نحوه استفاده از Windows Defender Device Guard: راهنمای جامع
Windows Defender Device Guard یک ویژگی امنیتی قدرتمند است که به سازمانها کمک میکند از دستگاههای خود در برابر بدافزارها، باجافزارها و برنامههای غیرقابل اعتماد با کنترل مواردی که میتوانند و نمیتوانند روی یک سیستم اجرا شوند، محافظت کنند. Device Guard که در ویندوز 10 معرفی شده و در ویندوز 11 موجود است، از امنیت مبتنی بر مجازی سازی (VBS) برای ایجاد یک محیط ایزوله استفاده می کند که در آن خط مشی های یکپارچگی کد اعمال می شود. این تضمین می کند که فقط برنامه های قابل اعتماد می توانند اجرا شوند و وضعیت امنیتی کلی دستگاه شما را بهبود می بخشد.
در این راهنما توضیح خواهیم داد که Device Guard چیست، چگونه آن را فعال کنیم و چگونه آن را برای به حداکثر رساندن حفاظت پیکربندی کنیم.
Windows Defender Device Guard چیست؟
Device Guard مجموعه ای از ویژگی های امنیتی، از جمله امنیت مبتنی بر مجازی سازی (VBS) و یکپارچگی کد (CI) است که اجرای کدهای غیرقابل اعتماد را در سیستم ویندوز محدود می کند. این یک لایه دفاعی اضافی با قفل کردن سیستم فراهم می کند و فقط به برنامه هایی اجازه می دهد که مورد اعتماد سازمان شما هستند یا الزامات اعتماد خاصی را برآورده می کنند.
دو جزء اصلی Device Guard عبارتند از:
- یکپارچگی کد (CI): تضمین می کند که فقط نرم افزارها و درایورهای قابل اعتماد می توانند با اجرای امضای دیجیتال و بررسی یکپارچگی اجرا شوند.
- امنیت مبتنی بر مجازی سازی (VBS): عملیات حساس (مانند اجرای CI) را در یک محیط مجازی ایزوله می کند و دستکاری فرآیندهای اصلی ویندوز را برای بدافزار دشوار می کند.
این ویژگی ها یک دفاع قوی در برابر حملاتی مانند بدافزارها، روت کیت ها و اکسپلویت های هسته ارائه می کنند.
پیش نیازهای استفاده از گارد دستگاه
قبل از فعال کردن Device Guard، باید مطمئن شوید که سیستم شما پیش نیازهای زیر را برآورده می کند:
- الزامات سخت افزاری:
- سیستم 64 بیتی Windows 10 Pro، Enterprise یا Windows 11.
- CPU که از ترجمه آدرس سطح دوم (SLAT) مانند Intel VT-x یا AMD-V پشتیبانی می کند.
- TPM (Trusted Platform Module) نسخه 2.0 برای مزایای امنیتی بیشتر.
- Secure Boot در سیستم عامل UEFI فعال شده است.
- سیستم عامل: Windows 10 Pro، Enterprise یا Windows 11 با پشتیبانی از Hyper-V و Virtualization-Based Security.
- تنظیمات BIOS/UEFI:
- فناوری مجازی سازی را در BIOS فعال کنید (به عنوان مثال، Intel VT-x یا AMD-V).
- Secure Boot و TPM را در بایوس فعال کنید.
چگونه گارد دستگاه را فعال کنیم
1. Hyper-V و Virtualization-Based Security را فعال کنید
برای فعال کردن Device Guard، ابتدا باید Hyper-V و Virtualization-Based Security (VBS) را فعال کنید. در اینجا به این صورت است:
- باز کردن ویژگی های ویندوز:
- Windows + R را فشار دهید، optionalfeatures.exe را تایپ کنید و Enter را فشار دهید.
- در پنجره Windows Features، Hyper-V، Virtual Machine Platform و Windows Hypervisor Platform را علامت بزنید.
- روی OK کلیک کنید و هنگامی که از شما خواسته شد سیستم خود را مجددا راه اندازی کنید.
- امنیت مبتنی بر مجازی سازی را فعال کنید:
- ویرایشگر سیاست گروه محلی را با تایپ gpedit.msc در منوی استارت باز کنید.
- به Computer Configuration > Administrative Templates > System > Device Guard بروید.
- روی Turn On Virtualization Based Security دوبار کلیک کنید.
- آن را روی Enabled تنظیم کنید و گزینه های VBS را پیکربندی کنید:
- Secure Boot: برای امنیت بیشتر گزینه Enabled یا Enabled with DMA Protection را انتخاب کنید.
- Virtualization-based Protection of Code Integrity: Enabled را انتخاب کنید.
- برای اعمال تغییرات، سیستم را ریبوت کنید.
