Vpišite se z Microsoftovim
Vpišite se ali ustvarite račun.
Pozdravljeni,
Izberite drug račun.
Imate več računov
Izberite račun, s katerim se želite vpisati.

Osamitev jedra je varnostna funkcija sistema Microsoft Windows, ki pomembne osnovne procese sistema Windows ščiti pred zlonamerno programsko opremo tako, da jih osami v pomnilniku. To naredi tako, da te osnovne procese izvaja v virtualiziranem okolju. 

Opomba: Vsebina, ki jo vidite na strani osamitev jedra, se lahko nekoliko razlikuje, odvisno od različice sistema Windows, ki jo uporabljate.

Celovitost pomnilnika

Celovitost pomnilnika, znana tudi kot Celovitost kode, zaščitena s hipervizorjem (HVCI), je varnostna funkcija sistema Windows, ki zlonamernim programom oteži uporabo gonilnikov na nizki ravni, da bi ugrabili vaš računalnik.

Gonilnik je programska oprema, ki omogoča, da se operacijski sistem (v tem primeru Windows) in naprava (na primer tipkovnica ali spletna kamera) pogovarjata med seboj. Ko naprava želi, da Windows naredi nekaj, kar uporablja gonilnik za pošiljanje te zahteve.

Namig: Želite izvedeti več o gonilnikih? Glejte Kaj je gonilnik?

Celovitost pomnilnika deluje tako, da ustvari izolirano okolje z virtualizacijo strojne opreme.

To si predstavljajte kot varnostnik znotraj zaklenjene govorilnice. To izolirano okolje (zaklenjena govorilnica v naši analogni) preprečuje, da bi napadalec nedovoljeno spreminjal funkcijo celovitosti pomnilnika. Program, ki želi zagnati kos kode, ki je lahko nevarna je, da prenese kodo za celovitost pomnilnika znotraj te virtualne govorilnice, tako da je mogoče preveriti. Če je integriteta pomnilnika udobna, da je koda varna, kodo posnete nazaj v sistem Windows. Običajno se to zgodi zelo hitro.

Brez celovitosti pomnilnika, ki se izvaja, "varnostni stražar" stoji desno na odprtem, kjer je veliko lažje za napadalca, da motijo ali sabotažo straže, tako da je lažje za zlonamerno kodo pretihotapiti mimo in povzroči težave.

Kako upravljam celovitost pomnilnika?

V večini primerov je celovitost pomnilnika privzeto vklopljena v Windows 11 in jo lahko vklopite za Windows 10.

Vklop ali izklop:

  1. Izberite gumb za začetni meni in vnesite »Osamitve jedra«.

  2. V rezultatih iskanja izberite nastavitve sistema za osamitve jedra, da odprete varnostno aplikacijo sistema Windows.

Na strani Osamitev jedra boste našli celovitost pomnilnika skupaj s stikalom, da ga vklopite ali izklopite.

Stran osamitve jedra Varnost sistema Windows

Pomembno: Zaradi varnosti priporočamo, da vklopite celovitost pomnilnika.

Če želite uporabljati celovitost pomnilnika, morate imeti v vmesniku UEFI ali BIOS-u sistema omogočena virtualizacija strojne opreme. 

Kaj, če se prikaže sporočilo, da imam nezdružljiv gonilnik?

Če se celovitost pomnilnika ne vklopi, se lahko prikaže, da imate že nameščen nezdružljiv gonilnik naprave. Pri proizvajalcu naprave preverite, ali je na voljo posodobljen gonilnik. Če ta oseba nima na voljo združljivega gonilnika, lahko morda odstranite napravo ali aplikacijo, ki uporablja ta nezdružljiv gonilnik.

Funkcija celovitosti pomnilnika sistema Windows, ki prikazuje, da gonilnik ni združljiv

Opomba: Če poskušate po vklopu celovitosti pomnilnika namestiti napravo z nezdružljivim gonilnikom, se lahko prikaže isto sporočilo. V tem primeru velja isti nasvet – pri proizvajalcu naprave preverite, ali ima posodobljen gonilnik, ki ga lahko prenesete, ali pa te naprave ne namestite, dokler ni na voljo združljiv gonilnik.

