Security

Allt om Guard-funktionerna i Windows 10

I Windows 10 Enterprise finns flera inbyggda säkerhetsfunktioner med namn som slutar på ”Guard”. Genom att utnyttja de här säkerhetsfunktionerna i Windows 10 kan man göra underverk för organisationens IT-säkerhet.

Fem olika Guards

Den här bloggposten är en djupdykning i några av Guard-funktionerna i Windows 10 Enterprise. Vad gör de olika funktionerna, och vad behöver man tänka på innan och efter man har konfigurerat och aktiverat dem? Och varför finns inte Windows Defender Device Guard kvar?

I den här bloggposten fokuserar vi på funktionerna Windows Defender Application Guard, Windows Defender Credential Guard, Windows Defender Exploit Guard, Windows Defender System Guard och Windows Defender Device Guard.

1.      Windows Defender Application Guard

Windows Defender Application Guard förändrar sättet som webbläsarna Internet Explorer och Edge beter sig på. Med Application Guard aktiverat öppnar Explorer och Edge hemsidor i en isolerad Hyper-V-container, utanför operativsystem och hårdvara. Detta håller företagsdata säker, eftersom eventuella intrång då endast når webbläsaren, utan möjlighet att ta sig vidare till varken datorn eller nätverket. Skulle en osäker hemsida försöka göra intrång hålls angreppet isolerat i containern och försvinner när webbläsarfönstret stängs ned. Pålitliga sidor, som man inte vill öppna i en isolerad container, kan läggas till som undantag i en lista.

Vill man aktivera Windows Defender Application Guard är det viktigt att ha koll på organisationens hårdvara. Funktionen Application Guard bygger på Virtualization-Based Security (VBS), och måste därför ha UEFI-firmware i sig. UEFI-firmwaren ska också vara konfigurerad att använda Secure Boot, och ha stöd för virtualiseringsteknikerna VT-x och VT-d. Om inte UEFI är konfigurerat innan Windows 10 installeras behöver operativsystemet ominstalleras. Detta är inget vi rekommenderar, eftersom man givetvis vill ha datorn säker redan första gången den startas.

”Vet man inte hur ens hårdvara är konfigurerad kan man inte vara säker på att säkerhetsfunktionen i fråga faktiskt körs.”

– Robin Engström, IT-säkerhetsarkitekt

2.      Windows Defender Credential Guard

Windows Defender Credential Guard håller credentials som Kerberos-biljetter, inloggningsinformation till domänen och NTLM-hashar skyddade och är kanske den viktigaste nya säkerhetsfunktionen i Windows 10. Med Crendential Guard aktiverat sparas denna typ av data i en skyddad plats i minnet. Det är då omöjligt för malware att ta sig in till LSASS-processen som sparar datorns credentials.

Precis som för Application Guard ställer också Credential Guard särskilda krav på maskinens hårdvara. Eftersom Credential Guard bygger på VBS krävs UEFI-firmware med stöd för Secure Boot, VT-x och VT-d.

”Credential Guard är snabb och enkel att komma igång med, och kan höja IT-säkerheten avsevärt.”

– Robin Engström, IT-säkerhetsarkitekt

3.      Windows Defender Exploit Guard

Windows Defender Exploit Guard arbetar på olika sätt för att höja IT-säkerheten. Exploit Guard består av fyra funktioner: Exploit Protection, Attack Surface Reduction, Network Protection och Controlled Folder Access.

Exploit Protection är en funktion som utnyttjar mitigationstekniker för att höja säkerheten i organisationens applikationer. Exploit Protection används för att leta efter kända exploit-mönster i exekverbara filer. Detta är extra viktigt för äldre programvaror med sämre skydd, men som kanske fortfarande är viktiga för verksamheten. Med Exploit Guard kan man skydda dessa gamla system mot nya typer av hot.

