Изолирането на ядра е функция за защита на Microsoft Windows, която защитава важните основни процеси на Windows от злонамерен софтуер, като ги изолира в паметта. Той прави това, като изпълнява тези основни процеси във виртуализирана среда.
Забележка: Това, което виждате на страницата изолиране на ядра, може да се различава малко в зависимост от версията на Windows, която използвате.
Цялост на паметта
Целостта на паметта, известна също като защитена с Hypervisor целостта на кода (HVCI), е функция за защита на Windows, която затруднява злонамерените програми да използват драйвери от ниско ниво, за да отвличат компютъра ви.
Драйверът е софтуер, който позволява на операционната система (Windows в този случай) и устройство (като клавиатура или уеб камера, в два примера) да си говорят. Когато устройството иска Windows да направи нещо, което използва драйвера, за да изпрати това искане.
Съвет: Искате да научите повече за драйверите? Вижте Какво е драйвер?
Целостта на паметта работи чрез създаване на изолирана среда с помощта на хардуерна виртуализация.
Мислете за това като за охранител в заключен щанд. Тази изолирана среда (заключената кабина в нашата аналогия) не позволява на функцията за цялост на паметта да бъде променяна от атакуващ. Програма, която иска да изпълни част от код, която може да е опасна, трябва да предаде кода на целостта на паметта вътре във виртуалната кабина, за да може да бъде проверена. Когато целостта на паметта е комфортно, че кодът е безопасен, кодът се връща към Windows за изпълнение. Обикновено това се случва много бързо.
Без да работи целостта на паметта, "охраната" се откроява директно на открито, където е много по-лесно атакуващият да се намеси или да саботира охраната, което улеснява злонамерения код да се промъкне и да причини проблеми.
Как да управлявам целостта на паметта?
В повечето случаи целостта на паметта е включена по подразбиране в Windows 11 и може да бъде включена за Windows 10.
За да го включите или изключите:
-
Изберете бутона Старт и въведете "Изолиране на ядра".
-
Изберете настройките на системата за изолиране на ядра от резултатите от търсенето, за да отворите приложението за защита на Windows.
На страницата Изолиране на ядра ще намерите Цялост на паметта заедно с превключвателя, за да го включите или изключите.
Важно: За безопасност препоръчваме функцията за цялост на паметта да е включена.
За да използвате целостта на паметта, трябва да имате разрешена хардуерна виртуализация в UEFI или BIOS на вашата система.
Какво да направя, ако пише, че имам несъвместим драйвер?
Ако целостта на паметта не успее да се включи, може да ви уведоми, че вече имате инсталиран несъвместим драйвер на устройство. Свържете се с производителя на устройството, за да проверите дали има наличен актуализиран драйвер. Ако те не разполагат с наличен съвместим драйвер, е възможно да можете да премахнете устройството или приложението, което използва този несъвместим драйвер.
Забележка: Ако се опитате да инсталирате устройство с несъвместим драйвер след включване на целостта на паметта, може да видите същото съобщение. Ако е така, се прилагат същите съвети – консултирайте се с производителя на устройството, за да проверите дали разполага с актуализиран драйвер, който можете да изтеглите, или не инсталирайте конкретното устройство, докато не е наличен съвместим драйвер.
Защита от стек, наложена от хардуера в режима на ядрото
Хардуерно наложена защита на стека в режим на ядрото е базирана на хардуер функция за защита на Windows, която затруднява използването на драйвери от ниско ниво за злонамерени програми при отвличане на компютъра.
Драйверът е софтуер, който позволява на операционната система (Windows в този случай) и устройство като клавиатура или уеб камера например да си говорят. Когато устройството иска Windows да направи нещо, което използва драйвера, за да изпрати това искане.
Съвет: Искате да научите повече за драйверите? Вижте Какво е драйвер?
Хардуерната защита срещу наслагване в режима на ядрото работи, като предотвратява атаки, които променят връщането на адреси в паметта за режима на ядрото, за да стартират злонамерен код. Тази функция за защита изисква ЦП, който съдържа възможност за проверка на обратните адреси на изпълняващ се код.
Когато се изпълнява код в режим на ядрото, върнатите адреси в стека на режима на ядрото могат да бъдат повредени от злонамерени програми или драйвери, за да се пренасочи нормалното изпълнение на код към злонамерен код. При поддържаните ЦП поддържа второ копие на валидни адреси на връщане на скрит стек само за четене, който драйверите не могат да модифицират. Ако е променен адрес на подателя в обикновения стек, централният процесор може да открие това несъответствие, като провери копието на адреса на подателя в стека със сенки. Когато възникне това несъответствие, компютърът подканва за стоп грешка, понякога известна като син екран, за да предотврати изпълнението на злонамерения код.
