Índice

Device Guard

Device Guard representa un conjunto de funcionalidades vinculadas a la seguridad de hardware y software que, al ser definidas de forma simultánea, obligan al usuario a utilizar solo las aplicaciones preaprobadas por el administrador.

La funcionalidad utiliza una seguridad basada en la virtualización de Windows 10 Enterprise para aislar el servicio de integridad del código del núcleo. El equipo del empleado solo puede utilizarse para ejecutar código firmado aprobado por la empresa.

Device Guard requiere de microcódigo UEFI 2.3.1 o posterior, que soporte el arranque seguro, para impedir la carga en memoria de aplicaciones malintencionadas durante el proceso de arranque del sistema operativo. Además, se requiere un contenedor protegido por Hyper-V que aísle los procesos críticos de Windows 10.

Este debe ser activado desde el Panel de control y Programas y características seleccionando Hipervisor Hyper-V y Modo de usuario aislado.

images/06-33.png

La aprobación por Device Guard de sus aplicaciones se crea cuando estas se firman empleando una firma emitida por la Tienda de Windows, de su PKI o de una autoridad de certificación de confianza.

La gestión de equipos protegidos por Device Guard se garantiza empleando directivas de grupo, Windows PowerShell, Intune o por último Microsoft System Center Configuration Manager.

La directiva de grupo local (gpedit.msc) emplea el nodo Activar la seguridad basada en la virtualización para activar el soporte del modo Secure-Boot desde ...