Attack Surface Reduction består av en samling regler som man kan applicera på olika delar av applikationer. Reglerna bygger på hur de vanligaste attackerna mot användare brukar gå till, och övervakar applikationerna för att upptäcka farliga angrepp. Exempelvis finns det en regel som hindrar exekverbara filer som kommer ifrån webbmail från att köras. Reglerna kan sättas i tre olika lägen; inaktiv, granskande och blockerande. Ställer man in regler som blockerande arbetar Attack Surface Reduction med Windows Defender Antivirus för att eliminera angreppet. I granskande läge loggas varje gång en regel triggas, men utan aktiv åtgärd. Att sätta reglerna i granskande läge är ett enkelt sätt att identifiera eventuella problemområden.

”Jag rekommenderar alla att slå på Attack Surface Reduction i åtminstone granskande läge.”

– Robin Engström, IT-säkerhetsarkitekt

Network Protection bygger vidare på Microsofts SmartScreen-funktion, som länge funnits inbyggd i webbläsarna Explorer och Edge. SmartScreen är en webbtjänst som Microsoft tillhandahåller som varnar om en hemsida är känd för att innehålla osäkerheter, till exempel skadlig kod. Med Network Protection aktiverad kan man applicera samma SmartScreen-funktion även för andra applikationer som försöker nå resurser på internet.

Funktionen Controlled Folder Access är skapad för att förhindra filkrypterande malware som exempelvis Cryptolocker. Funktionen byggs på två listor som man själv konfigurerar. I den ena listan definieras vilka sökvägar i datorn som man vill lägga extra skydd på. I den andra listan definierar man vilka applikationer som ska ha rättigheter att skriva i en specifik sökväg. Det gör det möjligt att exempelvis bara låta Office-programmen att skriva information i Documents.

4.      Windows Defender System Guard

Windows Defender System Guard skyddar bootkedjan. System Guard kontrollerar att kedjan, från att hårdvaran startas till att operativsystemet är igång, inte manipulerats. Utan System Guard kan inte operativsystemet kontrollera att denna process har gått rätt till. Funktionen System Guard kräver att hårdvaran är rätt konfigurerad, bootad med UEFI-firmware, Secure Boot samt stöd för VT-x och VT-d.

5.      Windows Defender Device Guard

Windows Defender Device Guard användes tidigare av organisationer för att ha kontroll över vilka applikationer som var tillåtna att köras av användarna. Men Windows Defender Device Guard finns inte längre kvar. Från och med Windows 10 version 1709 så heter Windows Defender Device Guard istället Windows Defender Application Control. I övrigt är det samma funktion, som är en typ av application whitelisting för att ha full kontroll över vilken mjukvara som får och kan köras på en enhet. I vissa sammanhang går funktionen under namnet Code Integrity policy.

Gör Windows 10 så säkert som möjligt

Generellt när det kommer till säkerhetsfunktioner i Windows 10, både de senaste och framtida, är det viktigt att ha koll på sin hårdvara och hur den är konfigurerad. Detta gäller både vanliga enheter och virtualiserade desktops. Även om man aktiverar säkerhetsfunktioner som Application Guard och Credential Guard via exempelvis Group Policy så kan man inte veta om funktionen faktiskt körs. I värsta fall kan man applicera nya funktioner på grupp-policyn, men hälften av datorerna kan vara felkonfigurerade på bios-nivå, vilket leder till att den nya funktionen inte körs i organisationens alla enheter.

”Från och med nu måste vi kunna säkerställa och helst monitorera att vår hårdvara med UEFI är rätt konfigurerade. Om de inte är det så kan vi inte vara säkra på att alla konfigurerade säkerhetsfunktioner faktiskt är aktiverade och körs.”

– Robin Engström, IT-säkerhetsarkitekt

Man kan höja IT-säkerheten ännu mer genom att integrera Guard-funktionerna med Windows Defender ATP. Alla Guard-funktioner som vi nämnt i den här artikeln kan fungera som sensorer i Windows Defender ATP. Du kan läsa mer om Windows Defender ATP i vår tidigare bloggpost.

Vill du veta mer om hur ni kan höja säkerheten i er Windows-plattform? Vi erbjuder allt från strategisk rådgivning till praktisk konfiguration.
Kontakta oss för att få hjälp redan idag!

Coligo erbjuder en särskild workshop om just Guard-funktionerna i Windows 10 Enterprise. Läs mer om workshopen på LÄNK