Device Guard — защита от вредоносных программ в Windows 11/10
Device Guard в Windows 11/10 — это прошивка, которая не позволяет загружать не аутентифицированные, не подписанные, не авторизованные программы, а также операционные системы.
Device Guard — защита от вредоносных программ
Мы уже говорили, как нам нужна операционная система, которая выполняет самопроверку того, что загружают в её оперативную память для выполнения. В наши дни, для защиты от вредоносных программ, полагаться только на программное обеспечение неразумно. Антивирусное ПО — это отдельное приложение, которое необходимо загрузить в память до того, как оно начнёт сканировать загружаемые в память приложения.
Device Guard — это группа ключевых функций, предназначенных для защиты компьютерной системы от вредоносных программ. Основное внимание уделяется предотвращению запуска вредоносного кода за счёт обеспечения возможности запуска только заведомо исправного кода.
Windows — защищающая от вредоносных программ операционная система. Чтобы повысить уровень безопасности компьютеров, на которых она работает, она задолго до загрузки интерфейса воздействует на себя и другие приложения, проверяя их подлинность.
Короче говоря, она предоставляет Trusted Boot , службу защиты от вредоносных программ во время загрузки. Но авторы вредоносных программ могут использовать определённые методы и обойти эту проверку. Поэтому Microsoft добавила ещё одну функцию, которая обещает более жёсткие меры защиты от вредоносных программ во время загрузки.
Device Guard в Windows 11/10
В связи с растущими проблемами безопасности Microsoft представляет прошивку, которая будет действовать на аппаратном уровне во время и даже до загрузки, позволяя загружать только правильно подписанные приложения и сценарии. Это называется Windows Device Guard, и OEM-производители с радостью готовы установить его на свои компьютеры.
Device Guard — одна из лучших функций безопасности Microsoft в Windows 11/10. OEM-производители, такие как Acer, Fujitsu, HP, NCR, Lenovo, PAR и Toshiba, также поддержали его.
Device Guard — это комбинация аппаратных и программных функций безопасности, которые, при совместной настройке, блокируют устройство, чтобы на нем могли запускаться только доверенные приложения. Он использует новую систему безопасности на основе виртуализации, изолируя службу целостности кода от самого ядра Windows. Позволяя службе использовать сигнатуры, определенные корпоративной политикой, помогая определить, что заслуживает доверия.
Основная функция Device Guard в Windows заключается в проверке каждого, загружаемого в память для выполнения процесса, до и во время процесса загрузки. Он проверяет подлинность на основе надлежащих подписей приложений и предотвращает загрузку в память любого, не имеющего надлежащей подписи, процесса.
Device Guard от Microsoft использует технологию, встроенную на аппаратном уровне, а не на уровне программного обеспечения, которое может пропустить обнаружение вредоносного ПО. Он также использует виртуализацию для обеспечения надлежащего процесса принятия решений, который сообщает компьютеру, что разрешить и что запретить для загрузки в память. Эта изоляция предотвратит вредоносное ПО, даже если злоумышленник имеет полный контроль над системами, на которых установлено средство защиты. Они могут попытаться, но не смогут выполнить код, так как у Guard есть свои алгоритмы, которые будут блокировать вредоносное ПО от исполнения.
Это дает ему значительное преимущество перед традиционными технологиями защиты от вирусов и приложений, такими как AppLocker, Bit9 и другими, которые могут быть изменены администратором или вредоносными программами.
Device Guard как Antivirus Software
Пользователям Windows для защиты от внешних вредоносных программ, по-прежнему необходимо установить программное обеспечение. Оно будет работать для защиты от вредоносных программ, происходящих из других источников. Единственное, от чего вас защитит Windows Device Guard, — это вредоносное ПО, которое пытается загрузиться в память во время запуска, прежде чем загрузиться антивирусное программное обеспечение.
Поскольку новый Device Guard может не иметь доступа к макросам в документах и вредоносным программам на основе скриптов, Microsoft заявляет, что пользователям для защиты от вредоносных программ в дополнение к Guard, придется использовать антивирусное программное обеспечение. В Windows теперь есть встроенная защита от вредоносных программ, называемая Защитником Windows. Вы можете положиться на него или использовать стороннее антивирусное ПО.
Разрешает ли Device Guard другие операционные системы
Windows Guard, во время загрузки, позволит обрабатывать только предварительно одобренные приложения. ИТ-разработчики могут разрешить все приложения от доверенного поставщика или настроить на предмет одобрения проверку каждого приложения. Независимо от конфигурации Windows Guard разрешает запуск только утвержденных приложений. В большинстве случаев одобренные приложения будут определяться подписью разработчика приложения.
Это придает изюминку параметрам загрузки. Те операционные системы, которые не имеют проверенных цифровых подписей, не будут разрешены к загрузке Windows Guard. Однако для получения сертификата любого приложения или операционной системы не требуется много времени.
Необходимое оборудование и программное обеспечение для защиты устройства
Чтобы использовать Device Guard, вам необходимо установить и настроить следующее аппаратное и программное обеспечение:
Отключаем Device Guard в Windows 10

