Защита на устройството в приложението Защита в Windows

Целостта на паметта, известна още като Цялост на кода, защитена с Hypervisor (HVCI), е функция за защита на Windows, която затруднява използването на драйвери от ниско ниво за злонамерени програми при отвличане на компютъра.

Драйверът е софтуер, който позволява на операционната система (Windows в този случай) и устройство (като клавиатура или уеб камера) да си говорят помежду си. Когато устройството иска Windows да направи нещо, то използва драйвера, за да изпрати това искане.

Целостта на паметта работи чрез създаване на изолирана среда с помощта на хардуерна виртуализация.

Мислете за това като за охранител в заключен щанд. Тази изолирана среда (заключената кабина в нашата аналогия) не позволява на функцията за цялост на паметта да бъде променяна от атакуващ. Програма, която иска да изпълни част от код, която може да е опасна, трябва да предаде кода на целостта на паметта вътре във виртуалната кабина, за да може да бъде проверена. Когато целостта на паметта е комфортно, че кодът е безопасен, кодът се връща към Windows за изпълнение. Обикновено това се случва много бързо.

Без да работи целостта на паметта, охраната се откроява директно на открито, където е много по-лесно атакуващият да се намеси или да саботира охраната, което улеснява злонамерения код да се промъкне и да предизвика проблеми.

Можете да включвате илиизключвате целостта на паметта с помощта на бутона за превключване.

Какво да направя, ако пише, че имам несъвместим драйвер?

Ако целостта на паметта не се включи, може да ви уведоми, че вече имате инсталиран несъвместим драйвер на устройство. Свържете се с производителя на устройството, за да проверите дали има наличен актуализиран драйвер. Ако те не разполагат с наличен съвместим драйвер, е възможно да можете да премахнете устройството или приложението, което използва този несъвместим драйвер.

Хардуерната наложена защита на стека е базирана на хардуер функция за защита, която затруднява използването на драйвери от ниско ниво за злонамерени програми при отвличане на компютъра.

Драйверът е софтуер, който позволява на операционната система (Windows в този случай) и устройство (като клавиатура или уеб камера) да си говорят помежду си. Когато устройството иска Windows да направи нещо, то използва драйвера, за да изпрати това искане.

Хардуерната наложена защита на стека работи, като предотвратява атаки, които променят върнати адреси в паметта на режима на ядрото, за да стартират злонамерен код. Тази функция за защита изисква ЦП, който съдържа възможност за проверка на обратните адреси на изпълняващ се код.

Когато се изпълнява код в режим на ядрото, върнатите адреси в стека на режима на ядрото могат да бъдат повредени от злонамерени програми или драйвери, за да се пренасочи нормалното изпълнение на код към злонамерен код. При поддържаните ЦП поддържа второ копие на валидни адреси на връщане на скрит стек само за четене, който драйверите не могат да модифицират. Ако е променен адрес на подателя в обикновения стек, централният процесор може да открие това несъответствие, като провери копието на адреса на подателя в стека със сенки. Когато възникне това несъответствие, компютърът подканва за стоп грешка, понякога известна като син екран, за да предотврати изпълнението на злонамерения код.

Не всички драйвери са съвместими с тази функция за защита, тъй като малък брой законни драйвери извършват промяна на адреса на подателя за злонамерени цели. Microsoft се ангажира с множество издатели на драйвери, за да гарантира, че най-новите им драйвери са съвместими с хардуерната наложена защита на стека.

Можете да включвате илиизключвате хардуерна наложена защита на стека с помощта на бутона за превключване.

За да използвате хардуерна наложена защита на стека, трябва да имате разрешена цялост на паметта и трябва да изпълнявате ЦП, който поддържа Intel Control-Flow Enforcement Technology или AMD Shadow Stack.

Какво да направя, ако пише, че имам несъвместим драйвер или услуга?

Ако хардуерната наложена защита на стека не се включи, може да ви уведоми, че имате вече инсталиран несъвместим драйвер или услуга на устройството. Свържете се с производителя на устройството или издателя на приложението, за да проверите дали има наличен актуализиран драйвер. Ако те не разполагат с наличен съвместим драйвер, е възможно да можете да премахнете устройството или приложението, което използва този несъвместим драйвер.