Zaščita sklada s strojno vsilitvijo v jedrnem načinu

Zaščita sklada s strojno opremo v jedrnem načinu je varnostna funkcija sistema Windows, ki zlonamernim programom oteži uporabo gonilnikov na nizki ravni, da bi ugrabili vaš računalnik.

Gonilnik je programska oprema, ki na primer omogoča, da se operacijski sistem (v tem primeru Windows) in naprava, kot je tipkovnica ali spletna kamera, pogovarjata med seboj. Ko naprava želi, da Windows naredi nekaj, kar uporablja gonilnik za pošiljanje te zahteve.

Namig: Želite izvedeti več o gonilnikih? Glejte Kaj je gonilnik?

Zaščita sklada, ki vsili strojno opremo v jedrnem načinu, deluje tako, da preprečuje napade, ki spremenijo vrnjene naslove v pomnilniku jedrnega načina za zagon zlonamerne kode. Ta varnostna funkcija zahteva CPE, ki vsebuje možnost preverjanja vrnjenih naslovov kode, ki se izvaja.

Pri izvajanju kode v jedrnem načinu lahko zlonamerni programi ali gonilniki poškodujejo vrnjene naslove v skladu jedrnega načina, da lahko običajno izvajanje kode preusmerijo v zlonamerno kodo. V podprtih CPE-jih CPE ohrani drugo kopijo veljavnih vrnjenih naslovov v skladu senčenja samo za branje, ki ga gonilniki ne morejo spreminjati. Če je bil naslov pošiljatelja v navadnem skladu spremenjen, lahko CPE zazna to razliko tako, da preverja kopijo naslova pošiljatelja v senčenem skladu. Ko pride do te razlike, računalnik pozove prekinitveno napako, znano tudi kot moder zaslon, da prepreči izvajanje zlonamerne kode.

Nekateri gonilniki niso združljivi s to varnostno funkcijo, saj manjše število zakonitih gonilnikov sodeluje pri spremembi naslova za vračilo za nenamenenamene namene. Microsoft sodeluje s številnimi izdajatelji gonilnikov, ki zagotavljajo, da so njihovi najnovejši gonilniki združljivi s strojno opremo v jedrnem načinu, ki jo vsili zaščita sklada.

Kako upravljam zaščito sklada Hardware-enforced Stack v jedrnem načinu?

Zaščita s strojno opremo v jedrnem načinu je privzeto izklopljena.

Vklop ali izklop:

  1. Izberite gumb za začetni meni in vnesite »Osamitve jedra«.

  2. V rezultatih iskanja izberite nastavitve sistema za osamitve jedra, da odprete varnostno aplikacijo sistema Windows.

Na strani Osamitev jedra boste našli strojno vsilite zaščito sklada v jedrnem načinu skupaj s stikalom za vklop ali izklop.

Označuje mesto preklopnega oknu UI za zaščito pred Varnost sistema Windows jedrnega načina za strojno opremo v aplikaciji.

Če želite uporabljati zaščito sklada Hardware-enforced Hardware-enforced v jedrnem načinu, morate imeti omogočeno integriteto pomnilnika in uporabljati morate CPE, ki podpira tehnologijo Intel Control-Flow Enforcement Technology ali sklad senčenja AMD.

Kaj naj naredim, če imam nezdružljiv gonilnik ali storitev?

Če se zaščita sklada s strojno opremo, ki jo vsili jedrni način, ne vklopi, vam bo morda povedala, da imate že nameščen nezdružljiv gonilnik ali storitev naprave. Pri proizvajalcu naprave ali izdajatelju aplikacije preverite, ali ima na voljo posodobljen gonilnik. Če nimajo na voljo združljivega gonilnika, lahko morda odstranite napravo ali aplikacijo, ki uporablja ta nezdružljiv gonilnik.

