Device Security v aplikaci Zabezpečení Windows

Integrita paměti, označovaná také jako HVCI (Hypervisor-protected Code Integrity), je funkce zabezpečení Windows, která škodlivým programům znesnadňuje použití ovladačů nízké úrovně k napadení počítače.

Ovladač je software, který umožňuje operačnímu systému (v tomto případě Windows) a zařízení (například klávesnici nebo webkameru) vzájemně komunikovat. Když zařízení chce, aby systém Windows něco udělal, odešle k odeslání žádosti ovladač.

Integrita paměti funguje vytvořením izolovaného prostředí s využitím virtualizace hardwaru.

Představte si to jako bezpečnostní ochranu uvnitř uzamčeného stánku. Toto izolované prostředí (uzamčený stánek v naší analogii) brání útočníkovi v manipulaci s funkcí integrity paměti. Program, který chce spustit část kódu, která může být nebezpečná, musí předat kód integritě paměti uvnitř tohoto virtuálního stánku, aby ho bylo možné ověřit. Jakmile se integrita paměti přesvědčí, že je kód bezpečný, předá jej zpět systému Windows ke spuštění. Obvykle k tomu dochází velmi rychle.

Bez spuštěné integrity paměti stojí ochrana zabezpečení přímo na otevřeném místě, kde je pro útočníka mnohem jednodušší zasahovat do ochrany nebo ji sabotovat, což usnadňuje proniknutí škodlivého kódu kolem a způsobit problémy.

Integritu paměti můžete zapnout nebo vypnout pomocí přepínacího tlačítka.

Co když se zobrazí zpráva, že mám nekompatibilní ovladač?

Pokud se integritu paměti nepodaří zapnout, může vám to oznámit, že už máte nainstalovaný nekompatibilní ovladač zařízení. Obraťte se na výrobce zařízení a zjistěte, jestli má k dispozici aktualizovaný ovladač. Pokud nemá k dispozici kompatibilní ovladač, možná budete moct odebrat zařízení nebo aplikaci, která tento nekompatibilní ovladač používá.

Hardwarově vynucená ochrana zásobníku je funkce zabezpečení založená na hardwaru, která škodlivým programům znesnadňuje použití ovladačů nízké úrovně k napadení počítače.

Ovladač je software, který umožňuje operačnímu systému (v tomto případě Windows) a zařízení (například klávesnici nebo webkameru) vzájemně komunikovat. Když zařízení chce, aby systém Windows něco udělal, odešle k odeslání žádosti ovladač.

Hardwarově vynucená ochrana zásobníku funguje tak, že brání útokům, které upravují návratové adresy v paměti v režimu jádra a spouštějí škodlivý kód. Tato funkce zabezpečení vyžaduje procesor, který obsahuje možnost ověřit návratové adresy spuštěného kódu.

Při spouštění kódu v režimu jádra můžou být návratové adresy v zásobníku režimu jádra poškozeny škodlivými programy nebo ovladači, aby se normální spouštění kódu přesměrovalo na škodlivý kód. Na podporovaných procesorech udržuje procesor druhou kopii platných návratových adres ve stínovém zásobníku jen pro čtení, který ovladače nemohou upravovat. Pokud byla změněna zpáteční adresa v běžném zásobníku, procesor může zjistit tuto nesrovnalost tím, že zkontroluje kopii zpáteční adresy ve stínovém zásobníku. Když dojde k této nesrovnalosti, počítač zobrazí výzvu k chybě Stop, která se někdy označuje jako modrá obrazovka, aby se zabránilo spuštění škodlivého kódu.

Ne všechny ovladače jsou kompatibilní s touto funkcí zabezpečení, protože malý počet legitimních ovladačů se zabývá úpravou zpáteční adresy pro nezlými účely. Společnost Microsoft spolupracuje s řadou vydavatelů ovladačů, aby zajistila, že jejich nejnovější ovladače jsou kompatibilní s hardwarem vynucenou ochranou zásobníku.

Hardwarově vynucenou ochranu zásobníku můžete zapnout nebo vypnout pomocí přepínacího tlačítka.

Pokud chcete používat hardwarově vynucenou ochranu zásobníku, musíte mít povolenou integritu paměti a musíte mít procesor, který podporuje technologii Intel Control-Flow Enforcement Technology nebo AMD Shadow Stack.

Co když se zobrazí zpráva, že mám nekompatibilní ovladač nebo službu?

Pokud se nepodaří zapnout hardwarově vynucenou ochranu zásobníku, může se stát, že už máte nainstalovaný nekompatibilní ovladač nebo službu. Obraťte se na výrobce zařízení nebo vydavatele aplikace a zjistěte, jestli není k dispozici aktualizovaný ovladač. Pokud nemají k dispozici kompatibilní ovladač, možná budete moct odebrat zařízení nebo aplikaci, které tento nekompatibilní ovladač používají.

Některé aplikace můžou během instalace aplikace nainstalovat službu místo ovladače a ovladač nainstalovat pouze při spuštění aplikace. Pro přesnější detekci nekompatibilních ovladačů se také zobrazí výčet služeb, o kterých se ví, že jsou přidružené k nekompatibilním ovladačům.

