Windows Defender-Anwendungssteuerung

Virtual Secure Mode und Device Guard

Ihre Organisation hat diese App mit Hilfe der Windows Defender-Anwendungssteuerung blockiert.

Das jetzt nicht mehr neue Sicherheitskonzept von Microsoft namens Device Guard läuft ab Windows 10 Enterprise und Server 2016.

Mit dieser Technik können Hardware- und Softwarefeatures so eingesetzt, das z.B. nur vertrauenswürdige Anwendungen ausgeführt werden können.

Device Guard setzt isolierten Umgebungen (Container) ein, um Anwendungen auszuführen und voneinander zu trennen. Als Basis für die Umsetzung dient der Hypervisor von Microsoft.

Virtual Secure Mode und Device Guard

Hardwarevoraussetzungen:

  • UEFI ab v2.3.1 im einheitlichen Modus
  • Windows 64-Bit
  • Second Layer Address Translation SLAT
  • Virtualisierungserweiterung z.B. Intel VT oder AMD-V
  • Trusted Platform Modul TPM

Für die Nutzung von Device Guard muss zuerst der Virtual Secure Mode aktiviert werden. Der VSM ist eine Funktion der die Virtualisierungserweiterung des Prozessors einsetzt, um so die Sicherheit zu erhöhen. Geschützt werden dabei unteranderem die Daten im Speicher und es wird sichergestellt, dass jede Instanz nur auf die eigenen Daten zugreifen kann.

Auch der Credential Guard benötigt für die Ausführung den Virtual Secure Mode, aber der ist heute nicht mein Thema.

Virtual Secure Mode und Device Guard

Hyper-V Nested VMs