Prijavite se pomoću Microsoft naloga
Prijavite se ili kreirajte nalog.
Zdravo,
Izaberite drugi nalog.
Imate više naloga
Odaberite nalog pomoću kojeg želite da se prijavite.

Osnovna izolacija je bezbednosna funkcija operativnog sistema Microsoft Windows koja štiti važne osnovne procese operativnog sistema Windows od zlonamernog softvera tako što ih izoluje u memoriji. To radi tako što pokreće te osnovne procese u virtuelizovanom okruženju. 

Napomena: Ono što vidite na stranici Osnovna izolacija može malo da se razlikuje u zavisnosti od verzije operativnog sistema Windows koju koristite.

Integritet memorije

Integritet memorije, poznat i kao Integritet koda zaštićen od hipervizora (HVCI) je Bezbednosna funkcija operativnog sistema Windows koja zlonamernim programima otežava korišćenje upravljačkih programa nižeg nivoa za otmu računar.

Upravljački program je softver koji omogućava operativnom sistemu (u ovom slučaju Windows) i uređaj (kao što je tastatura ili veb kamere, na dva primera) da razgovaraju jedan sa drugim. Kada uređaj želi da Windows uradi nešto, on koristi upravljački program za slanje tog zahteva.

Savet: Želite da saznate više o upravljačkim programima? Pogledajte članak Šta je to upravljački program?

Integritet memorije funkcioniše tako što kreira izolovano okruženje pomoću hardverske virtuelizacije.

Misli o tome kao o čuvaru unutar zaključane štande. Ovo izolovano okruženje (zaključana kabina u analogiji) sprečava funkciju integriteta memorije da bude neometana od strane napadača. Program koji želi da pokrene deo koda koji može biti opasan mora da doda kôd u integritet memorije unutar te virtuelne štandove kako bi bio verifikovan. Kada se integritet memorije ugodi da je kôd bezbedan, on će vratiti kôd u Windows da bi ga pokrenuti. Ovo se obično dešava veoma brzo.

Bez pokretanja integriteta memorije, "čuvar" se ističe na otvorenom, gde je mnogo lakše da napadač ometa ili sabotira čuvara, što olakšava zlonamernom kodu da se iskrada i izazove probleme.

Kako da upravljam integritetom memorije?

U većini slučajeva integritet memorije podrazumevano je uključen u programu Windows 11 i može da se uključi za Windows 10.

Da biste ga uključili ili isključili:

  1. Kliknite na dugme Start i otkucajte "Osnovna izolacija".

  2. Izaberite postavke sistema Core Izolacije iz rezultata pretrage da biste otvorili Windows bezbednosnu aplikaciju.

Na stranici Osnovna izolacija pronaći ćete integritet memorije zajedno sa preklopnikom da biste ga uključili ili isključili.

The core isolation page of Windows bezbednost

Važno: Radi bezbednosti preporučujemo da uključite integritet memorije.

Da biste koristili integritet memorije, morate da imate omogućenu hardversku virtuelizaciju u UEFI ili BIOS sistemu. 

Šta ako piše da imam nekompatibilan upravljački program?

Ako se integritet memorije ne uključi, može vam reći da imate već instaliran kompatibilni upravljački program uređaja. Obratite se proizvođaču uređaja da biste proverili da li je dostupan ažurirani upravljački program. Ako nemaju dostupan kompatibilan upravljački program, možda ćete moći da uklonite uređaj ili aplikaciju koja koristi taj kompatibilni upravljački program.

Funkcija windows integriteta memorije koja prikazuje da upravljački program nije kompatibilan

Napomena: Ako pokušate da instalirate uređaj sa kompatibilnim upravljačkim programom nakon uključivanja integriteta memorije, možda ćete videti istu poruku. Ako je tako, primenjuju se isti saveti – obratite se proizvođaču uređaja da biste proverili da li ima ažuriran upravljački program koji možete da preuzmete ili nemojte da instalirate taj određeni uređaj dok ne bude dostupan kompatibilan upravljački program.

Zaštita steka nametnuta u režimu kernelskog režima

Zaštita steka nametnuta u režimu kernelskog režima je Windows bezbednosna funkcija zasnovana na hardveru koja otežava zlonamernim programima da koriste upravljačke programe nižeg nivoa za otmu računar.

Upravljački program je softver koji omogućava operativnom sistemu (u ovom slučaju Windows) i uređaj kao što je tastatura ili veb kamere, razgovarajte jedan sa drugim. Kada uređaj želi da Windows uradi nešto, on koristi upravljački program za slanje tog zahteva.

Savet: Želite da saznate više o upravljačkim programima? Pogledajte članak Šta je to upravljački program?

Kernel režim Stack Protection funkcioniše tako što sprečava napade koji menjaju povratne adrese u memoriji u režimu jezgra da bi pokrenuli zlonamerni kôd. Ova bezbednosna funkcija zahteva CPU koji sadrži mogućnost verifikacije povratnih adresa pokrenutog koda.

