Принцип работы S Mode в Windows 10 и настройка Device Guard своими руками – Вадим Стеркин

Что такое s mode и в чем разница с изданием s

Microsoft относительно недавно начала экспериментировать с этим вариантом поставки Windows 10, поэтому история вопроса короткая.

Device guard

Microsoft не публикует техническую документацию по реализации ограничений в издании S, из-за чего создается некий налет таинственности. Но читатели моего канала в Telegram, наверняка, вспомнили пост про защиту целостности кода с помощью гипервизора (HVCI), где тоже фигурировал файл SIPolicy.p7b.

В Windows 10 реализована мощная защитная технология – Windows Defender Device Guard. Это набор политик, контролирующих целостность исполняемого кода. Они загружаются при запуске системы и применяются ко всему устройству.

Device Guard стоит на трех китах:

S mode

Первоначально Microsoft планировала сделать бесплатным обновление издания S до обычного Home, но брать $49 за переход на Pro. Этой весной компания сменила стратегию. Начиная с версии 1803 вместо отдельного издания будет просто режим S, который можно бесплатно отключить на всех изданиях и получить обычную Windows 10, будь то Pro или Home.

Видимо, со временем S Mode станет основным в новых компьютерах с Windows. И платное отключение ограничений лишь вызвало бы гнев владельцев новых ПК, не подозревавших о подвохе. Я считаю новый подход более разумным.

S mode в действии

Я отдаю себе отчет, что подавляющее большинство читателей этого блога такая Windows не устроит. Но ведь интересно же попробовать 🙂 Загнать себя в S Mode вы можете за минуту на любом издании.

  1. Загрузите ZIP-архив и распакуйте файл SIPolicy.p7b в любое место
  2. Скопируйте файл в папку C:WindowsSystem32CodeIntegrity
  3. Перезагрузите систему и запустите любое стороннее приложение

Вот так блокируется запуск браузера Chrome (скриншот сделан в издании Pro, но в Home работает точно так же).

Когда надоест жить по новым правилам, просто удалите файл из системной папки и перезагрузитесь.

В готовых устройствах S Mode может форсироваться несколько иначе, например, путем размещения файла политик winsipolicy.p7b на разделе EFI в папке EFIMicrosoftBoot, либо в папке WindowsBootEFI. Но это мелочи реализации.

Понятно, что в S Mode сторонних классических приложений нет изначально, и установить их не получится. Однако в моем примере консоли не блокируются, и дальше я покажу, как это делается в S Mode.

Windows 10 s для школ

Режим S доступен для версии Win 10 Education, специально предназначенной для образовательных учреждений. Организации могут купить новейшие лицензионные ОС с активированной функцией S-mode, обеспечивающей максимальную безопасность за счет использования исключительно браузера Edge и поискового сервиса Bing.

Пользователи не смогут загрузить на ПК приложение со стороннего сайта (кроме предложений от Microsoft Store). Зато сокращенный вариант ОС Education и привычный интерфейс Windows останутся. Возможно использование всех продуктов Office, а также присоединение к домену Azure AD, но присоединиться к домену в локальной среде в режиме S-mode не удастся.

А как насчёт windows 10 на arm?

Microsoft теперь поставляет ПК с Windows 10, которые используют процессоры ARM. Эти компьютеры имеют уровень эмуляции, который позволяет им запускать традиционное 32-разрядное программное обеспечение Windows.

Хотя эти компьютеры ARM могут поставляться в режиме S, вы также можете бесплатно выйти из режима S на этих компьютерах. Это позволит вам устанавливать 32-битные настольные приложения отовсюду, хотя многие требовательные приложения и игры не работают на уровне эмуляции.

Многие ПК с S Mode, например Surface Laptop от Microsoft, оснащены процессорами Intel. ПК с любым типом оборудования можно настроить в S-режиме, а Windows 10 на компьютерах ARM необязательно использовать S-режим.

Связанная статья: Что такое Windows 10X и чем она отличается?

Связанные статьи:

Безопасность, размер и скорость в этом режиме

Новейшая ОС Win 10 с S-mode может быть установлена на компьютерах с такими процессорами: Intel, AMD или Qualcomm Snapdragon. Возможности устройства, размер ОЗУ, скорость работы и связи зависят от составляющих элементов конкретного ПК и интернет-провайдера.

