Pamata atdalīšana ir Microsoft Windows drošības līdzeklis, kas aizsargā svarīgus Windows pamata procesus no ļaunprātīgas programmatūras, tos izbrāzot atmiņā. Tas tiek veikts, palaižot šos pamata procesus virtualizētā vidē.
Piezīme.: Tas, kas tiek rādīts pamata atdalīšanas lapā, var mazliet atšķirties atkarībā no tā, kāda Windows versija darbojas datorā.
Atmiņas integritāte
Atmiņas integritāte, kas tiek dēvēta arī par hipervisoru aizsargāto koda integritāti (HVCI), ir Windows drošības līdzeklis, kas apgrūtina ļaunprātīgām programmām izmantot zema līmeņa draiverus, lai no jauna izveidotu datoru.
Draiveris ir programmatūras daļa, kas ļauj operētājsistēmai (šajā gadījumā Windows) un ierīcei (piemēram, tastatūrai vai tīmekļa kamerai, kā diviem piemēriem) sarunāties savā starpā. Ja ierīce vēlas, lai Operētājsistēma Windows izdara kādu uzdevumu, kas šo pieprasījumu sūtītu, tiek izmantots draiveris.
Padoms.: Vai vēlaties uzzināt vairāk par draiveriem? Skatiet rakstu Kas ir draiveris?
Atmiņas integritāti var izveidot izolētu vidi, izmantojot aparatūras virtualizāciju.
Iedomājieties, ka tā ir kā drošības aizsardzība bloķētā stendā. Šī izolētā vide (bloķētā stenda mūsu analogijā) neļauj uzbrukumu pārveidot atmiņas integritātes līdzekli. Programmai, kura vēlas palaist kādu kodu, kas varētu būt bīstama, kods ir jānokārto virtuālajā stendā atmiņas integritātē, lai to varētu pārbaudīt. Ja atmiņas integritāte ir ērta, ka kods ir drošībā, izlaiž kodu atpakaļ sistēmā Windows, lai to palaistu. Parasti tas notiek ļoti ātri.
Bez atmiņas integritātes izpildes", "drošības aizsardzība" tiek izcelta atvērtajā vietā, kur daudz vieglāk ir uzbrucējam traucēt vai radīt bojājumus aizsardzība, atvieglojot ļaunprātīga koda lietošanu agrāk un radīt problēmas.
Kā pārvaldīt atmiņas integritāti?
Lielākajā daļā gadījumu atmiņas integritāte programmā Windows 11 ieslēgta un to var Windows 10.
Lai to ieslēgtu vai izslēgtu:
-
Atlasiet pogu Sākt un ierakstiet "Core isolation" (Pamata atdalīšana).
-
Meklēšanas rezultātos atlasiet Core Isolation system iestatījumus, lai atvērtu Windows drošības programmu.
Lapā Core isolation (Pamata atdalīšana) ir gan atmiņas integritāte, gan slēdzis, kas to ieslēgs vai izslēdz.
Svarīgi!: Drošības apsvērumu dēļ ieteicams ieslēgt atmiņas integritāti.
Lai izmantotu atmiņas integritāti, jūsu sistēmas UEFI vai BIOS ir jābūt iespējotai aparatūras virtualizācijai.
Kā darīt, ja ir rakstīts, ka man ir nesaderīgs draiveris?
Ja atmiņas integritāti neizdodas ieslēgt, iespējams, ka jums ir instalēts nesaderīgs ierīces draiveris. Sazinieties ar ierīces ražotāju, lai uzzinātu, vai tiem ir pieejams atjaunināts draiveris. Ja ierīcēs nav pieejams saderīgs draiveris, iespējams, varat noņemt ierīci vai programmu, kas izmanto nesaderīgo draiveri.
