โดย
- เคลลี่ เอ็ม. สจ๊วต
เผยแพร่:26 เมษายน 2023
Windows Defender Device Guard เป็นคุณลักษณะด้านความปลอดภัยสำหรับ Windows 10 และ Windows Server ที่ออกแบบมาเพื่อใช้รายการแอปพลิเคชันที่อนุญาตพิเศษและนโยบายความสมบูรณ์ของโค้ด เพื่อปกป้องอุปกรณ์ของผู้ใช้จากโค้ดที่เป็นอันตรายซึ่งอาจทำให้ระบบปฏิบัติการเสียหายได้
ด้วยนโยบายความสมบูรณ์ของโค้ดซึ่งฝ่ายไอทีสร้างขึ้นเพื่อกำหนดว่าซอฟต์แวร์ใดที่สามารถทำงานบน Windows 10 ได้ ฝ่ายไอทีสามารถป้องกันแอปพลิเคชันที่ไม่รู้จักหรือไม่น่าเชื่อถือ รวมถึงปลั๊กอิน ส่วนเสริม หรือโมดูลแอปพลิเคชันอื่นๆ ที่เฉพาะเจาะจง ไม่ให้เข้าถึงอุปกรณ์ของผู้ใช้ปลายทางได้
Device Guard ทำงานร่วมกับ AppLocker และ Windows Defender Credential Guard ของ Microsoft เพื่อมอบระบบรักษาความปลอดภัยเชิงป้องกัน ฝ่ายไอทีสามารถใช้ Device Guard ควบคู่ไปกับ Virtual Secure Mode (VSM) ซึ่งเป็นเคอร์เนลที่ป้องกันไฮเปอร์ไวเซอร์ของ Windows เพื่อให้การรักษาความปลอดภัยบนการจำลองเสมือน ซึ่งช่วยป้องกันไดรเวอร์และไฟล์ที่ไม่ดีออกจากระบบ
ตามเว็บไซต์ของ Microsoft "Device Guard จะไม่ถูกใช้อีกต่อไป ยกเว้นเพื่อค้นหาความสมบูรณ์ของหน่วยความจำและการตั้งค่า VBS ใน Group Policy หรือรีจิสทรีของ Windows"
Windows Defender Device Guard ทำงานอย่างไร
Windows Defender Device Guard ใช้นโยบายความสมบูรณ์ของโค้ด ซึ่งรู้จักกันในชื่อ Windows Defender Application Control ใน Windows 10 เวอร์ชัน 1709 เพื่อให้ฝ่ายไอทีแสดงรายการแอปพลิเคชันและส่วนขยายที่อนุญาตภายในแอปพลิเคชันเหล่านั้นที่สามารถทำงานบนระบบปฏิบัติการได้ ช่วยให้ฝ่ายไอทีสามารถบล็อกซอฟต์แวร์ที่ไม่ต้องการก่อนที่จะเข้าสู่ระบบได้ ฝ่ายไอทียังสามารถสร้างกลุ่มผู้ใช้ที่เชื่อถือได้พร้อมลายเซ็นที่เชื่อถือได้ ซึ่งเป็นกลุ่มเดียวที่สามารถเปลี่ยนแปลงนโยบายความสมบูรณ์ของโค้ดได้ Device Guard รันนโยบายความสมบูรณ์ของโค้ดผ่านเคอร์เนลในคอนเทนเนอร์
Device Guard ให้ความปลอดภัยสำหรับการใช้งานทั้งเดสก์ท็อปจริงและเสมือน นโยบายความสมบูรณ์ของโค้ด Device Guard ทำงานบนส่วนขยายการจำลองเสมือนของ CPU การแปลที่อยู่ระดับที่สอง และหน่วยการจัดการหน่วยความจำอินพุต/เอาท์พุต (IOMMU)
คุณสมบัติหลักของ Windows Defender Device Guard
เครื่องมือเพิ่มเติมในการควบคุมแอปพลิเคชัน Windows Defender ที่เรียกว่า Package Inspector จะสร้างแคตตาล็อกของไฟล์ไบนารีสำหรับแอปพลิเคชันที่เชื่อถือได้ทั้งหมด แม้ว่ามัลแวร์จะซึมเข้าไปในเคอร์เนล VSM แต่ Device Guard จะป้องกันไม่ให้รันโค้ดด้วยการตรวจสอบความสมบูรณ์ของโค้ดในระบบที่ปลอดภัย หากมีการโจมตีการเข้าถึงหน่วยความจำโดยตรง IOMMU จะปฏิเสธการเข้าถึงคำขอหน่วยความจำที่ผิดปกติ Windows Defender Device Guard ยังมี Universal Extensible Firmware Interface ที่ทำการบูทอย่างปลอดภัยเพื่อป้องกันชุดบูทและผู้โจมตีที่ดุร้าย
เครื่องมือสำหรับการจัดการ Windows Defender Device Guard
ผู้เชี่ยวชาญด้านไอทีสามารถใช้วิธีการจัดการที่คล้ายกันกับ Device Guard ได้เหมือนกับที่ทำกับโปรแกรม Windows อื่นๆ ฝ่ายไอทีสามารถตั้งค่าและจัดการไฟล์แค็ตตาล็อกและนโยบายความสมบูรณ์ของโค้ดด้วย Group Policy Objects ในเทมเพลตการดูแลระบบ ฝ่ายไอทีสามารถปรับใช้และจัดการนโยบายความสมบูรณ์ของโค้ด ไฟล์แค็ตตาล็อก และคุณลักษณะด้านความปลอดภัยของฮาร์ดแวร์ด้วย System Center Configuration Manager Windows PowerShell ทำงานได้ดีสำหรับผู้เชี่ยวชาญด้านไอทีที่ต้องการมุ่งเน้นที่การสร้างและส่งนโยบายความสมบูรณ์ของโค้ด ในที่สุด Microsoft Intune อาจสนับสนุนการปรับใช้และการจัดการไฟล์แค็ตตาล็อกและนโยบายความสมบูรณ์ของโค้ดเช่นกัน ตามที่ Microsoft กล่าว
อ่านต่อเกี่ยวกับ Microsoft Windows Defender Device Guard
- ฉันจะหลีกเลี่ยงปัญหาความเข้ากันได้ของ Windows Defender ได้อย่างไร
- การจัดการ Windows Defender Device Guard ในเดสก์ท็อป Windows
- ฟีเจอร์ Microsoft Defender Antivirus มีอะไรบ้างใน Windows
เจาะลึกการจัดการเดสก์ท็อป
-
ความปลอดภัยบนพื้นฐานการจำลองเสมือน (VBS)
โดย:ราหุล อวาตี
-
ตัวป้องกันการหาประโยชน์จาก Windows Defender
โดย:อเล็กซานเดอร์ กิลลิส
-
เปรียบเทียบเครื่องมือ EDR สำหรับ Windows Server
โดย:ไบรอัน โพซีย์
-
Microsoft มุ่งเน้นไปที่การรักษาความปลอดภัยระยะไกลด้วยการอัปเดต Windows 11
โดย:อันโตเน กอนซาลเวส