Не всички драйвери са съвместими с тази функция за защита, тъй като малък брой законни драйвери извършват промяна на адреса на подателя за злонамерени цели. Microsoft се ангажира с множество издатели на драйвери, за да гарантира, че най-новите им драйвери са съвместими с хардуерната защита на стека, наложена от хардуера в режима на ядрото.
Как да управлявам хардуерна защита на стека в режима на ядрото?
Хардуерната защита на стека, наложена от хардуера, е изключена по подразбиране.
За да го включите или изключите:
-
Изберете бутона Старт и въведете "Изолиране на ядра".
-
Изберете настройките на системата за изолиране на ядра от резултатите от търсенето, за да отворите приложението за защита на Windows.
На страницата Изолиране на ядра ще намерите Защита от хардуер, наложена от хардуера на режима на ядрото , заедно с превключвателя, за да я включите или изключите.
За да използвате защита на стека, наложена от хардуера на режима на ядрото, трябва да имате разрешена цялост на паметта и трябва да изпълнявате ЦП, който поддържа intel Control-Flow Enforcement Technology или AMD Shadow Stack.
Какво да направя, ако пише, че имам несъвместим драйвер или услуга?
Ако хардуерно наложена от хардуера защита на ядрото не успее да се включи, може да ви каже, че имате вече инсталиран несъвместим драйвер или услуга на устройство. Свържете се с производителя на устройството или издателя на приложението, за да проверите дали има наличен актуализиран драйвер. Ако те не разполагат с наличен съвместим драйвер, е възможно да можете да премахнете устройството или приложението, което използва този несъвместим драйвер.
Някои приложения може да инсталират услуга вместо драйвер по време на инсталирането на приложението и да инсталират драйвера само когато приложението е стартирано. За по-точно откриване на несъвместими драйвери също се изброяват услуги, за които е известно, че са свързани с несъвместими драйвери.
Забележка: Ако се опитате да инсталирате устройство или приложение с несъвместим драйвер след включване на Защита на набор, наложена от хардуер в режима на ядрото, може да видите същото съобщение. Ако е така, се прилагат същите съвети – консултирайте се с производителя на устройството или издателя на приложението, за да проверите дали има актуализиран драйвер, който можете да изтеглите, или не инсталирайте конкретното устройство или приложение, докато не е наличен съвместим драйвер.
Защита на достъпа до паметта
Известно още като "Защита на Ядрото DMA", това защитава вашето устройство от атаки, които могат да възникнат, когато злонамерено устройство е включено в ПОРТ PCI (Peripheral Component Interconnect), като например Thunderbolt порт.
Прост пример за една от тези атаки би бил, ако някой остави компютъра си за бързо кафе и докато е отсъствал, атакуващ влиза, включва USB устройство и се отдалечава с чувствителни данни от машината или инжектира злонамерен софтуер, който му позволява да управлява компютъра дистанционно.
Защитата на достъпа до паметта предотвратява тези видове атаки, като отказва директен достъп до паметта на тези устройства, освен при специални обстоятелства, особено когато компютърът е заключен или потребителят е излязъл.
Препоръчваме защитата на достъпа до паметта да е включена.
Съвет: Ако искате повече технически подробности за това, вижте DMA защита на ядрото.
Защита на фърмуера
Всяко устройство има някакъв софтуер, който е записан в паметта само за четене на устройството - основно записан в чип на системния табло - който се използва за основните функции на устройството, като например зареждане на операционната система, която изпълнява всички приложения, които сме свикнали да използваме. Тъй като този софтуер е трудно (но не и невъзможно) да се промени, ние го наричаме фърмуер.
Тъй като фърмуерът се зарежда първо и се изпълнява под операционната система, инструментите за защита и функциите, които се изпълняват в операционната система, са трудни за откриването му или защитата му. Подобно на къща, която зависи от добра основа, за да бъде защитен, компютърът се нуждае от защита на фърмуера, за да се гарантира, че операционната система, приложенията и клиентските данни на този компютър са в безопасност.
Windows Defender System Guard е набор от функции, който помага да се гарантира, че хакерите не могат да накарат вашето устройство да започне с ненадежден или злонамерен фърмуер.
Препоръчваме ви да го включите, ако вашето устройство го поддържа.