Piezīme.: Ja pēc atmiņas integritātes ieslēgšanas mēģināt instalēt ierīci ar nesaderīgu draiveri, var tikt parādīts tas pats ziņojums. Šādā gadījumā tas pats ieteikums ir spēkā — sazinieties ar ierīces ražotāju, lai uzzinātu, vai ierīces draiverim ir atjaunināts draiveris, ko varat lejupielādēt, vai neinstalējiet šo konkrēto ierīci, līdz nav pieejams saderīgs draiveris.
Kernel-mode Hardware-enforced Stack Protection
Kernel-mode Hardware-enforced Stack Protection ir aparatūras Windows drošības līdzeklis, kas apgrūtina ļaunprātīgām programmām izmantot zema līmeņa draiverus, lai nolauptu datoru.
Draiveris ir programmatūras daļa, kas ļauj operētājsistēmai (šajā gadījumā Windows) un ierīcei, piemēram, tastatūrai vai tīmekļa kamerai, savā starpā sarunāties. Ja ierīce vēlas, lai Operētājsistēma Windows izdara kādu uzdevumu, kas šo pieprasījumu sūtītu, tiek izmantots draiveris.
Padoms.: Vai vēlaties uzzināt vairāk par draiveriem? Skatiet rakstu Kas ir draiveris?
Kernel-mode aparatūras ieviestā steka aizsardzība darbojas, nepieļaujot uzbrukumus, kas modificē atpakaļadreses in kernel-mode atmiņā, lai palaistu ļaunprātīgu kodu. Šim drošības līdzeklim ir nepieciešams centrālais procesors, kas satur iespēju verificēt izpildītā koda atpakaļadreses.
Izpildot kodu kernel-mode, atpakaļadreses kernel-mode grupā var sabojāt ļaunprātīgas programmas vai draiveri, lai novirzītu parastu koda izpildi uz ļaunprātīgu kodu. Atbalstītos centrālos procesoros centrālais procesors saglabā otru derīgu atpakaļadreses kopiju tikai lasāmā ēnu grupā, ko draiveri nevar modificēt. Ja tiek modificēta atpakaļadrese parastajā grupā, centrālais procesors var noteikt šo neatbilstību, pārbaudot atpakaļadreses kopiju ēnu grēdā. Ja rodas šāda neatbilstība, datorā tiek parādīta apturēšanas kļūda, kas dažkārt tiek dēvēta par zilu ekrānu, lai novērstu ļaunprātīga koda izpildi.
Visi draiveri nav saderīgi ar šo drošības līdzekli, jo maz likumīgu draiveru piesaista atpakaļadreses modificēšanu citiem mērķiem. Microsoft ir saistījusi savu draiveri ar vairākiem draiveru izdevējiem, lai pārliecinātos, vai to jaunākie draiveri ir saderīgi ar kernel-mode hardware ieviesto steka aizsardzību.
Kā pārvaldīt kernel-mode aparatūrā ieviesto steka aizsardzību?
Kernel-mode Hardware-enforced Stack Protection is turned off by default.
Lai to ieslēgtu vai izslēgtu:
-
Atlasiet pogu Sākt un ierakstiet "Core isolation" (Pamata atdalīšana).
-
Meklēšanas rezultātos atlasiet Core Isolation system iestatījumus, lai atvērtu Windows drošības programmu.
Core atdalīšanas lapā ir atrodams kernel-mode hardware-enforced Stack Protection kopā ar slēdzi, lai to ieslēgtu vai izslēgtu.
Lai izmantotu kernel-mode aparatūru ieviesto grēdas aizsardzību, ir jābūt iespējotai atmiņas integritātes iespējošanai un ir nepieciešams darbināt centrālo procesoru, kas atbalsta Intel Control-Flow enforcement technology or AMD Shadow Stack.
Kā darīt, ja ir rakstīts, ka man ir nesaderīgs draiveris vai pakalpojums?