Nekateri programi lahko med namestitvijo aplikacije namestijo storitev namesto gonilnika, gonilnik pa se namesti le ob zagonu aplikacije. Za natančnejše zaznavanje nezdružljivih gonilnikov so oštevilčene tudi storitve, za katere je znano, da so povezane z nezdružljivimi gonilniki.

Stran nezdružljivih gonilnikov in storitev za zaščito strojnega sklada v jedrnem načinu v aplikaciji Varnost sistema Windows, na kateri je prikazan en nezdružljiv gonilnik. Nezdružljivi gonilnik se imenuje ExampleDriver.sys, ki ga je objavilo »Example Company«.

Opomba: Če poskušate namestiti napravo ali aplikacijo z nezdružljivim gonilnikom, ko vklopite strojno vsilite zaščito sklada v jedrnem načinu, se lahko prikaže isto sporočilo. V tem primeru velja isti nasvet – pri proizvajalcu naprave ali izdajatelju aplikacije preverite, ali ima posodobljen gonilnik, ki ga lahko prenesete, ali pa te naprave ali aplikacije ne namestite, dokler ni na voljo združljiv gonilnik.

Zaščita dostopa do pomnilnika

Z možnostjo »Zaščita jedra DMA« zaščitite svojo napravo pred napadi, do katerih lahko pride, ko je zlonamerna naprava priključena v vrata PCI (Peripheral Component Interconnect), kot so vrata Thunderbolt.

Preprost primer enega od teh napadov bi bil, če nekdo zapusti svoj računalnik za hiter premor kave, in ko so bili odsotni, napadalec koraka v, priključek v napravo, kot je USB in odide stran z občutljivimi podatki iz računalnika, ali vbrizga zlonamerno programsko opremo, ki jim omogoča, da nadzor nad računalnikom na daljavo. 

Zaščita dostopa do pomnilnika tem vrstam napadov preprečuje tako, da zavrne neposreden dostop do pomnilnika tem napravam, razen v posebnih okoliščinah, še posebej, če je računalnik zaklenjen ali če je uporabnik izpisen.

Priporočamo, da vklopite zaščito dostopa do pomnilnika.

Namig: Če želite več tehničnih podrobnosti o tem, glejte Kernel DMA Protection.

Zaščita vdelane programske opreme

Vsaka naprava ima programsko opremo, ki je napisana v pomnilnik naprave samo za branje - v osnovi zapisana na čipu na sistemski tabli - ki se uporablja za osnovne funkcije naprave, kot je nalaganje operacijskega sistema, v katerem so nameščene vse aplikacije, ki smo jih uporabili. Ker je ta programska oprema težko (vendar ne nemogoče) za spreminjanje jo imenujemo vdelana programska oprema.

Ker se vdelana programska oprema najprej naloži in se izvaja pod operacijskim sistemom, imajo varnostna orodja in funkcije, ki se izvajajo v operacijskem sistemu, težaven čas, da ga zaznajo ali branijo pred tem. Tako kot hiša, ki je odvisna od dobre temelje za varnost, računalnik potrebuje svojo vdelano programsko opremo, da bi zagotovili varno delovanje operacijskega sistema, aplikacij in podatkov o strankah v tem računalniku.

Windows Defender System Guard je nabor funkcij, ki pomagajo zagotoviti, da napadalci ne bodo mogli pridobiti vaše naprave, da bi začeli z zlonamerno programsko opremo, ki ni zaupanja ali ni zaupanja.

Če vaša naprava to podpira, priporočamo, da jo imate vklopljeno.

Platforme, ki ponujajo zaščito vdelane programske opreme, običajno tudi ščitijo način za upravljanje sistema ( SMM), visoko prednostni operacijski način, v različnih stopnjah. Pričakujete lahko eno od treh vrednosti z višjim številom, ki označuje večjo stopnjo zaščite SMM:

  • Vaša naprava izpolnjuje različico za zaščito vdelane programske opreme: s tem ponujamo temeljna varnostna ublažitev, s katerimi lahko SMM prepreči izkoriščanje z zlonamerno programsko opremo in prepreči exfiltracijo skrivnosti iz operacijskega sistema (vključno s VBS).