При использовании виртуальных машин, например VirtualBox или VMware Workstation, может появляться ошибка, где сообщается о ее несовместимости с компонентом Device/Credential Guard. Помочь проблему может отключение Device Guard, причем сделать это можно несколькими способами.
Способ 1: «Панель управления»
Сначала используйте наиболее простой и безопасный способ – через «Панель управления» и раздел с программами и компонентами:

-
Запустите «Панель управления», отыскав средство через строку системного поиска.
Способ 2: Редактирование локальной групповой политики
Device Guard также отключается через «Редактор локальной групповой политики», но способ подойдет только для Windows 10 редакций Pro и Enterprise. Если у вас «Домашняя» редакция операционки, переходите к другим пунктам.
-
Одновременно зажмите клавиши «Win + R», затем пропишите gpedit.msc и нажмите на кнопку «ОК».
Чтобы новые параметры вступили в силу, перезагрузите компьютер.
Способ 3: Внесение изменений в реестре
Другой вариант – это ручное редактирование системного реестра. Но прежде чем это делать, лучше создайте точку восстановления, чтобы была возможность откатить состояние системы, если что-то пойдет не так.
- Запустите «Редактор реестр». Для этого через диалоговое окно «Выполнить» выполните команду regedit .

- Разверните ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity и в центральной части окна дважды кликните по параметру «Enabled». В открывшемся окне в качестве значения задайте «0» и сохраните настройки.

После этого останется перезагрузить компьютер и проверить не пропала ли ошибка, связанная с Device Guard.
Способ 4: «Командная строка»
Также можете попытаться отключить устройство через «Командную строку», запущенную с расширенными правами:
-
Отыщите консоль через поисковую строку на нижней панели и выберите запуск от имени администратора.
Чтобы снова включить Device Guard, достаточно использовать команду bcdedit /set hypervisorlaunchtype auto .
Device Guard в Windows 10. Политика целостности кода
Device Guard – набор программно-аппаратных технологий защиты, доступный для устройств с Windows 10. Статья посвящена одной из компонент Device Guard – политике Code Integrity (CI). С деталями настройки и применения CI можно познакомиться здесь.
Назначение Device Guard
В современном мире киберугрозы развиваются очень быстро. Технологии защиты уже не поспевают за развитием вредоносных программ, как за их количеством, так и расширяющимся спектром атак.
Вирусы из забавы для одиночек переросли в организованную киберпреступность. Автоматизация и низкая стоимость сложных атак не оставляет шанса даже небольшим компаниям оставаться незамеченными.

Классическое решение основывается на трех основных условиях: установленные обновления, обновленный антивирус и отсутствие административных привилегий. Это уже давно сложившийся подход. Однако, совершенно легальная с точки зрения антивируса программа может выполнять нежелательные действия и не использовать при этом уязвимости ПО. Такой взгляд на безопасность ставит под подозрение любую программу. Уже нельзя полагаться на список сигнатур антивируса, а анализировать действия всех программ довольно трудно.
Новые угрозы требуют новых решений безопасности, и в Windows 10 они уже имеются. Одно из решений – запускать только одобренное программное обеспечение. Такой подход успешно опробован на мобильных платформах Windows и Apple. В них абсолютно все ПО проходит проверку и имеет цифровую подпись, на основании которой устройство разрешает его запуск. В Windows эту функцию обеспечивает механизм проверки целостности кода – Code Integrity (CI).