S-mode позволяет осуществить серфинг по интернету благодаря использованию быстрого и стабильно работающего браузера Microsoft Edge и безопасного поискового сервиса Bing. К тому же пользователь сможет скачивать не содержащие вирусы приложения исключительно из виртуального магазина под названием Microsoft Store.

Однако активация S-режима не исключает применения встроенной противовирусной утилиты «Центр безопасности защитника Windows», отвечающей за безопасную работу ПК. Принтеры и другие периферийные устройства подключать к компьютеру с активированной S-функцией разрешается. Однако их функциональность может быть ограничена (в случае несовместимости).

Блокировка отдельных приложений

Надо понимать, что в состав Windows входит немало приложений, с помощью которых можно выполнить произвольный код, даже если они для этого не предназначены. Формально Microsoft может не считать это уязвимостью, если нет повышения привилегий, но факт остается фактом.

Осмотрительные администраторы блокируют такие приложения с помощью SRP или AppLocker, но можно использовать и Device Guard.

Вам понадобится корпоративное издание

Device Guard – большая и сложная тема, поэтому я разберу основы создания и настройки политик приложений, а также подкину вам достаточно документации по этому вопросу.

:/>  Как настроить Экран блокировки в Windows 10?

Для конфигурации и создания политик требуется издание Enterprise или Education, и вы можете воспользоваться бесплатной виртуальной машиной (на ней же и тестировать).

Дискуссия и опрос

Device Guard и S Mode в частности не являются непробиваемой защитой. Исследователи время от времени публикуют способы обхода Device Guard, и наверное, невозможно полностью защитить Windows, не превращая ее в бесполезную для работы ОС. Но контроль запуска приложений значительно снижает поверхность атаки, эффективно защищая от массовых угроз.

Заставляет ли microsoft выйти из режима s?

Выход из режима S является бесплатным. До Windows 10 в режиме S существовала Windows 10 S. Microsoft планировала взимать $50, чтобы переключиться с Windows 10 S на стандартную настольную версию Windows 10.

Однако Microsoft смягчила эти планы, и Windows 10 S осталась в прошлом. В Windows 10 выход из режима S бесплатный.

Издание windows 10 s

Изначально Microsoft сделала отдельное издание Windows 10 S, и в мае 2021 года компания выпустила свой Surface Laptop с этим изданием на борту. Доподлинно неизвестно, что скрывается за буквой “S”, но можно предположить Security.

В этом издании можно запускать только приложения из Магазина, а также классические программы, входящие в состав Windows, но не все. В черный список попали исполняемые файлы, с помощью которых можно запустить вредоносный код или нарушить нормальную работу системы: cmd, powershell, mshta, wmic, cscript, wscript, regedit и т.д.

При попытке запустить заблокированное приложение появляется такое окно:

В издании S ссылка «Узнать…» ведет в магазин, где можно обновиться до обычного издания.

Как выйти из s-режима

Чтобы выйти из S-режима, откройте приложение Store («Магазин») на своём компьютере и выполните поиск по запросу «Выйти из S-режима». Магазин поможет вам вывести компьютер из S-режима.

Как выйти из режима s

Легко выйти из режима S. Для этого сначала запустите приложение «Microsoft Store». По умолчанию Вы найдете его в Вашем меню «Пуск» и панели задач, а также в полном списке установленных приложений в меню «Пуск».

В магазине нажмите кнопку «Поиск» на панели инструментов (кнопка с увеличительным стеклом). Найдите «Выход из режима S».

Здесь Вы увидите баннер «Switch Out of S Mode». Нажмите «Подробнее», и Store проведет Вас через процесс выхода из режима S. Процесс займет всего несколько кликов.

Если Вам нужна дополнительная информация, обратитесь к FAQ Microsoft Windows 10 в режиме S.

Как обстоят дела с играми

Скоростной режим работы компьютера с активированным S-mode не позволяет скачивать игры. Даже если эти игровые программы предлагаются самим Microsoft Store. Дело в том, что продукты, находящиеся на виртуальных полках этого магазина, нередко требуют загрузки исправлений и обновлений с сайта разработчика, то есть со стороннего ресурса.

Компания Microsoft специально исключила возможность устанавливать на ПК игровые программы в S-режиме. Такая версия Win 10 изначально предназначена для офисной работы и использования в учебных учреждениях. Активация S-mode гарантирует, что компьютер будет использоваться только для выполнения поставленных задач, а играть в различные компьютерные игры на нем не удастся.