Prilikom izvršavanja koda u međuslovnom režimu, zlonamerni programi ili upravljački programi mogu da oštete povratne adrese na naslaganom jezgru režima kako bi preusmerili izvršavanje normalnog koda na zlonamerni kôd. Na podržanim CPU-ovima, CPU održava drugu kopiju važećih povratnih adresa na steku senki samo za čitanje koji upravljački programi ne mogu da izmene. Ako je povratna adresa u redovnom nizu izmenjena, CPU može da otkrije ovo neslaganje tako što će proveriti kopiju povratne adrese u steku senke. Kada dođe do ovog neusklađivanja, računar traži grešku zaustavljanja, koja se ponekad naziva plavi ekran, da bi sprečio izvršavanje zlonamernog koda.

Nisu svi upravljački programi kompatibilni sa ovom bezbednosnom funkcijom, jer mali broj legitimnih upravljačkih programa učestvuje u izmenama povratne adrese u nenamerne svrhe. Microsoft je angažovao brojne izdavače upravljačkih programa da bi se uverio da su najnoviji upravljački programi kompatibilni sa kernel-režimom Zaštita steka nametnutom pomoću kernel režima.

Kako da upravljam zaštitom steka nametnutom u režimu kernelskog režima?

Zaštita steka nametnuta hardverom u režimu kernela podrazumevano je isključena.

Da biste ga uključili ili isključili:

  1. Kliknite na dugme Start i otkucajte "Osnovna izolacija".

  2. Izaberite postavke sistema Core Izolacije iz rezultata pretrage da biste otvorili Windows bezbednosnu aplikaciju.

Na stranici izolacije sistema Core pronaći ćete Izolaciju režima Kernel u režimu Steka, kao i preklopnik da biste ga uključili ili isključili.

Ukazuje na lokaciju preklopnog interfejsa zaštite steka koji je nametnut u režimu Kernel-režima steka na stranici "Osnovna izolacija" Windows bezbednost aplikacije.

Da biste koristili zaštitu steka nametnutu u režimu kernelskog režima, morate da imate omogućen integritet memorije i morate da pokrenete CPU koji podržava Tehnologiju sprovođenja Intel Control-Flow tehnologiju sprovođenja ili AMD stek senke.

Šta ako piše da imam kompatibilni upravljački program ili uslugu?

Ako se zaštita steka nametnuta u režimu Kernel-režima ne uključi, ona može da vam kaže da imate već instaliran kompatibilni upravljački program uređaja ili uslugu. Obratite se proizvođaču uređaja ili izdavaču aplikacije da biste proverili da li je dostupan ažurirani upravljački program. Ako nemaju dostupan kompatibilan upravljački program, možda ćete moći da uklonite uređaj ili aplikaciju koja koristi taj kompatibilni upravljački program.

Neke aplikacije mogu da instaliraju uslugu umesto upravljačkog programa tokom instalacije aplikacije i instaliraju upravljački program samo kada se aplikacija pokrene. Za preciznije otkrivanje nekih kompatibilnih upravljačkih programa nabrajaju se i usluge za koje je poznato da su povezane sa nekimpatibilnim upravljačkim programima.

Stranica "Nekopatibilni upravljački programi i usluge" za režim Kernel-mode Stack Protection koji je nametnut hardverom u Windows bezbednost aplikaciji, sa prikazanim jednim kompatibilnim upravljačkim programom. Nekompatibilni upravljački program se zove ExampleDriver.sys, objavio "Primer preduzeća".

Napomena: Ako pokušate da instalirate uređaj ili aplikaciju sa nekim kompatibilnim upravljačkim programom nakon uključivanja zaštite steka nametnutom u režimu Kernel, možda ćete videti istu poruku. Ako je tako, primenjuju se isti saveti – obratite se proizvođaču uređaja ili izdavaču aplikacije da biste proverili da li ima ažuriran upravljački program koji možete da preuzmete ili da ne instalirate taj određeni uređaj ili aplikaciju dok ne bude dostupan kompatibilan upravljački program.

Zaštita pristupa memoriji

Poznat i kao "Kernel DMA zaštita", ovo štiti vaš uređaj od napada do kojih može doći kada je zlonamerni uređaj priključen na PCI (Peripheral Component Interconnect) port kao što je Thunderbolt port.

Jednostavan primer jednog od ovih napada bio bi ako neko ostavi računar na kratkom pauzi za kafu, a dok je bio odsutni, napadač se priključi, priključi USB uređaj i odšeta sa osetljivim podacima sa računara ili ubrizgava malver koji im omogućava da daljinski kontrolišu računar. 

Zaštita pristupa memoriji sprečava ove vrste napada tako što uskraćuje direktan pristup memoriji tim uređajima osim u posebnim okolnostima, naročito kada je računar zaključan ili kada je korisnik odjavljen.

Preporučujemo da imate uključenu zaštitu pristupa memoriji.

Savet: Ako želite više tehničkih detalja o ovom članku Pogledajte odeljak Kernel DMA Protection.