Уже на стадии запуска компьютера можно контролировать запуск программного обеспечения, подписанного доверенными сертификатами. Далее, имея список своего программного обеспечения, можно запретить запуск чего-то иного, и задача обеспечения безопасности решена. Список доверенных сертификатов, используемых для подписи исполняемых файлов, представляет собой файл-политику, которым и руководствуется операционная система.
Но мир ПО на Windows весьма разнообразен, и далеко не все программы имеют цифровые подписи, а многие не получат их никогда. Для этого механизм Code Integrity может использовать подписанные вашим сертификатом каталоги – списки файлов программы и их хэш-коды.
В итоге, для использования нового механизма, требуется создать политику, содержащую список доверенных сертификатов и хэш-коды не подписанных файлов и, при необходимости, дополнить её файлами-каталогами разрешенного программного обеспечения.
Самым простым использование Device Guard будет для новых, либо уже имеющихся рабочих мест с фиксированным списком ПО. Достаточно сформировать политику целостности кода и активировать функционал, после этого ничто постороннее не сможет запуститься на этих компьютерах.
Существует также возможность создания политик на основе нескольких возможных вариантов рабочих мест и слияние их в единую политику, назначаемую в последующем всем рабочим местам.
Для продвинутых пользователей, которые сами выбирают и устанавливают программы, достаточно режима аудита. Журнал запускаемых приложений пригодится в дальнейшем для определения нужных и ненужных программ.
Замечу, Device Guard с механизмами Code Integrity и Virtualization Based Security (VBS) доступен только в редакции Windows 10 Enterprise.
Настройка политики Code Integrity
Настройка Device Guard в пользовательском режиме (User Mode Code Integrity) наиболее близка к обычным задачам ограничения запуска программного обеспечения.
Для того чтобы создать политику Code Integrity на эталонном компьютере, потребуется создать теневую копию диска и запустить командлет сканирования файлов. В данном случае теневая копия позволяет получить процессу сканирования доступ ко всем, в том числе открытым на момент сканирования, файлам.
Полученный снимок диска, подмонтированный в папку C:\scpy, можно просканировать следующим командлетом:
Данная команда создаст список подписей (сертификатов), обнаруженных на эталонном компьютере, и посчитает хэш-коды исполняемых файлов, не имеющих подписи. Результатом будет XML-файл содержащий следующие параметры:
Опция, включающая работу модуля Code Integrity в режиме аудита, при котором все не попадающие под сформированную политику исполняемые файлы записываются в журнал аудита.
Пример обнаруженного сертификата. Все подписанные им исполняемые файлы будут выполняться без ограничений.
Пример обнаруженного файла без цифровой подписи. При совпадении хэш-кода, данный файл будет запущен.
Полученный XML-файл необходимо скомпилировать в бинарный формат и поместить в системную папку C:\Windows\System32\CodeIntegrity\.
После перезагрузки компьютера механизм Code Integrity начнет работу в режиме аудита. Проверив запуск и работу всех необходимых программ, можно дополнить политику данными, собранными аудитом, выполнив следующую команду.
Ключ -Audit указывает, что необходимо создать политику на основе записей в журнале аудита.
Файл AuditPolicy.xml аналогичен по структуре файлу BasePolicy.xml, сформированному ранее.
Для объединения результатов первичного сканирования и собранной в режиме аудита информации существует команда объединения политик.
Чтобы включить принудительное применение политики, в полученном файле отключаем режим аудита.
В результате удаляется запись Enabled:Audit Mode из XML-файла, и такая политика будет блокировать всё неучтенное в ней ПО.
Далее компилируем XML-файл в бинарный формат, снова выполнив команду
Распространить политику на целевые компьютеры можно как скопировав удобным способом файл SIPolicy.bin, так и воспользовавшись групповой политикой Windows 10 в разделе Computer Configuration\Administrative Templates\System\Device Guard.