Ja nevarat ieslēgt kernel-mode aparatūras ieviesto steka aizsardzību, iespējams, ka jums ir instalēts nesaderīgs ierīces draiveris vai pakalpojums. Sazinieties ar ierīces ražotāju vai lietojumprogrammas izdevēju, lai uzzinātu, vai tiem ir pieejams atjaunināts draiveris. Ja ierīcēs nav pieejams saderīgs draiveris, iespējams, varat noņemt ierīci vai programmu, kas izmanto nesaderīgo draiveri.
Dažas lietojumprogrammas var instalēt pakalpojumu, nevis draiveri lietojumprogrammas instalēšanas laikā, un instalēt draiveri tikai tad, kad programma tiek palaista. Lai precīzāk noteiktu nesaderīgus draiverus, ir uzskaitīti arī pakalpojumi, kas ir saistīti ar nesaderīgiem draiveriem.
Piezīme.: Ja pēc kernel-mode Hardware-enforced Stack Protection ieslēgšanas mēģināt instalēt ierīci vai programmu ar nesaderīgu draiveri, iespējams, tiks parādīts tas pats ziņojums. Šādā gadījumā tas pats ieteikums ir spēkā — sazinieties ar ierīces ražotāju vai programmas izdevēju, lai uzzinātu, vai viņiem ir atjaunināts draiveris, ko varat lejupielādēt, vai neinstalējiet konkrētu ierīci vai programmu, līdz ir pieejams saderīgs draiveris.
Atmiņas piekļuves aizsardzība
Tas tiek dēvēts arī par "Kernel DMA protection" (Kernel DMA protection), tas aizsargā ierīci pret uzbrukumiem, kas var rasties, ja PCI (perifērijas komponentu intersavienojuma) portā var būt ļaunprātīga ierīce, piemēram, Thunderbolt ports.
Vienkāršs piemērs no šiem uzbrukumiem būtu, ja kāds pamet datoru uz īsu kafijas pauze, un, kad viņš bija prom, uzbrucējs veic darbības, iespraudīs USB ierīcei un pārtrauc darbības ar sensitīviem datora datiem vai veic ļaunprogrammatūras iesiešanu, kas tiem ļauj attāli kontrolēt datoru.
Atmiņas piekļuves aizsardzība novērš šādus uzbrukumus, noraidot tiešu piekļuvi atmiņai šajās ierīcēs, izņemot īpašos apstākļos, īpaši, ja dators ir bloķēts vai lietotājs ir izrakstīts.
Ir ieteicams ieslēgt atmiņas piekļuves aizsardzību.
Padoms.: Ja vēlaties detalizētu tehnisko informāciju par to, skatiet rakstu Kernel DMA Protection.
Aparātprogrammatūras aizsardzība
Katrai ierīcei ir programmatūra, kas ierakstīta ierīces tikai lasāmajā atmiņā — pamatā ierakstīta sistēmas paneļa mikroshēmā —, kas tiek izmantota ierīces pamatfunkcijas, piemēram, ielādējot operētājsistēmu, kas izpilda visas programmas, kuras izmantojām. Tā kā šo programmatūru ir grūti (bet ne neiespējami), modificējam uz to kā aparātprogrammatūru.
Tā kā aparātprogrammatūra vispirms tiek ielādēta un darbojas operētājsistēmā, drošības rīkiem un līdzekļiem, kas darbojas operētājsistēmā, ir grūti noteikt to vai iedziļiniet tajā. Līdzīgi kā ar māju, kas ir atkarīga no labiem pamatiem, datoram nepieciešama aparātprogrammatūra, lai tā būtu drošībā, nodrošinot datora operētājsistēmas, lietojumprogrammu un klientu datu drošību.
Windows Defender System Guard ir līdzekļu kopa, kas palīdz nodrošināt, ka uzbrucēji nevar iegūt jūsu ierīci, lai sāktu ar neuzticamu vai ļaunprātīgu aparātprogrammatūru.
Ieteicams to ieslēgt, ja jūsu ierīce to atbalsta.
