Microsoft kunngjorde denne uken en viktig funksjon i Windows 10 som skal gjøre systemet langt sikrere mot skadelig programvare. Det heter Device Guard, og ble annonsert på den sikkerhetsfokuserte RSA-konferansen denne uken.
Selskapet hadde snakket om Device Guard tidligere, men uten at funksjonaliteten hadde et navn. Nå er flere detaljer imidlertid blitt offentliggjort.
Microsoft påpeker at mange brukere har tendenser til å stole på programmer de bruker inntil antivirus-applikasjonene sier i fra om det motsatte. Dette er en utdatert tankemåte, og maskinvarebasert beskyttelse er fremtiden, mener selskapet.
Det er der Device Guard kommer inn i bildet, da det skal åpne for maskinvarebasert autentisering av applikasjoner.
Hvitelisting
Organisasjoner og bedrifter som benytter seg av Device Guard vil kunne blokkere alt annet enn betrodde applikasjoner. Disse applikasjoner vil måtte signeres og hvitelistes av utviklere, av Microsoft eller av organisasjonen selv. Dermed kan bedriften hviteliste applikasjoner som ikke er hvitelistet av andre aktører, for eksempel. Microsoft lover at de ikke skal tvinge signerigen på noen, og hvis en bedrift ønsker å hviteliste potensielt farlige applikasjoner, kan de gjøre det.
Separat prosess
Device Guard fungerer slik at at Windows avgjør hvorvidt en applikasjon kan stoles på når det startes opp, og denne prosessen bruker maskinvareteknologier og virtualisering for å isolere seg fra resten av operativsystemet. Dermed er Device Guard helt separert fra andre prosesser, noe som for eksempel kan gi beskyttelse fra skadevare som kan ha fått omfattende tilgang til hele systemet.
Device Guard vil ikke kunne dekke alt, og skal helst fungere sammen med tradisjonell antivirus, som kan avsløre trusler i for eksempel Java eller dokument-makroer.
Les også: Hvor sikker er biometrisk sikkerhet?
Forutsetningen er selvsagt at maskinvaren støtter såkalt IOMMU, som åpner for virtualisering. Det støttes av mange produsenter av prosessorer og hovedkort. Det vil være to måter å sertifisere for Device Guard på, enten ved at maskinvaren kun støtte IOMMU, eller ved at den er helt klargjort med full støtte i maskinvaren og programvaren. Produsenter som HP, Lenovo, Toshiba, Acer og flere har allerede lovet maskiner som støtter teknologien.
Device Guard kommer i tillegg til de allerede kjente funksjonene Windows Hello (for biometrisk autentisering) og Microsoft Passport, som forhåpentligvis skal bidra til å gjøre bedriftene sikrere.