Как проверить, используете ли вы s-режим

Вы можете проверить, используете ли вы S-режим, выбрав «Настройки» → «Система» → «О программе». На странице «О программе» прокрутите вниз до раздела «Технические характеристики Windows».

Если вы видите слова «в S-режиме» справа от пункта «Издание», вы используете ПК в S-режиме. Если вы этого не видите, вы не используете S-режим.

Как установить приложения в windows 10 s?

Теперь, когда вы знаете, что у вас ограниченная Windows 10, пора перейти к приложению Microsoft Store для установки нового программного обеспечения.

  1. Откройте приложение Microsoft Store, набрав Store в строке системного поиска в нижнем левом углу экрана или нажав значок магазина на панели задач.

    Запуск магазина приложений в системе Windows 10

  2. Найдите приложения, используя опцию «Поиск» в правом верхнем углу окна приложения.
  3. Выбрав приложение, щелкните изображение приложения, и вы перейдёте на страницу приложения.
  4. Если приложение бесплатное, вы увидите кнопку Получить. Нажмите на эту кнопку, и приложение начнёт загрузку, а затем установится автоматически.
  5. Если приложение платное, вы получите синюю кнопку Купить со стоимостью приложения. Нажмите на неё, если хотите приобрести приложение, и после завершения процедуры оплаты оно загрузится и установится на ваш компьютер.
  6. Вы можете искать приложения по категориям и искать свои покупки в разделе покупок.

Кому нужна такая windows

Осенью 2021 года Microsoft анонсировала устройства вендоров, а заодно изобрела новый ужасный термин для целевой аудитории – Firstline Workers. По версии компании, это два миллиарда неких людей, которые являются первой точкой контакта между их работодателем и клиентами.

Журналист Brad Sams опубликовал полученную от Microsoft статистику переходов с издания S до обычного на устройствах вендоров (апгрейд был бесплатным).

  • 60% остались на S
  • Из перешедших на обычное издание, 60% сделали это в первые сутки
  • Из не перешедших на обычное издание в первые семь дней, 83% остались на S

Трудно поверить, что 6 из 10 человек устроил столь ограниченный режим, но это были устройства из нижнего ценового сегмента (в статистику не попали владельцы Surface Laptop). Поэтому сведения основаны на не самых опытных пользователях или наоборот, слишком опытных 😉

:/>  Сколько места Windows 10 занимает на твердотельном накопителе?

Можем ли мы вернуться к windows в режиме s?

Привычный интерфейс Виндовс при активации S-функции сохраняется. Правда, пользователю предоставляется ограниченный набор приложений и возможность использовать только браузер под названием Microsoft Edge. К тому же для серфинга по всемирной паутине придется пользоваться исключительно поисковиком Bing.

Объединение и применение политик

Теперь надо объединить политику с правилами для файлов с общей политикой контроля кода. Тем самым будут блокироваться не только сторонние приложения, но и файлы из списка.

Я буду форсировать политику, и чтобы не набирать длинные пути, я скопировал в C:temp образец DefaultWindows_Enforced.xml. Для объединения используется командлет Merge-CIPolicy.

cd c:temp
Merge-CIPolicy -PolicyPaths '.DefaultWindows_Enforced.xml','.FilePolicy_Enforced.xml' -OutputFilePath '.MergedPolicy.xml'

На выходе получается файл MergedPolicy.xml, который теперь можно конвертировать в политику. Я сразу помещаю сформированный файл в системную папку.

ConvertFrom-CIPolicy -XmlFilePath C:tempMergedPolicy.xml -BinaryFilePath C:WindowsSystem32CodeIntegritySIPolicy.p7b

Результат после перезагрузки:

Работает! Конечно, на практике обязательно потребуется не только запретить что-то, но и разрешить какие-то приложения.

Полезные материалы

Цель этой статьи – снять завесу таинственности с S Mode и познакомить вас с основами политик контроля приложений. Для внедрения на практике придется повозиться подольше, и я подобрал для вас ссылки по теме.

На момент публикации статьи документация не переведена на русский язык, но это не должно быть проблемой для ИТ-специалиста, берущегося развертывать политики WDAC.

Политики контроля приложений (wdac)

Device Guard вообще и WDAC в частности рассчитаны на применение в крупных организациях. Командлеты PowerShell и групповые политики для работы с политиками целостности кода есть только в корпоративных изданиях Enterprise / Education. Но сама по себе технология защиты реализована и в младших изданиях Windows, что констатирует msinfo32 в моем издании Pro (в домашнем издании эти сведения не отображаются).

