dankzij VBS in de geïsoleerde gebruikersmodus draait. Zelfs als een aanvaller beheerdersrechten zou krijgen, zou hij het LSASS-geheugen niet kunnen lezen om geheimen te dumpen.
Het systeem gebruikt opstart- en permanente sleutels om residentiële en opgeslagen inloggegevens te beschermen; de status wordt ingeschakeld via een registersleutel en UEFI-variabele om ongeautoriseerde wijzigingen op afstand te voorkomen. U kunt de status controleren met msinfo32 (“Device Guard Security Services actief: Hypervisor afgedwongen code-integriteit”).
Op het niveau van de eisen wordt gevraagd x64 CPU met VT-x/AMD-V, IOMMU (VT-d/AMD-Vi), UEFI 2.3.1 met Secure Boot en TPMFabrikanten zoals Dell benadrukken dat Windows 10 Enterprise/Education en HVCI-compatibele drivers essentieel zijn, evenals BIOS bijgewerkt en virtualisatieopties ingeschakeld.
Als u met EMM-oplossingen werkt, is het mogelijk Credential Guard inschakelen met of zonder UEFI-vergrendeling via MDM-beleid (bijvoorbeeld in Citrix Endpoint Management de instelling ‘LSA-beveiliging configureren’).
Device Guard en Hypervisor-Protected Code Integrity (HVCI)
Device Guard is niet één enkele schakelaar; het is de set van VBS + HVCI + code-integriteitsbeleid die de machine vergrendelen, zodat alleen vertrouwde code (kernel en gebruiker) kan worden uitgevoerd. HVCI zorgt ervoor dat kernelpagina's nooit W+X gebruiken en vereist integriteitsvalidatie voordat code wordt uitgevoerd.
Het vertrouwensbesluit wordt vastgelegd in een code-integriteitsbeleid (CIP), bij voorkeur ondertekend, die u kunt genereren met Microsoft-tools en kunt implementeren met GPO, Intune of Configuration Manager. Ondertekening biedt extra bescherming tegen kwaadwillende lokale beheerders door de GUID op te slaan in een UEFI-variabele en alleen updates toe te staan die door dezelfde ondertekenaar zijn ondertekend.
Device Guard ondersteunt regels van toestaan/weigeren, werkt zeer goed in vaste werklasten (kiosken, POS, SAW-stations) en kan worden gestart in auditmodus om vast te leggen welke binaire bestanden het beleid zouden schenden voordat ze de afdwingingsmodus ingaan.
Om de gereedheid te valideren en deze snel mogelijk te maken, raden Microsoft en OEM's het volgende aan: script DG_Readiness.ps1 met opties zoals “–Capable –HVCI” of “–Enable –DG –AutoReboot”. De systemen worden niet voorgeconfigureerd geleverd; functies moeten worden ingeschakeld en beleid moet worden geïmplementeerd.
Windows Defender Application Control (WDAC) en de implementatie ervan
De voormalige “Device Guard (WDAC)” staat nu bekend als Windows Defender Application ControlHet is de geavanceerde whitelist die voorkomt dat ongeautoriseerde code wordt uitgevoerd. U kunt deze beheren met Configuratiebeheer (huidige tak) om richtlijnen per collectie te implementeren.
In ConfigMgr kunt u de volgende afdwingingsmodi kiezen: Toepassing ingeschakeld (alleen vertrouwde uitvoerbare bestanden) of Alleen audit (alles wordt uitgevoerd en niet-vertrouwd wordt geregistreerd). Na verwerking van het beleid wordt ConfigMgr gemarkeerd als beheerde installateur, zodat de software die u later distribueert automatisch vertrouwd wordt.
Wat is standaard toegestaan? Systeemcomponenten, WHQL-stuurprogramma's, apps van Microsoft Store, de ConfigMgr-client en wat er na het beleid vanuit ConfigMgr wordt geïmplementeerd. U kunt er ook voor kiezen om de reputatie van Microsoft Intelligent Security Graph/SmartScreen (Windows 10 1709+). Ongeacht de gekozen modus, .hta-bestanden zijn geblokkeerd.
Stappen met ConfigMgr: maak het beleid (naam, beschrijving, opnieuw opstarten indien van toepassing, afdwingingsmodus), bepaal of u autoriseert ISG-softwareVoeg indien nodig specifieke vertrouwde paden toe (voor LOB's of om installatieproblemen te verhelpen) en wordt ingezet in de collectie met een programmering evaluatie (standaard dagelijks, u kunt dit verkorten als er problemen zijn).
Monitoring- en beveiligingsaspecten bij de implementatie van WDAC
Om de verwerking van richtlijnen op de client te controleren, controleer %WINDIR%\CCM\Logs\DeviceGuardHandler.log. Blokkering/controle van uitvoerbare bestanden is geregistreerd Toepassings- en servicelogboeken > Microsoft > Windows > Code-integriteit > Operationeel, en scripts/MSI in Microsoft > Windows > AppLocker.