Някои приложения може да инсталират услуга вместо драйвер по време на инсталирането на приложението и да инсталират драйвера само когато приложението е стартирано. За по-точно откриване на несъвместими драйвери също се изброяват услуги, за които е известно, че са свързани с несъвместими драйвери.

Известна още като Защита на Ядрото DMA тази функция за защита защитава вашето устройство срещу атаки, които могат да възникнат, когато злонамерено устройство е включено в порт Peripheral Component Interconnect (PCI), като например Thunderbolt порт.

Прост пример за една от тези атаки би бил, ако някой остави компютъра си за бързо кафе и докато е отсъствал, атакуващ влиза, включва USB устройство и се отдалечава с чувствителни данни от машината или инжектира злонамерен софтуер, който му позволява да управлява компютъра дистанционно. 

Защитата на достъпа до паметта предотвратява тези видове атаки, като отказва директен достъп до паметта на тези устройства, освен при специални обстоятелства, особено когато компютърът е заключен или потребителят е излязъл.

Всяко устройство има някакъв софтуер, който е записан в паметта само за четене на устройството - основно записан в чип на системния табло - който се използва за основните функции на устройството, като например зареждане на операционната система, която изпълнява всички приложения, които сме свикнали да използваме. Тъй като този софтуер е трудно (но не и невъзможно) да се промени, ние го наричаме фърмуер.

Тъй като фърмуерът се зарежда първо и се изпълнява под операционната система, инструментите за защита и функциите, които се изпълняват в операционната система, са трудни за откриването му или защитата му. Подобно на къща, която зависи от добра основа, за да бъде защитен, компютърът се нуждае от сигурност на фърмуера, за да се гарантира, че операционната система, приложенията и данните на този компютър са в безопасност.

System Guard е набор от функции, който помага да се гарантира, че хакерите не могат да накарат вашето устройство да започне с ненадежден или злонамерен фърмуер.

Платформите, които предлагат защита на фърмуера, обикновено защитават режима на управление на системата (SMM) – високо привилегирован режим на работа – до различна степен. Можете да очаквате една от трите стойности, като по-голямо число показва по-голяма степен на SMM защита:

• Вашето устройство отговаря на версията за защита на фърмуера една: това предлага основополагащи смекчавания на защитата, за да помогне на SMM да устои на експлоатацията от злонамерен софтуер и предотвратява exfiltration of secrets from the OS (включително VBS)

• Вашето устройство отговаря на версия за защита на фърмуера две: в допълнение към версията за защита на фърмуера една версия две гарантира, че SMM не може да забрани защитата, базирана на виртуализация (VBS), и DMA защитите на ядрото

• Вашето устройство отговаря на версията за защита на фърмуера три: в допълнение към версията за защита на фърмуера две, допълнително втвърдява SMM чрез предотвратяване на достъпа до определени регистри, които имат възможност да компрометират операционната система (включително VBS)

Защитата на локалния орган за защита (LSA) е функция за защита на Windows, която предотвратява кражбата на идентификационни данни, използвани за влизане в Windows.   

Локалният орган за защита (LSA) е изключително важен процес в Windows, ангажиран с удостоверяването на потребителя. Той е отговорен за проверката на идентификационните данни по време на процеса на влизане и за управлението на маркерите за удостоверяване и билетите, използвани за разрешаване на еднократна идентификация за услуги. LSA защитата помага за предотвратяване на изпълнението на ненадежден софтуер в LSA или от достъп до LSA памет.  

Как да управлявам защитата на локалния орган за защита?

Можете да включите илиизключите защитата от LSA с помощта на превключващия бутон.

След като сте променили настройката, трябва да рестартирате, за да влезе в сила. 

Какво да направя, ако имам несъвместим софтуер? 

Ако защитата от LSA е разрешена и блокира зареждането на софтуер в услугата LSA, известие показва блокирания файл. Може да успеете да премахнете софтуера, който зарежда файла, или можете да забраните бъдещите предупреждения за този файл, когато той е блокиран от зареждане в LSA.  