2. سیاست های یکپارچگی کد را پیکربندی کنید
خطمشیهای یکپارچگی کد مشخص میکنند که کدام برنامهها قابل اعتماد هستند و مجاز به اجرا در سیستم هستند. این خطمشیها برای عملکرد مؤثر Device Guard ضروری هستند.
- یک خط مشی یکپارچگی کد ایجاد کنید:
- از ابزار Windows Defender Application Control (WDAC) که در PowerShell موجود است استفاده کنید. برای ایجاد یک سیاست جدید، دستور PowerShell زیر را به عنوان Administrator اجرا کنید:
powershell
New-CIPolicy -Level Pca Certificate -FilePath “C:\Policies\DeviceGuardPolicy.xml”
این فرمان خطمشی ایجاد میکند که به برنامههای امضا شده توسط یک مرجع گواهی معتبر (CA) اعتماد میکند.
- تبدیل خط مشی به باینری:
- پس از ایجاد فایل XML، آن را با استفاده از:
پاورشل
ConvertFrom-CIPolicy -XmlFilePath “C:\Policies\DeviceGuardPolicy.xml” -BinaryFilePath “C:\Policies\DeviceGuardPolicy.bin”
- سیاست را اجرا کنید:
- فایل DeviceGuardPolicy.bin را در پوشه C:\Windows\System32\CodeIntegrity کپی کنید.
- سیاست را با افزودن کلید رجیستری زیر فعال کنید:
پاورشل
New-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Control\CI\Policy” -Name “PolicyStatus” -Value 1
- سیستم خود را برای اجرای سیاست یکپارچگی کد جدید راه اندازی مجدد کنید.
تست و مدیریت سیاستهای گارد دستگاه
هنگامی که Device Guard پیکربندی شد، باید این خط مشی را در حالت حسابرسی آزمایش کنید تا مطمئن شوید که نرم افزار قانونی را مسدود نمی کند. در حالت ممیزی، خط مشی رویدادها را بدون اجرای فعال محدودیت ها ثبت می کند.
- حالت حسابرسی را فعال کنید:
- خط مشی یکپارچگی کد خود را برای فعال کردن حالت حسابرسی با افزودن خط زیر در فایل XML تغییر دهید:
xml
درست
- گزارش رویداد را بررسی کنید:
- Event Viewer (eventvwr.msc) را باز کنید و به Applications and Services Logs > Microsoft > Windows > CodeIntegrity > Operational بروید.
- گزارش مربوط به برنامه های مسدود شده را که ممکن است لازم باشد به لیست مورد اعتماد خود اضافه کنید، مرور کنید.
مدیریت گارد دستگاه با PowerShell
Device Guard را می توان با استفاده از PowerShell مدیریت و تنظیم کرد. در زیر چند دستور مفید آورده شده است:
- Get Device Guard Info: این دستور وضعیت فعلی Device Guard و اجزای آن را نشان می دهد:
پاورشل
Get-DeviceGuardInfo
- پاک کردن خط مشی: برای بازنشانی یا پاک کردن خط مشی فعلی Device Guard:
پاورشل
Clear-CIPolicy
بهترین شیوه ها برای گارد دستگاه
- با حالت حسابرسی شروع کنید: همیشه با حالت ممیزی شروع کنید تا بر نحوه تعامل Device Guard با برنامه های شما بدون به خطر انداختن ثبات سیستم نظارت کنید.
- بهروزرسانی منظم خطمشیها: اطمینان حاصل کنید که خطمشیهای یکپارچگی کد شما بهطور مرتب بهروزرسانی میشوند تا در صورت نیاز به برنامههای جدید یا بهروز شده اعتماد کنید.
- سیاستهای پشتیبانگیری: همیشه از خطمشیهای یکپارچگی کد خود نسخه پشتیبان تهیه کنید، در صورت بروز مشکلاتی در مورد اجرا.
- استقرار تدریجی: گارد دستگاه را به تدریج، به ویژه در سازمان های بزرگ، گسترش دهید تا اختلالات به حداقل برسد.
نتیجه گیری
Windows Defender Device Guard با اجازه اجرای تنها برنامهها و کدهای قابل اعتماد، محافظت قوی در برابر تهدیدات پیچیده ارائه میکند. Device Guard با استفاده از امنیت مبتنی بر مجازی سازی و اجرای سیاست های یکپارچگی کد، یک محیط بسیار امن برای سیستم شما ایجاد می کند. اگرچه به پیکربندی و مدیریت دقیق نیاز دارد، اما میتواند وضعیت امنیتی کلی را در محیطهای شخصی و سازمانی به طور قابل توجهی بهبود بخشد.
با دنبال کردن مراحل ذکر شده در این راهنما، می توانید Device Guard را فعال و پیکربندی کنید تا به طور موثر از دستگاه های Windows 10 یا Windows 11 خود محافظت کند.