Именно политики WDAC препятствуют запуску сторонних приложений в моем примере. В S Mode они также блокируют ряд исполняемых файлов Microsoft, и сейчас я покажу, как это настроено.

Правила для файлов: пример запрета

Давайте посмотрим, как в S Mode блокируются CMD, PowerShell и прочие системные приложения, позволяющие выполнение кода. Документация перечисляет полный набор доступных уровней правил для файлов — от имени файла до издателя. На другой странице есть образец политики в формате XML, где содержатся правила для приложений, которые могут послужить для выполнения произвольного кода.

В списке нет консолей, но их несложно добавить. Скопируйте файл в текстовый редактор, и двигайтесь по нему сверху вниз.

Разрешение отдельных приложений

В качестве примера возьмем браузер Chrome и разрешим его запуск, сохраняя запрет на прочие сторонние приложения и консоли.

Режим windows 10 s: вы в полной безопасности

Microsoft объявляет о выпуске режима S как дополнительной опции к Windows 10. Редакция операционной системы Windows 10 — Windows 10 S — вышла три года назад, она стала безопаснее и быстрее за счет некоторых особенностей. Раньше при приобретении устройства с предустановленной Windows 10 S получить функционал обычной Windows 10 без переустановки ОС было невозможно. Теперь ограничения, помогающие сделать ОС более быстрой, безопасной и менее энергозатратной, при желании можно отменить и вернуться к редакциям Windows 10 Home или Professional с привычными способами защиты, в том числе предустановленным Microsoft Defender. Однако такая рокировка возможна лишь в одну сторону и один раз: вернуться в S-mode из обычной Windows 10 будет уже невозможно, а правом установки S-mode обладают только производители устройств.


Что имеем и что теряем в режиме S

Давайте разберемся, какие бонусы получает пользователь режима S: работать здесь возможно только с приложениями Microsoft Store. Причина проста: они проверены Microsoft на содержание вредоносного кода. Отметим, что выбор в этом магазине обширный и, помимо популярных приложений, там есть немало интересных эксклюзивов. Подобный алгоритм давно привычен для смартфонов — iOS и Android также ограничивают выбор приложений. В случае с Windows 10 S это действует как фильтр: вредоносные программы из интернета не смогут работать, потому что вы (или члены вашей семьи) не сможете их установить, а значит, они не могут устанавливать задачи запуска в фоновом режиме, которые замедляют процесс загрузки — плюс к защите и быстродействию.

Еще один нюанс: при работе в сети ОС использует Microsoft Edge, а поисковые запросы делаются через Bing. Вы можете использовать другую поисковую систему и другой браузер, скачанный из Microsoft Store, но связка Edge Bing обеспечит повышенную безопасности вашего устройства. Также трио (Microsoft Store, Microsoft Edge и Bing) гарантирует максимальную производительность устройства. Благодаря таким базовым ограничениям в режиме S включение устройства и запуск Windows происходит практически моментально. А отзывчивость компьютера всегда остается на высоте, неважно — смотрите вы видео или работаете в нескольких приложениях сразу.

Кому это нужно

:/>  cmd - List only path, file name and size in Windows command prompt - Stack Overflow

Получается, что если вам достаточно возможностей базового веб-браузера Microsoft Edge, а в работе в основном используете приложения Microsoft Office и такие, как Evernote, iTunes, WhatsApp и другие доступные в Microsoft Store приложения, то S-mode будет оптимальным выбором. Что касается работы с файлообменниками и облачными хранилищами — можно использовать OneDrive или Dropbox, а также их аналоги в Microsoft Store.

Такие характеристики ОС могут стать незаменимыми для устройств, которыми пользуются школьники: ребенок получит быстрый и надежный девайс для учебы и творчества, а родители будут спокойны за сохранность его данных. Студенты тоже по достоинству оценят мгновенный запуск, быструю загрузку приложений и режим многозадачности. А тот факт, что в режиме S нет ничего лишнего — основные приложения с возможностью дозагрузки из Microsoft Store и надежная защита — будет ценным для старшего поколения.

