Windows Defender Device Guard یک ویژگی قدرتمند است که به سازمان‌ها کمک می‌کند از دستگاه‌های خود در برابر بدافزارها، باج‌افزارها و برنامه‌های غیرقابل اعتماد با کنترل مواردی که می‌توانند و نمی‌توانند روی یک سیستم اجرا شوند، محافظت کنند. Device Guard که در ویندوز 10 معرفی شده و در ویندوز 11 موجود است، از مبتنی بر مجازی سازی برای ایجاد یک محیط ایزوله استفاده می کند که در آن خط مشی های یکپارچگی کد اعمال می شود. این تضمین می کند که فقط برنامه های قابل اعتماد می توانند اجرا شوند و وضعیت کلی دستگاه شما را بهبود می بخشد.

در این راهنما توضیح خواهیم داد که Device Guard چیست، چگونه آن را فعال کنیم و چگونه آن را برای به حداکثر رساندن حفاظت پیکربندی کنیم.

Windows Defender Device Guard چیست؟

Device Guard مجموعه ای از ویژگی، از جمله مبتنی بر مجازی سازی (VBS) و یکپارچگی کد (CI) است که اجرای کدهای غیرقابل اعتماد را در سیستم ویندوز محدود می کند. این یک لایه دفاعی اضافی با قفل کردن سیستم فراهم می کند و فقط به برنامه هایی اجازه می دهد که مورد اعتماد سازمان شما هستند یا الزامات اعتماد خاصی را برآورده می کنند.

دو جزء اصلی Device Guard عبارتند از:

یکپارچگی کد (CI): تضمین می کند که فقط نرم افزارها و درایورهای قابل اعتماد می توانند با اجرای امضای دیجیتال و بررسی یکپارچگی اجرا شوند.

مبتنی بر مجازی سازی (VBS): عملیات حساس (مانند اجرای CI) را در یک محیط مجازی ایزوله می کند و دستکاری فرآیندهای اصلی ویندوز را برای بدافزار دشوار می کند.

پیش نیازهای استفاده از گارد دستگاه

قبل از فعال کردن Device Guard، باید مطمئن شوید که سیستم شما پیش نیازهای زیر را برآورده می کند:

۱. الزامات سخت افزاری:

سیستم 64 بیتی Windows 10 Pro، Enterprise یا Windows 11.

CPU که از ترجمه آدرس سطح دوم (SLAT) مانند Intel VT-x یا AMD-V پشتیبانی می کند.

TPM (Trusted Platform Module) نسخه 2.0 برای مزایای بیشتر.

Secure Boot در سیستم عامل UEFI فعال شده است.

سیستم عامل: Windows 10 Pro، Enterprise یا Windows 11 با پشتیبانی از Hyper-V و Virtualization-Based Security.

تنظیمات BIOS/UEFI:

فناوری مجازی سازی را در BIOS فعال کنید (به عنوان مثال، Intel VT-x یا AMD-V).

Secure Boot و TPM را در بایوس فعال کنید.

چگونه گارد دستگاه را فعال کنیم

1. Hyper-V و Virtualization-Based Security را فعال کنید

برای فعال کردن Device Guard، ابتدا باید Hyper-V و Virtualization-Based Security (VBS) را فعال کنید. در اینجا به این صورت است:

باز کردن ویژگی های ویندوز:

Windows + R را فشار دهید، optionalfeatures.exe را تایپ کنید و Enter را فشار دهید.

در پنجره Windows Features، Hyper-V، Virtual Machine Platform و Windows Hypervisor Platform را علامت بزنید.

روی OK کلیک کنید و هنگامی که از شما خواسته شد سیستم خود را مجددا راه اندازی کنید.

مبتنی بر مجازی سازی را فعال کنید:

ویرایشگر سیاست گروه محلی را با تایپ gpedit.msc در منوی استارت باز کنید.

به Computer Configuration > Administrative Templates > System > Device Guard بروید.

روی Turn On Virtualization Based Security دوبار کلیک کنید.

آن را روی Enabled تنظیم کنید و گزینه های VBS را پیکربندی کنید:

Secure Boot: برای امنیت بیشتر گزینه Enabled یا Enabled with DMA Protection را انتخاب کنید.

Virtualization-based Protection of Code Integrity :Enabled را انتخاب کنید.

برای اعمال تغییرات، سیستم را ریبوت کنید.

