Ізоляція ядра – це функція безпеки Microsoft Windows, яка захищає важливі основні процеси Windows від програм, створених зловмисниками, ізолюючи їх у пам'яті. Він робить це, запускаючи ці основні процеси в віртуалізованому середовищі.
Примітка.: Те, що ви бачите на сторінці Ізоляція ядра, може дещо відрізнятися залежно від того, яку версію Windows ви використовуєте.
Цілісність пам’яті
Цілісність пам'яті, також відома як Цілісність коду, захищена гіпервізором (HVCI), – це функція безпеки Windows, яка ускладнює зловмисним програмам використання драйверів низького рівня для викрадення комп'ютера.
Драйвер – це програмне забезпечення, яке дає змогу операційній системі (у цьому випадку Windows) і пристрою (наприклад, клавіатурі або веб-камері) розмовляти один з одним. Коли пристрій хоче, щоб Windows щось виправив за допомогою драйвера, надішліть цей запит.
Порада.: Хочете дізнатися більше про драйвери? Див. статтю Що таке драйвер?
Цілісність пам'яті працює, створюючи ізольоване середовище за допомогою віртуалізації обладнання.
Подумайте про це, як про охоронця всередині заблокованого стенду. Це ізольоване середовище (заблокований стенд в нашій аналогії) запобігає підробці функції цілісності пам'яті зловмисником. Програма, яка хоче запустити шматок коду, який може бути небезпечним, повинен передати код цілісності пам'яті всередині цього віртуального стенду, щоб його можна було перевірити. Коли цілісність пам'яті зручна, що код безпечний, він передає код назад у Windows для запуску. Зазвичай це відбувається дуже швидко.
Без запуску цілісності пам'яті "охоронець" виділяється прямо у відкритому місці, де зловмиснику набагато легше заважати або саботувати охоронця, що полегшує для зловмисного коду прокрастися повз і викликати проблеми.
Як керувати цілісністю пам'яті?
У більшості випадків цілісність пам'яті ввімкнуто за замовчуванням у Windows 11, і її можна ввімкнути для Windows 10.
Щоб увімкнути або вимкнути цю функцію, виконайте наведені нижче дії.
-
Натисніть кнопку Пуск і введіть "Ізоляція ядра".
-
Виберіть настройки системи "Ізоляція ядра" в результатах пошуку, щоб відкрити програму безпеки Windows.
На сторінці Ізоляція ядра ви знайдете цілісність пам'яті разом із перемикачем, щоб увімкнути або вимкнути його.
Увага!: Для безпечного використання радимо ввімкнути цілісність пам'яті.
Щоб використовувати цілісність пам'яті, потрібно ввімкнути апаратну віртуалізацію в UEFI або BIOS системи.
Що робити, якщо в мене є несумісний драйвер?
Якщо не вдається ввімкнути цілісність пам'яті, це може вказувати на те, що на комп'ютері вже інстальовано несумісний драйвер пристрою. Зверніться до виробника пристрою, щоб дізнатися, чи доступний у них оновлений драйвер. Якщо сумісні драйвери недоступні, ви можете видалити пристрій або програму, яка використовує цей несумісний драйвер.
Примітка.: Якщо спробувати інсталювати пристрій із несумісним драйвером після ввімкнення цілісності пам'яті, може з'явитися таке саме повідомлення. Якщо так, застосовується та сама порада. Зверніться до виробника пристрою, щоб дізнатися, чи є у них оновлений драйвер, який можна завантажити, або не інсталюйте цей пристрій, доки не з'явиться сумісний драйвер.
Захист стека в режимі ядра
Захист стека в режимі ядра – це апаратна функція безпеки Windows, яка ускладнює зловмисним програмам використання драйверів низького рівня для викрадення комп'ютера.
Драйвер – це програмне забезпечення, яке дає змогу операційній системі (у цьому випадку Windows) і пристрою, наприклад клавіатурі або веб-камеру, спілкуватися один з одним. Коли пристрій хоче, щоб Windows щось виправив за допомогою драйвера, надішліть цей запит.
Порада.: Хочете дізнатися більше про драйвери? Див. статтю Що таке драйвер?