Создание файла-каталога
Политика Code Integrity представляет собой монолитный список разрешенного программного обеспечения, что не всегда удобно. Для использования новых или обновленных программ, если их не удаётся заверить электронной подписью, можно создать файл-каталог.
Для примера возьмём программу 7zip, для которой создадим файл каталога, содержащий как данные об дистрибутиве, так и о всех исполняемых файлах после установки дистрибутива.
Для этого на станции без активного Device Guard запустим утилиту мониторинга PackageInspector (входит в состав Windows 10 Enterprise), указав в качестве параметров букву диска для наблюдения и запускаемый файл дистрибутива программы.
По окончании установки 7zip проверяем его запуск и работу и останавливаем мониторинг командой
Файл 7zip.cdf покажет все исполняемые файлы, подвергшиеся мониторингу.
Файл 7zip.cat содержит скомпилированную информацию для Device Guard.
Чтобы созданный файл каталога стал доверенным для Device Guard, подпишем его своей цифровой подписью.
Если у администратора уже имеется импортированный сертификат с назначением Code Sign, его можно использовать для подписи прямо из PowerShell, указав алгоритм хеширования SHA256, необходимый для Device Guard.
Сертификат должен быть выдан доверенным центром сертификации, корневой сертификат которого был импортирован на эталонный компьютер перед созданием политики.
Далее нужно поместить сгенерированный и подписанный файл каталога на нужные компьютеры, скопировав в хранилище каталогов по пути
C:\Windows\System32\CatRoot\
В отличие от политики, файлы каталогов применяются сразу и без перезагрузки. Теперь установка и работа 7zip на компьютере разрешена.
How to Disable or Enable Device Guard in Windows 10
Device Guard lets you lock down the system to run trusted applications only. Follow these steps to enable Device Guard in Windows 10.
One of the interesting features of Windows is the Device Guard. This feature is specifically designed for enterprises where security and control is the top requirement. When enabled and configured properly, it allows the admins to restrict the system to run only the trusted application. The good thing is that the admins can set rules called code integrity policies to define what constitutes trusted applications. If an application is not in the trusted list, it won’t run no matter what you do.
Since the Device Guard is a combination of both hardware and software security features and runs in a protected hypervisor container alongside the Windows kernel, it is very hard to bypass the restrictions. So, in this quick guide, let me show the steps to enable Device Guard and disable it when needed.
Requirements
- Hardware requirements: Microsoft has a great page listing all the specific hardware requirements. Do take a look at it.
- Software requirements: Should be using Windows Enterprise or Education version. If you are using other versions like Home or Pro, your system is not compatible.
Steps to Enable Device Guard (GPO)
The steps to enable the device guard feature is pretty simple and straightforward. Do keep in mind that your system should meet all the above-listed requirements.
1. The first thing we need to do is to enable Hyper-V Hypervisor. To do that, open the start menu, search for “Turn Windows Features On or Off” and click on the search result.
2. In the Windows Features panel, scroll down, expand the “Hyper-V → Hyper-V Platform” and select the “Hyper-V Hypervisor” checkbox. Click on the “Ok” button to save changes.

3. Now, Windows will make the necessary changes. Reboot Windows to apply the changes.
4. Next, open the start menu, search for “gpedit.msc” and click on the search result to open the Group Policy Editor.
5. In the Group Policy Editor, go to the following folder.
Computer Configuration → Administrative Templates → System → Device Guard
6. On the right panel, find and double click on the “Turn On Virtualization Based Security” group policy object. 
7. In the properties window, select the “Enabled” option. This action will enable three to four more options under the “Options” panel.
8. From the available dropdown menus, choose the appropriate options.
If you are ever in need of more information about what each option does, take a look at the left panel. It will tell you in detail what each option does. 
9. Once you are done configuring, click on the “Apply” and “Ok” buttons.
10. Reboot Windows.
After enabling the Device Guard, you need to configure the policies. I recommend you get started with this Microsoft guide.
Steps to Disable
If you want to disable the Device Guard feature, simply select “Disabled” or “Not Configured” in the policy properties window (see step 7).
That is it. I hope that helps. If you are stuck or need some help, comment below and I will try to help as much as possible. If you like this article, do check out how to enable ransomware protection in Windows 10 to protect your data from ransomware.
Please signup for the WindowsLoop newsletter by clicking the following link: WindowsLoop Newsletter Signup.