Houd er rekening mee dat in auditmodus of ingeschakeld zonder opnieuw opstarten, de computer is kwetsbaar voor de installatie van niet-vertrouwde software die daarna nog steeds kan blijven draaien. Labtest met toepassingsmodus ingeschakeld en herstarten voordat het apparaat aan de gebruiker wordt overgedragen.
Belangrijk: Als u de naleving inschakelt en vervolgens opnieuw een audit uitvoert op hetzelfde apparaat, kan zich onbetrouwbare software veroorloven door toestandscombinaties. Bovendien, met ConfigMgr, een lokale beheerder kan omzeilen de richtlijnen; de robuuste manier om dit te voorkomen is het toepassen van een binair beleid ondertekend via GPO (op dit moment niet ondersteund door ConfigMgr).
AppLocker wordt hier alleen gebruikt voor controleer het beheerde installatieprogramma; de daadwerkelijke handhaving wordt afgedwongen door WDAC. Voor een gelaagde aanpak definieert WDAC de globale basis en voegt AppLocker waar nodig gebruikers-/groepsbeperkingen toe.
AppLocker: handige add-on waar nodig
AppLocker is nog steeds erg handig voor verfijnde scenario's per gebruiker waar WDAC niet filtert op identiteit. U kunt bijvoorbeeld een specifieke UWP-app voor een groep weigeren of beperken PowerShell o cmd om het personeel te ondersteunen terwijl de rest het niet gebruikt. Definieer regels voor editor, pad of hash met digitale handtekening voor meer robuustheid.
Houd er rekening mee dat AppLocker in deze context ook als mechanisme meewerkt om beheerde installateurs identificeren in de ConfigMgr-stroom met WDAC, maar niet om de basiswhitelist van het systeem af te dwingen.
Application Guard en Exploit Guard: inperking en oppervlakteverkleining
Windows Defender Application Guard isoleert navigatie naar niet-vertrouwde sites in een Hyper-V-container Microsoft EdgeAls de browser crasht, moet de aanvaller de virtuele machine verlaten om toegang te krijgen tot de host. Dit vereist virtualisatie en Microsoft raadt aan 8 GB RAM-geheugen op zijn minst praktisch; met de Enterprise-modus kunt u definiëren welke domeinen binnen/buiten de container vallen en de mogelijkheden beperken (afdrukken, downloads, camera, microfoon).
met Windows Defender Exploit Guard Je hebt vier pijlers: Regels voor het verminderen van aanvalsoppervlakken (ASR) om typische vectoren (Office-macro's, scripts, PSExec/WMI, PDF's met onderliggende processen, uitvoerbare bestanden van USB, enz.) te stoppen, netwerk bescherming (het blokkeren van HTTP/HTTPS naar domeinen met een slechte reputatie via de cloud), Gecontroleerde maptoegang (verzacht ransomware) en Bescherming tegen exploits (vervangt EMET door DEP, ASLR en aanvullende maatregelen).
Als je van EMET komt, kun je: beleid converteren naar Exploit GuardEn als u de Microsoft-cloud gebruikt, zorgen Exploit Guard en reputatiebescherming voor betere preventie- en reactiebeslissingen.
Gezondheidsverklaring en voorwaardelijke toegang met MDM en Microsoft-aanmeldings-ID
Beschermen is niet genoeg: we moeten de status van het apparaat meten en demonstreren om toegang te verlenen tot waardevolle bronnen. Windows biedt hardwaregebaseerde gezondheidsverklaring waarbij de client de Microsoft-service de TCG-records en PCR-waarden ondertekend met AIK om het opstarten (Secure Boot, Debug, Veilige modus), BitLocker, VBS, HVCI, ELAM en de vingerafdruk van het code-integriteitsbeleid te verifiëren.
De typische route: het apparaat (met TPM) krijgt een AIK-certificaat uitgegeven door de Microsoft Cloud CA (afgeleid van de EK om de privacy te behouden), meet de boot (PCR0…n) en verzendt TCG-logboek + PCR-citaat aan de dienst. Dit valideert de handtekening, de samenhang en geeft een gecodeerde statusblob die de MDM kan terugsturen ter decodering en evaluatie.
door Gezondheidsverklaring CSPDe MDM-agent verzamelt en stuurt deze gegevens door. Intune of andere MDM's vragen de blob aan, de service controleert nonce en boot counteren retourneert statuskenmerken (Secure Boot, db/dbx, BitLocker, VBS, ELAM, Code Integrity Policy hash, etc.) die de MDM gebruikt om het apparaat te markeren als compatibel of niet-compatibel.
Met de staat in Microsoft Entra-IDDe voorwaardelijke-toegangsengine beslist in realtime of Office 365-, SaaS- of on-premises-apps die via een proxy worden gepubliceerd, worden toegestaan. Als het apparaat niet is geregistreerd of niet-compatibel is, ontvangt de gebruiker een voorwaardelijke-toegangscode. saneringsinstructiesAls de aanvraag succesvol en geautoriseerd is, geeft Entra de toegangstoken uit. Er is ook AD-synchronisatie en ondersteuning voor ADFS 2016 voor on-premises scenario's.