Zaštita firmvera

Svaki uređaj ima neki softver koji je napisan u memoriju uređaja samo za čitanje – koji je u osnovi napisan u čip na sistemskoj tabli – koji se koristi za osnovne funkcije uređaja, kao što je učitavanje operativnog sistema koji pokreće sve aplikacije koje smo navikli da koristimo. Pošto je taj softver težak (ali ne nemoguć) za izmenu, mi ga nazivamo firmverom.

Pošto se firmver učitava prvi i pokreće u okviru operativnog sistema, bezbednosne alatke i funkcije koje se pokreću u operativnom sistemu teško ga je otkriti ili se braniti od njega. Kao i kuća koja zavisi od dobrog osnova kako bi bio bezbedan, računaru je potreban firmver da bi bio bezbedan kako bi operativni sistem, aplikacije i korisnički podaci na tom računaru bili bezbedni.

Windows zaštitnik System Guard je skup funkcija koje pomažu da se osigura da napadači ne mogu da dopre do uređaja da počnu sa nepouzdanim ili zlonamernim firmverom.

Preporučujemo da je uključite ako vaš uređaj to podržava.

Platforme koje nude zaštitu firmvera obično štite i režim upravljanja sistemom ( SMM), izuzetno privilegovan operativni režim, da bi menjale stepene. Možete da očekujete jednu od tri vrednosti, sa većim brojem koji ukazuje na veći stepen SMM zaštite:

  • Vaš uređaj ispunjava verziju zaštite firmvera 1: ovo nudi temeljna bezbednosna umanjivanja koja pomažu usluzi SMM da se odupre iskorišćavanju malvera i sprečava izuzimanje tajni iz operativnog sistema (uključujući VBS)

  • Vaš uređaj ispunjava dve verzije zaštite od firmvera: pored verzije zaštite od firmvera jedan, verzija 2 osigurava da SMM ne može da onemogući bezbednost zasnovanu na virtuelizacijama (VBS) i kernel DMA zaštitu

  • Vaš uređaj ispunjava tri verzije zaštite od firmvera: pored verzije zaštite od firmvera, on dodatno očvrsće SMM tako što sprečava pristup određenim registrima koji imaju mogućnost da ugrožavaju operativni sistem (uključujući VBS)

Savet: Ako želite više tehničkih detalja o ovome, pogledajte članak Windows zaštitnik System Guard: Kako osnovna verzija poverenja zasnovana na hardveru pomaže u zaštiti operativnog sistema Windows

Microsoft Defender akreditiva

Napomena: Microsoft Defender Akreditive se pojavljuje samo na uređajima koji rade pod Enterprise verzijama Windows 10 ili 11.

Dok koristite poslovni ili školski računar, on će se tiho prijavljivati i dobiti pristup raznim stvarima kao što su datoteke, štampači, aplikacije i drugi resursi u organizaciji. Pravljenje tog procesa bezbednim, a ipak lakim za korisnika, znači da računar na sebi ima više tokena potvrde identiteta (koji se često nazivaju "tajnama") u bilo kom trenutku.

Ako napadač može da dobije pristup jednoj ili više tajni, možda će moći da ih koristi da bi dobio pristup organizacionom resursu (osetljivim datotekama itd.) za koje je tajna. Microsoft Defender zaštita akreditiva pomaže u zaštiti tih tajni tako što ih stavlja u zaštićeno, virtuelizovano okruženje gde samo određene usluge mogu da im pristupe po potrebi.

Preporučujemo da je uključite ako vaš uređaj to podržava.

Savet: Ako želite više tehničkih detalja o ovome, pogledajte članak Kako funkcioniše čuvar akreditiva zaštitnika.

Lista blokiranja Microsoft ranjivog upravljačkog programa

Upravljački program je softver koji omogućava operativnom sistemu (u ovom slučaju Windows) i uređaj (kao što je tastatura ili veb kamere, na dva primera) da razgovaraju jedan sa drugim. Kada uređaj želi da Windows uradi nešto, on koristi upravljački program za slanje tog zahteva. Zbog toga upravljački programi imaju mnogo osetljivog pristupa u sistemu.

Počevši od ispravke Windows 11 2022, sada imamo listu upravljačkih programa koji imaju poznate bezbednosne ranjivosti, potpisane su certifikatima koji su korišćeni za potpisivanje malvera ili koji zaobilaze Windows bezbednost model.

Ako imate uključen memorijski integritet, Smart App Control ili Windows S režim, uključiće se i ranjiva lista blokiranih upravljačkih programa.

Takođe pogledajte

Ostanite zaštićeni uz Windows bezbednost

Microsoft bezbednosna pomoć i učenje

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Otkrivanje Zajednica

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.

Pitajte Microsoft zajednicu

Microsoft Tech zajednica

Windows insajderi

Microsoft 365 insajderi

Da li su vam ove informacije koristile?

Koliko ste zadovoljni kvalitetom jezika?
Šta je uticalo na vaše iskustvo?
Kada kliknete na dugme Prosledi“, vaše povratne informacije će se koristiti za poboljšanje Microsoft proizvoda i usluga. Vaš IT administrator će moći da prikupi ove podatke. Izjava o privatnosti.

Hvala vam na povratnim informacijama!

×