Device Guard no Windows 10 é um firmware que não permite que programas não autenticados, não assinados e não autorizados, bem como sistemas operacionais, sejam carregados. Já falamos sobre como precisamos de um sistema operacional que realize verificações automáticas sobre o que está sendo alimentado e carregado em sua RAM para execução. Dependendo de um software anti-malware, não é uma coisa sensata hoje em dia, embora não tenhamos muitas opções. Um anti-malware é um aplicativo separado e precisa ser carregado na memória antes de começar a escanear os aplicativos que estão sendo carregados na memória.
Nós falamos anteriormente sobre como o Windows 8.1 é um sistema operacional anti-malware. Ele age em si mesmo e em outros aplicativos para ver se eles são aplicativos genuínos exigidos pelo computador, muito antes de carregar a interface, para que um nível de segurança seja adicionado aos computadores em que está sendo executado. Em suma, ele fornece Inicialização Confiável, um serviço de proteção contra malware de tempo de inicialização para manter o malware sob controle. Mas os criadores de malware são espertos e podem usar certas técnicas para contornar essa inspeção. A Microsoft trouxe, portanto, outro recurso que promete medidas antimalware mais rígidas durante a inicialização.
Device Guard no Windows 10
Com as preocupações com a segurança aumentando, a Microsoft agora está trazendo um firmware que irá atuar no nível do hardware durante e até mesmo antes da inicialização, para permitir que apenas aplicativos e scripts assinados adequadamente sejam carregados. Isso está sendo chamado Proteção de dispositivos do Windows e os OEMs estão prontos para instalá-lo nos computadores que eles fabricam.
O Device Guard é um dos principais recursos de segurança da Microsoft no Windows 10. OEMs como Acer, Fujitsu, HP, NCR, Lenovo, PAR e Toshiba também o endossaram.
Device Guard is a combination of hardware and software security features that, when configured together, will lock a device down so that it can only run trusted applications. It uses the new virtualization-based security in Windows 10 to isolate the Code Integrity service from the Windows kernel itself, letting the service use signatures defined by your enterprise-controlled policy to help determine what is trustworthy.
A função básica do Device Guard em Windows 10 seria testar cada processo sendo carregado na memória para execução, antes e durante o processo de inicialização. Ele verificaria a autenticidade, com base nas assinaturas apropriadas dos aplicativos e impediria que qualquer processo que não tivesse uma assinatura adequada fosse carregado na memória.
O Device Guard da Microsoft emprega tecnologia incorporada no nível do hardware - em vez de estar no nível do software, o que poderia deixar de detectar o malware. Ele também emprega a virtualização para trazer o processo apropriado de tomada de decisão, que informará ao computador o que permitir e o que evitar de ser carregado na memória. Esse isolamento impedirá o malware, mesmo que o invasor tenha controle total dos sistemas em que o protetor está instalado. Eles podem tentar, mas não poderão executar o código, pois o Guard possui seus próprios algoritmos que bloquearão o malware da execução.
Diz a Microsoft:
This gives it a significant advantage over traditional anti-virus and app control technologies like AppLocker, Bit9, and others that are subject to tampering by an administrator or malware.
Device Guard vs Software Antivírus
Os usuários do Windows ainda precisarão instalar softwares antimalware para serem executados em seus dispositivos para malware originários de outras fontes. A única coisa contra a qual o Windows Device Guard irá protegê-lo é o malware que tenta carregar na memória durante o tempo de inicialização, antes que o software antivírus possa protegê-lo.
Como o novo Device Guard pode não ser capaz de acessar macros em documentos e malwares baseados em script, a Microsoft diz que os usuários terão que usar o software antimalware além do Guard. O Windows agora possui um antimalware interno chamado Windows Defender. Você pode depender dele ou usar um antimalware de terceiros para se proteger melhor.
O Device Guard permite outros sistemas operacionais
O Windows Guard permitirá que apenas aplicativos pré-aprovados sejam processados durante o tempo de inicialização. Os desenvolvedores de TI podem optar por permitir todos os aplicativos por um fornecedor confiável ou podem configurá-lo para verificar a aprovação de cada aplicativo. Independentemente da configuração, o Windows Guard permitirá que apenas aplicativos aprovados sejam executados. Na maioria dos casos, os aplicativos aprovados serão decididos pela assinatura do desenvolvedor do aplicativo.
Isso dá uma reviravolta nas opções de inicialização. Os sistemas operacionais que não tiverem assinaturas digitais verificadas não serão permitidos pelo Windows Guard para serem carregados. No entanto, não é preciso muito para que qualquer aplicativo ou sistema operacional seja certificado.
Hardware e software necessários para Device Guard
Para usar o Device Guard, você precisa instalar e configurar o seguinte hardware e software:
- O Windows 10. Device Guard funciona apenas com dispositivos que executam o Windows 10.
- UEFI. Inclui um recurso chamado Inicialização Segura que ajuda a proteger a integridade do seu dispositivo dentro do próprio firmware.
- Inicialização Confiável. É uma alteração arquitetônica que ajuda a proteger contra ataques de rootkits.
- Segurança baseada em virtualização. Um contêiner protegido do Hyper-V que isola os processos sensíveis do Windows 10. T
- Ferramenta de inspecção de pacotes. Uma ferramenta que ajuda a criar um catálogo dos arquivos que exigem assinatura para aplicativos clássicos do Windows.
Você pode ler mais sobre isso no TechNet.
Poupe algum tempo para ler sobre o Enterprise Data Protection no Windows 10.