Платформите, които предлагат защита на фърмуера, обикновено защитават режима на управление на системата (SMM) – високо привилегирован режим на работа – до различна степен. Можете да очаквате една от трите стойности, като по-голямо число показва по-голяма степен на SMM защита:
-
Вашето устройство отговаря на версията за защита на фърмуера една: това предлага основополагащи смекчавания на защитата, за да помогне на SMM да устои на експлоатацията от злонамерен софтуер и предотвратява exfiltration of secrets from the OS (включително VBS)
-
Вашето устройство отговаря на версия за защита на фърмуера две: в допълнение към версията за защита на фърмуера една версия две гарантира, че SMM не може да забрани защитата, базирана на виртуализация (VBS), и DMA защитите на ядрото
-
Вашето устройство отговаря на версията за защита на фърмуера три: в допълнение към версията за защита на фърмуера две, допълнително втвърдява SMM чрез предотвратяване на достъпа до определени регистри, които имат възможност да компрометират операционната система (включително VBS)
Съвет: Ако искате повече технически подробности относно това, вижте Windows Defender System Guard: Как хардуерно базиран корен на доверие помага за защитата на Windows
Локална защита на органа за защита
Защитата на локалния орган за защита (LSA) е функция за защита на Windows, която предотвратява кражбата на идентификационни данни, използвани за влизане в Windows.
Локалният орган за защита (LSA) е изключително важен процес в Windows, ангажиран с удостоверяването на потребителя. Той е отговорен за проверката на идентификационните данни по време на процеса на влизане и за управлението на маркерите за удостоверяване и билетите, използвани за разрешаване на еднократна идентификация за услуги. LSA защитата помага за предотвратяване на изпълнението на ненадежден софтуер в LSA или от достъп до LSA памет.
Как да управлявам защитата на локалния орган за защита
Защитата от LSA е включена по подразбиране на нови инсталации на Windows 11, версии 22H2 и 23H2 на устройства, управлявани от предприятие. Той е включен по подразбиране за всички нови инсталации на Windows 11, версия 24H2 и по-нови.
Ако надстройвате до Windows 11 24H2 и LSA защитата все още не е разрешена, LSA защитата ще се опита да се разреши след надстройката. Защитата на LSA ще влезе в режим на оценка след надстройката и ще провери за проблеми със съвместимостта в рамките на 5-дневен период. Ако няма открити проблеми, защитата от LSA ще се включи автоматично при следващото ви рестартиране, след като прозорецът за оценка приключи.
За да го включите или изключите:
-
Изберете Старт в лентата на задачите и въведете "Изолиране на ядра".
-
Изберете настройките на системата за изолиране на ядра от резултатите от търсенето, за да отворите приложението за защита на Windows.
На страницата Изолиране на ядра ще намерите Защита на локалния орган за защита заедно с превключвателя, за да го включите или изключите. След като сте променили настройката, трябва да рестартирате, за да влезе в сила.
Какво да направя, ако имам несъвместим софтуер?
Ако защитата от LSA е разрешена и блокира зареждането на софтуер в услугата LSA, ще се покаже известие, което показва блокирания файл. Може да успеете да премахнете софтуера, който зарежда файла, или можете да забраните бъдещи предупреждения за този файл, когато той е блокиран от зареждане в LSA.
Microsoft Defender Credential Guard
Забележка: Microsoft Defender Credential Guard се показва само на устройства, работещи с корпоративни версии на Windows 10 или 11.
Докато използвате вашия служебен или учебен компютър, тихо ще влезете и ще получите достъп до редица неща, като например файлове, принтери, приложения и други ресурси във вашата организация. Това да направите този процес защитен, но лесен за потребителя, означава, че на компютъра ви има редица маркери за удостоверяване (често наричани "тайни") в него по всяко време.
Ако атакуващ може да получи достъп до една или повече от тези тайни, той може да ги използва, за да получи достъп до организационния ресурс (поверителни файлове и т.н.), за който е тайната. Microsoft Defender Credential Guard помага за защитата на тези тайни, като ги поставя в защитена, виртуализирана среда, в която само определени услуги имат достъп до тях, когато е необходимо.
Препоръчваме ви да го включите, ако вашето устройство го поддържа.
Съвет: Ако искате повече технически подробности за това, вижте Как работи Defender Credential Guard.
Списък с блокирани драйвери на Microsoft Уязвими
Драйверът е софтуер, който позволява на операционната система (Windows в този случай) и устройство (като клавиатура или уеб камера, в два примера) да си говорят. Когато устройството иска Windows да направи нещо, което използва драйвера, за да изпрати това искане. Поради това драйверите имат много чувствителен достъп във вашата система.
Започвайки с актуализацията на Windows 11 2022, вече имаме списък с драйвери, които имат известни уязвимости в защитата, подписани със сертификати, които са били използвани за подписване на злонамерен софтуер или които заобикалят модела за защита на Windows.
Ако имате включена цялост на паметта, управление на Smart App или режим на Windows S, уязвимият списък с блокирани драйвери също ще бъде включен.