Platformas, kas piedāvā aparātprogrammatūras aizsardzību, parasti aizsargā arī sistēmas pārvaldības režīmu (System Management Mode — SMM), īpaši priviliģētu operētājsistēmas režīmu ar dažādām grādiem. Kāda no trim vērtībām ir paredzama ar lielāku skaitli, kas norāda lielāku SMM aizsardzības pakāpi:
-
Jūsu ierīce atbilst aparātprogrammatūras aizsardzības versijai. Tas nodrošina pamata drošības riskus, kas palīdz SMM resnoties no ļaunprogrammatūras izmantošanas un neļauj operētājsistēmai izdairēt noslēpumus (ieskaitot VBS)
-
Jūsu ierīce atbilst aparātprogrammatūras aizsardzības versijai. Papildus aparātprogrammatūras aizsardzības versijai 2. versija nodrošina, ka SMM nevar atspējot Virtualization bāzes drošību (VBS) un kernel DMA aizsardzību
-
Jūsu ierīce atbilst aparātprogrammatūras aizsardzības versijai 3: papildus aparātprogrammatūras aizsardzības versijai, tā vēl vairāk saasina SMM, neļaujot piekļūt noteiktiem reģistriem, kas var radīt problēmas ar OS (ieskaitot VBS)
Padoms.: Ja vēlaties detalizētu tehnisko informāciju, skatiet šo rakstu Windows Defender System Guard: Uzticamības aparatūras saknes palīdzība operētājsistēmas Windows aizsargā
Microsoft Defender Akreditācijas datu aizsardzība
Piezīme.: Microsoft Defender Credential Guard ir redzams tikai ierīcēs, kurās darbojas Windows 10 vai 11 Enterprise versijas.
Ja izmantojat savu darba vai mācību datoru, tas ne tikai pierakstīsies un iegūs piekļuvi dažādām lietām, piemēram, failiem, printeriem, programmām un citiem resursiem jūsu organizācijā. Padarot šo procesu drošu, bet lietotājam vienkāršu, tas nozīmē, ka jūsu datorā jebkurā laikā ir vairāki autentifikācijas marķieri (ko bieži dēvē par "noslēpumiem").
Ja uzbrucējs var iegūt piekļuvi vienam vai vairākiem no šiem noslēpumiem, viņi var tos izmantot, lai piekļūtu organizācijas resursiem (sensitīviem failiem utt.), kas ir slepens. Microsoft Defender akreditācijas datu aizsardzība palīdz aizsargāt šos noslēpumus, ievietojot tos aizsargātā, virtualizētā vidē, kur tikai noteikti pakalpojumi var tiem piekļūt, ja tas ir nepieciešams.
Ieteicams to ieslēgt, ja jūsu ierīce to atbalsta.
Padoms.: Ja vēlaties detalizētu tehnisko informāciju, skatiet rakstu Kā darbojas Defender akreditācijas datu aizsardzība.
Microsoft neaizsargātu draiveru bloķēšanas saraksts
Draiveris ir programmatūras daļa, kas ļauj operētājsistēmai (šajā gadījumā Windows) un ierīcei (piemēram, tastatūrai vai tīmekļa kamerai, kā diviem piemēriem) sarunāties savā starpā. Ja ierīce vēlas, lai Operētājsistēma Windows izdara kādu uzdevumu, kas šo pieprasījumu sūtītu, tiek izmantots draiveris. Tāpēc draiveriem jūsu sistēmā ir daudz sensitīvas piekļuves.
Sākot ar Windows 11 2022 atjauninājumu, mums tagad ir bloķēto draiveru saraksts ar zināmām drošības ievainojamībām, ir parakstīti ar sertifikātiem, kas ir izmantoti, lai parakstītu ļaunprogrammatūru vai apietu Windows drošība modeli.
Ja jums ir atmiņas integritāte, Smart App Control vai Windows S režīms ir ieslēgts, tiks ieslēgts arī neaizsargāto draiveru bloķēšanas saraksts.