  • Vaša naprava izpolnjuje dve različici zaščite vdelane programske opreme: poleg različice zaščite vdelane programske opreme različica 2 zagotavlja, da SMM ne more onemogočiti zaščite, ki temelji na virtualizacije, in zaščite DMA jedra

  • Vaša naprava izpolnjuje tri različico zaščite vdelane programske opreme: poleg različice za zaščito vdelane programske opreme, različica 2 dodatno ojači SMM tako, da prepreči dostop do nekaterih registrov, ki lahko ogrozijo operacijski sistem (vključno s SBS).

Namig: Če želite več tehničnih podrobnosti o tem, glejte temo Windows Defender System Guard: Kako lahko koren zaupanja strojne opreme zaščiti sistem Windows

Microsoft Defender Credential Guard

Opomba: Microsoft Defender Credential Guard je prikazan le v napravah, v katerih je nameščena različica Enterprise Windows 10 ali 11.

Med uporabo službenega ali šolskega računalnika se neopazno vpisujete in pridobite dostop do številnih vsebin, kot so datoteke, tiskalniki, aplikacije in drugi viri v vaši organizaciji. Če ta postopek zaščitite, vendar je ta preprost za uporabnika, to pomeni, da ima vaš računalnik v vsakem danem trenutku več žetonov za preverjanje pristnosti (ki jih pogosto imenujemo tudi »skrivnosti«).

Če lahko napadalec pridobi dostop do ene ali več teh skrivnosti, jih lahko uporabi za pridobitev dostopa do virov organizacije (občutljivih datotek itd.), za katere je skrivnost. Microsoft Defender Credential Guard zaščiti te skrivnosti tako, da jih postavlja v zaščiteno, virtualizirano okolje, v katerem lahko do njih dostopajo le določene storitve, ko je to potrebno.

Če vaša naprava to podpira, priporočamo, da jo imate vklopljeno.

Namig: Če želite več tehničnih podrobnosti o tem, glejte Kako deluje Defender Credential Guard.

Seznam blokiranih Microsoftovih ranljivih gonilnikov

Gonilnik je programska oprema, ki omogoča, da se operacijski sistem (v tem primeru Windows) in naprava (na primer tipkovnica ali spletna kamera) pogovarjata med seboj. Ko naprava želi, da Windows naredi nekaj, kar uporablja gonilnik za pošiljanje te zahteve. Zaradi tega imajo gonilniki veliko občutljivega dostopa v vašem sistemu.

Od posodobitve sistema Windows 11 2022 je zdaj na voljo seznam blokiranih gonilnikov, ki imajo znane varnostne ranljivosti, so bili podpisani s potrdili, ki so bila uporabljena za podpis zlonamerne programske opreme ali zaobidejo Varnost sistema Windows model.

Če imate vklopljeno celovitost pomnilnika, funkcijo Smart App Control ali način Windows S, bo vklopljen tudi seznam ranljivih gonilnikov.

Glejte tudi

Poskrbite za zaščito z Varnostjo sistema Windows

Pomoč in učenje za Microsoftovo varnost

Facebook LinkedIn E-pošta
NAROČITE SE NA VIRE RSS

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Odkrijte Skupnost

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Ugodnosti naročnine na Microsoft 365

Izobraževanje za Microsoft 365

Microsoftova varnost

Središče za dostopnost

Skupnosti vam pomagajo postaviti vprašanja in odgovoriti nanje, posredovati povratne informacije in prisluhniti strokovnjakom z bogatim znanjem.

Vprašajte Microsoftovo skupnost

Microsoftova tehnična skupnost

Preskuševalci sistema Windows

Preskuševalci storitve Microsoft 365

Vam je bila informacija v pomoč?

Kako ste zadovoljni s kakovostjo jezika?
Kaj je vplivalo na vašo izkušnjo?
Če pritisnete »Pošlji«, bomo vaše povratne informacije uporabili za izboljšanje Microsoftovih izdelkov in storitev. Vaš skrbnik za IT bo lahko zbiral te podatke. Izjavi o zasebnosti.

Zahvaljujemo se vam za povratne informacije.

×