2. سیاست های یکپارچگی کد را پیکربندی کنید

خط‌مشی‌های یکپارچگی کد مشخص می‌کنند که کدام برنامه‌ها قابل اعتماد هستند و مجاز به اجرا در سیستم هستند. این خط‌مشی‌ها برای عملکرد مؤثر Device Guard ضروری هستند.

یک خط مشی یکپارچگی کد ایجاد کنید:

از ابزار Windows Defender Application Control (WDAC) که در PowerShell موجود است استفاده کنید. برای ایجاد یک سیاست جدید، دستور PowerShell زیر را به عنوان Administrator اجرا کنید:

powershell
New-CIPolicy -Level Pca Certificate -FilePath “C:\Policies\DeviceGuardPolicy.xml”

این فرمان خط‌مشی ایجاد می‌کند که به برنامه‌های امضا شده توسط یک مرجع گواهی معتبر (CA) اعتماد می‌کند.

تبدیل خط مشی به باینری:

پس از ایجاد فایل XML، آن را با استفاده از:

پاورشل
ConvertFrom-CIPolicy -XmlFilePath “C:\Policies\DeviceGuardPolicy.xml” -BinaryFilePath “C:\Policies\DeviceGuardPolicy.bin”

اجرا کنید:

فایل DeviceGuardPolicy.bin را در پوشه C:\Windows\System32\CodeIntegrity کپی کنید.

سیاست را با افزودن کلید رجیستری زیر فعال کنید:

پاورشل
New-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Control\CI\Policy” -Name “PolicyStatus” -Value 1

سیستم خود را برای اجرای سیاست یکپارچگی کد جدید راه اندازی مجدد کنید.

تست و مدیریت سیاست‌های گارد دستگاه

هنگامی که Device Guard پیکربندی شد، باید این خط مشی را در حالت حسابرسی آزمایش کنید تا مطمئن شوید که نرم افزار قانونی را مسدود نمی کند. در حالت ممیزی، خط مشی رویدادها را بدون اجرای فعال محدودیت ها ثبت می کند.

حالت حسابرسی را فعال کنید:

خط مشی یکپارچگی کد خود را برای فعال کردن حالت حسابرسی با افزودن خط زیر در فایل XML تغییر دهید:

xml
درست

گزارش رویداد را بررسی کنید:

Event Viewer (eventvwr.msc) را باز کنید و به Applications and Services Logs > Microsoft > Windows > CodeIntegrity > Operational بروید.

گزارش مربوط به برنامه های مسدود شده را که ممکن است لازم باشد به لیست مورد اعتماد خود اضافه کنید، مرور کنید.

مدیریت گارد دستگاه با PowerShell

Device Guard را می توان با استفاده از PowerShell مدیریت و تنظیم کرد. در زیر چند دستور مفید آورده شده است:

Get Device Guard Info: این دستور وضعیت فعلی Device Guard و اجزای آن را نشان می دهد:

پاورشل
Get-DeviceGuardInfo

پاک کردن خط مشی: برای بازنشانی یا پاک کردن خط مشی فعلی Device Guard:

پاورشل
Clear-CIPolicy

به‌روزرسانی منظم خط‌مشی‌ها: اطمینان حاصل کنید که خط‌مشی‌های یکپارچگی کد شما به‌طور مرتب به‌روزرسانی می‌شوند تا در صورت نیاز به برنامه‌های جدید یا به‌روز شده اعتماد کنید.

سیاست‌های پشتیبان‌گیری: همیشه از خط‌مشی‌های یکپارچگی کد خود نسخه پشتیبان تهیه کنید، در صورت بروز مشکلاتی در مورد اجرا.

استقرار تدریجی: گارد دستگاه را به تدریج، به ویژه در سازمان های بزرگ، گسترش دهید تا اختلالات به حداقل برسد.

نتیجه گیری

Windows Defender Device Guard با اجازه اجرای تنها برنامه‌ها و کدهای قابل اعتماد، محافظت قوی در برابر تهدیدات پیچیده ارائه می‌کند. Device Guard با استفاده از امنیت مبتنی بر مجازی سازی و اجرای سیاست های یکپارچگی کد، یک محیط بسیار امن برای سیستم شما ایجاد می کند. اگرچه به پیکربندی و مدیریت دقیق نیاز دارد، اما می‌تواند وضعیت امنیتی کلی را در محیط‌های شخصی و سازمانی به طور قابل توجهی بهبود بخشد.

با دنبال کردن مراحل ذکر شده در این راهنما، می توانید Device Guard را فعال و پیکربندی کنید تا به طور موثر از دستگاه های Windows 10 یا Windows 11 خود محافظت کند.