Докато използвате вашето служебно или учебно устройство, ще влезете тихо и ще получите достъп до редица неща, като например файлове, принтери, приложения и други ресурси във вашата организация. Това да направите този процес защитен, но и лесен за потребителя, означава, че вашият компютър има редица маркери за удостоверяване на него във всеки един момент.

Ако атакуващият може да получи достъп до един или повече от тези маркери, той може да ги използва, за да получи достъп до организационния ресурс (поверителни файлове и т.н.), за който е маркерът. Credential Guard помага за защитата на тези маркери, като ги поставя в защитена, виртуализирана среда, в която само определени услуги имат достъп до тях, когато е необходимо.

Драйверът е софтуер, който позволява на операционната система (Windows в този случай) и устройство (като клавиатура или уеб камера) да си говорят помежду си. Когато устройството иска Windows да направи нещо, то използва драйвера, за да изпрати това искане. Поради това драйверите имат много чувствителен достъп във вашата система.

Windows 11 включва списък с блокирани драйвери, които имат известни уязвимости в защитата, са подписани със сертификати, използвани за подписване на злонамерен софтуер или които заобикалят Защита в Windows модел.

Ако имате включена цялост на паметта, управление на Smart App или режим на Windows S, уязвимият списък с блокирани драйвери също ще бъде включен.

Това е, където можете да намерите информация за производителя и номера на версията на процесора на защитата, както и за състоянието на процесора на защитата.

В приложението „Защита в Windows“ на вашия компютър изберете Данни за защитата  на устройството> Данни за процесора на защитата или използвайте следния пряк път:

Подробни данни за процесора на защитата

Ако процесорът на защитата не работи правилно, можете да изберете връзката отстраняване на неизправности на процесора на защитата, за да видите всички съобщения за грешка и разширени опции, или използвайте следния пряк път:

Отстраняване на неизправности в процесора на защитата

Страницата за отстраняване на неизправности на процесора на защитата предоставя всички съответни съобщения за грешка за TPM. Ето списък на съобщенията за грешка и подробни данни:

Съобщение	Подробности
Нужна е актуализация на фърмуера за вашия процесор на защитата (TPM).	В момента дънната платка на вашето устройство не поддържа TPM, но актуализацията на фърмуера може да разреши този проблем. Свържете се с производителя на устройството, за да проверите дали има налична актуализация на фърмуера и как да я инсталирате. Актуализациите на фърмуера обикновено са безплатни.
TPM е забранен и изисква внимание.	Модулът за надеждна платформа вероятно е изключен в BIOS на системата (основна входно-изходна система) или UEFI (унифициран разширяем интерфейс за фърмуер). Вижте документацията за поддръжка на производителя на устройството или се свържете с техническата поддръжка за инструкции как да я включите.
TPM мястото за съхранение не е налично. Изчистете TPM.	Бутонът за изчистване на TPM е на тази страница. Преди да продължите, трябва да се уверите, че разполагате с добро архивно копие на вашите данни.
Удостоверяването на изправността на устройството не е налично. Изчистете TPM.	Бутонът за изчистване на TPM е на тази страница. Преди да продължите, трябва да се уверите, че разполагате с добро архивно копие на вашите данни.
Удостоверяване на изправността на устройството не се поддържа на това устройство.	Това означава, че устройството не ни дава достатъчно информация, за да определим защо TPM може да не работи правилно на вашето устройство.
Вашият TPM не е съвместим с фърмуера и може да не работи правилно.	Свържете се с производителя на устройството, за да проверите дали има налична актуализация на фърмуера и как да я изтеглите и инсталирате. Актуализациите на фърмуера обикновено са безплатни.
Липсва регистрационен файл за премерено зареждане на TPM. Опитайте да рестартирате устройството си.
Има проблем с вашия TPM. Опитайте да рестартирате устройството си.

Ако все още срещате проблеми след адресиране на съобщение за грешка, се свържете с производителя на устройството за съдействие.

Изберете Изчистване на TPM, за да нулирате вашия процесор на защитата до настройките му по подразбиране.