Приобретая устройство с предустановленной операционной системой Windows 10 S, пользователь ничего не теряет. Вернуться в обычный режим Windows 10 можно самостоятельно буквально за несколько кликов. Зато появляется возможность оценить быстродействие, безопасность и значительную экономию заряда батареи, например, любимого ноутбука.

Создание правила для издателя

Правило Publisher будет опираться на сертификат издателя, которым подписан исполняемый файл браузера Chrome (см. также примечание Артема в комментариях по поводу правил Publisher и FilePublisher).

Командлет New-CIPolicy умеет сканировать указанную папку и создавать правила в соответствии с заданными параметрами. Пример продолжает работу в папке temp.

Создание простой блокирующей политики wdac

В папке C:windowsschemascodeIntegrityExamplePolicies есть образцы форсирования (Enforce) и аудита (Audit) политик в формате XML. Там, кстати, есть и образец для HVCI.

Для примера выше я взял файл DefaultWindows_Enforced.xml и преобразовал его в двоичный формат PKCS #7 с помощью командлета PowerShell ConvertFrom-CIPolicy.

ConvertFrom-CIPolicy -XmlFilePath C:windowsschemasCodeIntegrityExamplePoliciesDefaultWindows_Enforced.xml -BinaryFilePath C:WindowsSystem32CodeIntegritySIPolicy.p7b

Команда сразу помещает в системную папку сформированный файл политик, которые начинают применяться после перезагрузки.

Все срабатывания политики регистрируются в журнале событий: Журналы приложений и служб – Microsoft – Windows – Code Integrity. На картинке событие, которое заносится при запуске заблокированного приложения.

Для аудита воспользуйтесь файлом DefaultWindows_Audit.xml. В этом случае ничего не блокируется, но в журнал вносится запись с информационным уровнем.

Стоит ли покупать пк с s mode?


Выйти из S-режима легко и бесплатно, поэтому покупка компьютера с Windows 10 с S-режимом не имеет никаких недостатков. Даже если вам не нужен S-режим, вы можете легко его отключить.

Например, Microsoft продаёт Surface Laptop только в S-режиме. Но это нормально — даже если вам нужен ноутбук Surface со стандартной операционной системой Windows, вы можете просто купить его и бесплатно вывести из S-режима.

Узел file rules

Раздел содержит правила для файлов.

По порядку:

  • ID — идентификатор правила на ваше усмотрение.
  • FriendlyName и FileName — имя файла, причем обойти политику переименованием файла не получится, поскольку отслеживание ведется на уровне имени в ресурсах файла (FileName). Замена ресурсов ломает цифровую подпись, что тоже ведет к блокировке.
  • MinimumFileVersion  — минимальная версия файла, которую разрешает политика. В примере указана максимально возможная версия, т.е. полный запрет. Но если, скажем, уязвимость есть в версии 3.2.1, а в версии 3.2.2 она исправлена, в политике можно указать 3.2.2.

Добавьте полный запрет на запуск консолей:

Узел rules

В узле Rules сформулированы общие правила Device Guard.

По умолчанию Device Guard форсирует только KMCI, a это правило включает UMCI (оно активно и в образце DefaultWindows_Enforced.xml). Форсирование UMCI переводит PowerShell 5.1 в режим Constrained Language, значительно снижая поверхность атаки.

Образец рассчитан на аудит. Если вы планируете форсировать политику, удалите правило.

Узел signers

Раздел содержит правила для подписей. В образце есть такой узел:

Чем s mode отличается от windows 10 s?

Начиная с обновления за апрель 2021 г., «S Mode» Windows 10 заменяет Windows 10 S. Windows 10 S работала аналогично, но технически это была отдельная «редакция» Windows 10, а не «режим».

Большинство выпусков Windows 10 можно перевести в S-режим. Вы можете покупать ПК с Windows 10 Home в S-режиме или Windows 10 Professional в S-режиме, а организации могут использовать Windows 10 Enterprise в S-режиме. Однако только производитель ПК может перевести его в S-режим. Большинство ПК с Windows 10 не поставляются в S-режиме.

Microsoft также позволяет выйти из режима Windows 10 S без дополнительных затрат. Итак, если вам нужно программное обеспечение, которого нет в Microsoft Store, вы можете получить его, не тратя денег. Microsoft планировала взимать 50 долларов за выход из Windows 10 S.

Любые существующие ПК с Windows 10 S будут преобразованы в Windows 10 Professional в S-режиме после установки обновления за апрель 2021 г.

Оставьте комментарий

Adblock
detector