Waarom antimalware en beheer nog steeds noodzakelijk zijn
Hoewel een sterke lijst met toegestane items het risico aanzienlijk vermindert, kwetsbaarheden in gebruikersapps blijven een veelvoorkomende infectieroute. De fundamentele laag is patches toepassen en beheren het park; antimalware biedt aanvullende verdediging, voedt ELAM en profiteert van de runtime-rapport (System Guard) om te controleren of de omgeving niet is gewijzigd.
Windows Defender System Guard consolideert integriteitscontroles, schakelt VBS standaard in bij schone installaties met ondersteunde hardware en biedt runtime-certificering die de opstartstatus, hypervisor en ondertekende binaire bestanden valideert, evenals de integriteit van de VBS-enclave.
Vereisten, licenties en platformcompatibiliteit
Voor gezondheidsverklaringen worden Windows Pro, Enterprise en Education ondersteund en gebruiksrechten komen via licenties Pro/Pro Education/SE, Enterprise E3/E5 en Education A3/A5. Voor Credential Guard en Device Guard, Windows 10/11 Enterprise/Onderwijs en uitgelijnde hardware: x64 CPU, VT-x/AMD-V, SLAT, IOMMU (VT-d/AMD-Vi), UEFI 2.3.1 met Secure Boot, en TPM (bij voorkeur 2.0).
OEM's geven gedetailleerde informatie over de compatibiliteit van BIOS/HVCI-drivers per model. Voorbeelden van geverifieerde families Dit zijn onder andere de Dell Latitude, OptiPlex, Precision en XPS Skylake/Kaby Lake-generaties met specifieke BIOS- en driverversies. De conclusie is duidelijk: Zorg dat het BIOS up-to-date is en dat de drivers HVCI-compatibel zijn om fouten bij het activeren van VBS/HVCI te voorkomen.
In BIOS/UEFI, inschakelen virtualisatie, IOMMU, Secure Boot en secure MORAls uw CPU Intel vPro impliceert meestal VT-x/VT-d-ondersteuning; sommige niet-vPro-modellen bieden dit ook. Let op: Ondernemen komt niet uit de fabriek op OEM; upgrades van Pro via volumelicenties.
Als u een MDM van derden gebruikt (bijvoorbeeld Citrix), kunt u: beveiliging voor virtualisatie inschakelen, stel het platformniveau in (Secure Boot met VBS of met DMA-beveiliging) en configureer LSA-beveiliging (schakel Credential Guard in met of zonder UEFI-vergrendeling); de server zal alleen implementeren als deze detecteert configuratiefout betreffende het apparaat.
BitLocker, prestaties, updates en firewall
Over updates, Windows update puede downloads op datanetwerken uitstellen (3G/4G wordt beschouwd als gemeten gebruik) om kosten te besparen, hervat wanneer u terugkeert naar wifi. Als een kritieke updatekrijgt prioriteit, zelfs in scenario's met beperkte connectiviteit.
Voor de firewall beheert u de Windows Defender Firewall vanuit het Configuratiescherm of "Firewall met geavanceerde beveiliging". Het is aan te raden om dit in te schakelen met inkomende en uitgaande filtering afgestemd op de behoeften (bijvoorbeeld alleen bedrijfsbrowsers op internet).
Als aanvulling biedt AppLocker regels voor fabrikant/bedrijf voor uw eigen apps; 'Device Guard-goedkeuring' voor apps verschijnt wanneer ze zijn ondertekend door Microsoft Store, uw PKI of een vertrouwde CA, passend bij de vertrouwensstrategie.
Een praktische opmerking over het sluiten van de lus: het beschermen van de firmware-omgeving. Blokkeert de toegang tot opstartopties om te voorkomen dat iemand met fysieke toegang Secure Boot uitschakelt of opstart vanaf USB. En als u wilt voorkomen dat de tool voor systeembeveiligingsconfiguratie wordt uitgevoerd, voegt u een regel toe die weigeren C:\Windows\System32\SecConfig.efi in uw integriteitsbeleid.
Met al deze lagen ga je van een puur preventieve aanpak naar een evenwicht tussen preventie, detectie en respons, waar het apparaat zijn status bewijst en identiteiten en beleid elk toegangspunt bepalen. Door het op een ordelijke manier in het lab te implementeren, VBS/HVCI in te schakelen, WDAC-beleid te ondertekenen, AppLocker te gebruiken waar nodig, te meten met statusattestatie en te coördineren met BitLocker, Exploit Guard en Application Guard, legt u de lat echt hoger voor elke aanvaller.
Gepassioneerd schrijver over de wereld van bytes en technologie in het algemeen. Ik deel mijn kennis graag door te schrijven, en dat is wat ik in deze blog ga doen: je de meest interessante dingen laten zien over gadgets, software, hardware, technologische trends en meer. Mijn doel is om u te helpen op een eenvoudige en onderhoudende manier door de digitale wereld te navigeren.