Apa itu Windows Defender Device Guard?
Windows Defender Device Guard adalah fitur keamanan untuk Windows 10 dan Windows Server yang dirancang untuk menggunakan daftar putih aplikasi (whitelisting) dan kebijakan integritas kode (code integrity policies) guna melindungi perangkat pengguna dari kode berbahaya yang dapat membahayakan sistem operasi.
Dengan kebijakan integritas kode, yang dibuat oleh tim IT untuk menentukan perangkat lunak apa yang dapat berjalan di Windows 10, IT dapat mencegah aplikasi yang tidak dikenal atau tidak dipercaya, serta plug-in, add-on, atau modul aplikasi tertentu, mengakses perangkat pengguna.
Device Guard bekerja berdampingan dengan AppLocker dan Windows Defender Credential Guard dari Microsoft untuk menyediakan sistem keamanan preventif. IT juga dapat menggunakan Device Guard bersama Virtual Secure Mode (VSM), sebuah kernel yang dilindungi hypervisor Windows, guna menyediakan keamanan berbasis virtualisasi, yang membantu menjaga agar driver dan file berbahaya tidak masuk ke sistem.
Menurut situs web Microsoft, “Device Guard tidak lagi digunakan kecuali untuk menemukan pengaturan integritas memori dan VBS di Group Policy atau Windows registry.”
Bagaimana Windows Defender Device Guard bekerja?
Windows Defender Device Guard menggunakan kebijakan integritas kode, yang sejak Windows 10 versi 1709 dikenal sebagai Windows Defender Application Control, untuk mengizinkan aplikasi dan ekstensi tertentu berjalan pada sistem operasi. Dengan ini, IT dapat memblokir perangkat lunak yang tidak diinginkan sebelum masuk ke dalam sistem. IT juga dapat membuat daftar pengguna tepercaya dengan tanda tangan tepercaya yang menjadi satu-satunya pihak yang dapat mengubah kebijakan integritas kode. Device Guard menjalankan kebijakan integritas kode melalui kernel dalam sebuah kontainer.
Device Guard menyediakan keamanan untuk baik perangkat fisik maupun virtual. Kebijakan integritas kode Device Guard bekerja dengan ekstensi virtualisasi CPU, translasi alamat tingkat kedua (Second Level Address Translations), dan unit manajemen memori input/output (IOMMU).
Fitur utama Windows Defender Device Guard
Sebuah alat tambahan dalam Windows Defender Application Control yang disebut Package Inspector membuat katalog file biner untuk semua aplikasi yang dipercaya. Bahkan jika malware berhasil menyusup ke kernel VSM, Device Guard mencegahnya mengeksekusi kode melalui pemeriksaan integritas kode pada sistem yang aman. Jika terjadi serangan Direct Memory Access (DMA), IOMMU akan menolak akses ke permintaan memori yang tidak biasa. Windows Defender Device Guard juga memiliki Universal Extensible Firmware Interface (UEFI) yang melakukan booting aman untuk melindungi dari bootkit dan serangan brute-force.
Alat untuk mengelola Windows Defender Device Guard
Para profesional IT dapat menggunakan metode pengelolaan yang serupa dengan program Windows lainnya. IT dapat mengatur dan mengelola file katalog serta kebijakan integritas kode menggunakan Group Policy Objects di template administratif. IT juga dapat menerapkan dan mengelola kebijakan integritas kode, file katalog, dan fitur keamanan perangkat keras melalui System Center Configuration Manager. Windows PowerShell sangat berguna bagi profesional IT yang ingin fokus pada pembuatan dan penyebaran kebijakan integritas kode. Microsoft Intune kemungkinan akan mendukung penerapan dan pengelolaan file katalog serta kebijakan integritas kode di masa mendatang, menurut Microsoft.