Захист стека в режимі ядра працює, запобігаючи атакам, які змінюють зворотні адреси в пам'яті в режимі ядра, для запуску зловмисного коду. Для цієї функції безпеки потрібен ЦП, який містить можливість перевіряти зворотні адреси запущеного коду.
Під час виконання коду в режимі ядра зворотні адреси в стеку в режимі ядра можуть бути пошкоджені зловмисними програмами або драйверами, щоб переспрямувати звичайне виконання коду на зловмисний код. На підтримуваних ЦП зберігає другу копію припустимих зворотних адрес у тіньовому стеку лише для читання, який драйвери не можуть змінювати. Якщо зворотну адресу в звичайному стосі змінено, ЦП може виявити цю невідповідність, перевіривши копію зворотної адреси в тіньовому стосі. Коли виникає ця невідповідність, комп'ютер пропонує STOP-помилку, іноді відому як синій екран, щоб запобігти виконанню зловмисного коду.
Не всі драйвери сумісні з цією функцією безпеки, оскільки невелика кількість законних драйверів беруть участь у зміні зворотної адреси для незасумних цілей. Корпорація Майкрософт взаємодіє з численними видавцями драйверів, щоб переконатися, що їхні найновіші драйвери сумісні з апаратним захистом стека в режимі ядра.
Як керувати захистом стека в режимі ядра?
Захист стека в режимі ядра вимкнуто за замовчуванням.
Щоб увімкнути або вимкнути цю функцію, виконайте наведені нижче дії.
-
Натисніть кнопку Пуск і введіть "Ізоляція ядра".
-
Виберіть настройки системи "Ізоляція ядра" в результатах пошуку, щоб відкрити програму безпеки Windows.
На сторінці Ізоляція ядра ви знайдете захист стека в режимі ядра разом із перемикачем, щоб увімкнути або вимкнути його.
Щоб використовувати захист стека в режимі ядра, потрібно ввімкнути цілісність пам'яті , а також працювати з процесором, який підтримує технологію примусового застосування Intel Control-Flow або стек тіней AMD.
Що робити, якщо в мене є несумісний драйвер або служба?
Якщо не вдається ввімкнути захист стека в режимі ядра, можливо, ви вже інсталювали несумісний драйвер або службу пристрою. Зверніться до виробника пристрою або видавця програми, щоб дізнатися, чи доступний у них оновлений драйвер. Якщо у них немає сумісного драйвера, ви можете видалити пристрій або програму, яка використовує цей несумісний драйвер.
Деякі програми можуть інсталювати службу замість драйвера під час інсталяції програми та інсталювати драйвер, лише коли програму запущено. Для точнішого виявлення несумісних драйверів перелічено служби, які, як відомо, пов'язані з несумісними драйверами.
Примітка.: Якщо спробувати інсталювати пристрій або програму з несумісним драйвером після ввімкнення захисту стека в режимі ядра, може з'явитися таке саме повідомлення. Якщо так, застосовується та сама порада. Зверніться до виробника пристрою або видавця програми, щоб дізнатися, чи є у них оновлений драйвер, який можна завантажити, або не інсталюйте цей пристрій або програму, доки сумісний драйвер не буде доступний.
Захист доступу до пам'яті
Також відомий як "Kernel DMA protection" це захищає ваш пристрій від атак, які можуть виникнути, коли зловмисний пристрій підключено до порту PCI (peripheral Component Interconnect), як порт Thunderbolt.
Простим прикладом однієї з цих атак було б, якщо хтось залишає свій ПК для швидкої перерви на каву, і поки вони були відсутні, зловмисник крокує, підключає USB-пристрій і йде з конфіденційними даними з комп'ютера або вводить шкідливе програмне забезпечення, яке дозволяє їм керувати ПК віддалено.
Захист доступу до пам'яті запобігає цим видам атак, забороняючи прямий доступ до пам'яті на ці пристрої, за винятком особливих обставин, особливо коли ПК заблоковано або користувач вийшов із системи.
Радимо ввімкнути захист доступу до пам'яті.
Порада.: Щоб отримати докладніші відомості про це, див. статтю Захист DMA ядра.
Захист мікропрограми
Кожен пристрій має деяке програмне забезпечення, яке було написано лише для читання пам'яті пристрою - в основному написано на чіп на системній дошці - що використовується для основних функцій пристрою, таких як завантаження операційної системи, яка запускає всі програми, які ми звикли використовувати. Оскільки це програмне забезпечення важко (але не неможливо) змінити ми називаємо його мікропрограмою.
Оскільки мікропрограма спочатку завантажується та працює під операційною системою, засоби безпеки та функції, які працюють в операційній системі, важко виявити або захиститися від неї. Як будинок, який залежить від хорошого фундаменту, щоб бути безпечним, комп'ютер потребує його прошивки, щоб забезпечити безпеку операційної системи, програм і даних клієнтів на цьому комп'ютері.
Захисник Windows System Guard – це набір функцій, який допомагає гарантувати, що зловмисники не зможуть змусити ваш пристрій почати роботу з ненадійною або зловмисною мікропрограмою.
Радимо ввімкнути його, якщо ваш пристрій підтримує цю функцію.
Платформи, які пропонують захист мікропрограм, зазвичай також захищають режим керування системою (SMM), привілейований режим роботи, до різних ступенів. Ви можете очікувати одне з трьох значень із більшим числом, яке вказує на вищий ступінь захисту SMM:
-
Ваш пристрій відповідає версії захисту мікропрограми: вона пропонує засоби захисту системи безпеки, які допомагають SMM протистояти експлуатації зловмисним програмам і запобігає ексфільтруванню секретів з ОС (включно з VBS)
-
Ваш пристрій відповідає захисту мікропрограми версії 2: на додаток до захисту мікропрограми версії 1, версія 2 гарантує, що SMM не може вимкнути захист на основі віртуалізації (VBS) і Ядра DMA захисту
-
Ваш пристрій відповідає захисту мікропрограм версії 3: на додаток до захисту мікропрограми версії 2, він ще більше загартує SMM шляхом запобігання доступу до деяких реєстрів, які мають можливість поставити під загрозу ОС (в тому числі VBS)
Порада.: Якщо ви хочете отримати більш технічні відомості про це, див. Захисник Windows System Guard: Як апаратний корінь довіри допомагає захистити Windows
Microsoft Defender Credential Guard
Примітка.: Microsoft Defender Credential Guard відображається лише на пристроях із корпоративними версіями Windows 10 або 11.
Під час роботи на робочому або навчальному комп'ютері ви спокійно входитимете та отримуватимете доступ до різноманітних елементів, як-от файлів, принтерів, програм та інших ресурсів у вашій організації. Щоб зробити цей процес безпечним, але простий для користувача, це означає, що на комп'ютері є кілька маркерів автентифікації (які часто називають "секретами") на ньому в будь-який момент часу.
Якщо зловмисник може отримати доступ до одного або кількох секретів, вони можуть використовувати їх, щоб отримати доступ до ресурсів організації (конфіденційних файлів тощо), для яких використовується секрет. Microsoft Defender Credential Guard допомагає захистити ці секрети, поклавши їх у захищене, віртуалізоване середовище, де тільки певні служби можуть отримати доступ до них, коли це необхідно.
Радимо ввімкнути його, якщо ваш пристрій підтримує цю функцію.
Порада.: Щоб отримати докладніші відомості про цю функцію, див. статтю Як працює Засіб захисту облікових даних Захисника.
Список заблокованих драйверів (Microsoft)
Драйвер – це програмне забезпечення, яке дає змогу операційній системі (у цьому випадку Windows) і пристрою (наприклад, клавіатурі або веб-камері) розмовляти один з одним. Коли пристрій хоче, щоб Windows щось виправив за допомогою драйвера, надішліть цей запит. Через це драйвери мають великий конфіденційний доступ у вашій системі.
Починаючи з оновлення Windows 11 2022 року, ми маємо список заблокованих драйверів, які мають відомі вразливості системи безпеки, підписані за допомогою сертифікатів, які використовувалися для підписування зловмисного програмного забезпечення, або які обходять модель Безпека у Windows.
Якщо у вас увімкнуто цілісність пам'яті, режим Smart App Control або Windows S, вразливий список заблокованих драйверів також буде ввімкнуто.