Tato funkce zabezpečení, která se označuje také jako ochrana DMA jádra, chrání vaše zařízení před útoky, ke kterým může dojít, když je škodlivé zařízení zapojené do portu PCI (Peripheral Component Interconnect), jako je port Thunderbolt.

Jednoduchým příkladem jednoho z těchto útoků by bylo, kdyby někdo opustil počítač na krátkou přestávku na kávu, a zatímco je pryč, útočník připojí USB zařízení a odebere z počítače citlivá data nebo vloží malware, který mu umožní ovládat počítač vzdáleně. 

Ochrana přístupu do paměti brání těmto druhům útoků tím, že těmto zařízením odepře přímý přístup k paměti s výjimkou zvláštních okolností, zejména když je počítač uzamčený nebo je uživatel odhlášený.

Každé zařízení má nějaký software, který by zapsán do paměti zařízení jen pro čtení (v podstatě je zapsaný na čipu na systémové desce) a který se používá pro základní funkce zařízení, jako je načítání operačního systému, na kterém běží všechny aplikace, jež běžně používáme. Vzhledem k tomu, že tento software je obtížné (ale ne nemožné) upravit, označujeme ho jako firmware.

Vzhledem k tomu, že se firmware načte jako první a běží v operačním systému, nástroje a funkce zabezpečení, které běží v operačním systému, ho obtížně dokážou rozpoznat nebo se proti němu bránit. Stejně jako dům, který závisí na dobrém základu, aby byl zabezpečený, potřebuje počítač svůj firmware, aby byl zabezpečený, aby se zajistilo, že operační systém, aplikace a data na tomto počítači jsou v bezpečí.

Ochrana System Guard je sada funkcí, které pomáhají zajistit, aby útočníci nemohli vaše zařízení začít používat nedůvěryhodný nebo škodlivý firmware.

Platformy, které nabízejí ochranu firmwaru, jsou obvykle v různé míře chráněny také Režimem správy systému(SMM), vysoce privilegovaným provozním režimem. Můžete očekávat jednu ze tří hodnot, přičemž vyšší číslo znamená vyšší stupeň ochrany pomocí SMM:

• Zařízení vyhovuje ochraně před narušeným firmwarem verze jedna: nabízí základní bezpečnostní opatření, která pomáhají SMM odolávat zneužití malwarem a zabraňují exfiltraci tajemství z operačního systému (včetně VBS).

• Zařízení vyhovuje ochraně před narušeným firmwarem verze dvě: vedle ochrany před narušeným firmwarem verze jedna zajišťuje druhá verze, že SMM nemůže vypnout zabezpečení založené na virtualizaci (VBS) a ochranu jádra DMA.

• Zařízení vyhovuje ochraně před narušeným firmwarem verze tři: vedle ochrany před narušeným firmwarem verze dvě dále posiluje SMM tím, že zabraňuje přístupu k určitým registrům, které mohou ohrozit operační systém (včetně VBS).

Ochrana místního úřadu zabezpečení (LSA) je funkce zabezpečení Windows, která pomáhá zabránit krádeži přihlašovacích údajů používaných pro přihlášení k Windows.   

Místní autorita zabezpečení (LSA) je zásadní proces ve Windows, který se podílí na ověřování uživatelů. Zodpovídá za ověření přihlašovacích údajů během procesu přihlášení a správu ověřovacích tokenů a lístků používaných k povolení jednotného přihlašování pro služby. Ochrana LSA pomáhá zabránit spuštění nedůvěryhodného softwaru v rámci LSA nebo přístupu k paměti LSA.  

Návody spravovat ochranu místního úřadu zabezpečení?

Ochranu LSA můžete zapnout nebo vypnout pomocí přepínacího tlačítka.

Po změně nastavení musíte restartovat, aby se toto nastavení projevilo. 

Co když mám nekompatibilní software? 

Pokud je povolená ochrana LSA a blokuje načítání softwaru do služby LSA, oznámení indikuje blokovaný soubor. Software, který soubor načítá, můžete odebrat, nebo můžete zakázat budoucí upozornění pro tento soubor, když se jeho načítání do LSA zablokuje.  

Když používáte pracovní nebo školní zařízení, bude se k němu v klidu přihlašovat a získávat přístup k různým věcem, jako jsou soubory, tiskárny, aplikace a další prostředky ve vaší organizaci. Pokud chcete, aby byl tento proces pro uživatele zabezpečený, ale zároveň snadný, znamená to, že váš počítač bude mít v každém okamžiku řadu ověřovacích tokenů.

Pokud útočník může získat přístup k jednomu nebo více z těchto tokenů, může je použít k získání přístupu k prostředkům organizace (citlivým souborům atd.), pro které je token určený. Ochrana Credential Guard pomáhá chránit tyto tokeny tím, že je umístí do chráněného virtualizovaného prostředí, kde k nim mají v případě potřeby přístup jenom některé služby.

Ovladač je software, který umožňuje operačnímu systému (v tomto případě Windows) a zařízení (například klávesnici nebo webkameru) vzájemně komunikovat. Když zařízení chce, aby systém Windows něco udělal, odešle k odeslání žádosti ovladač. Z tohoto důvodu mají ovladače v systému velký citlivý přístup.

Windows 11 obsahuje seznam blokovaných ovladačů, které mají známé chyby zabezpečení, jsou podepsané certifikáty používanými k podepsání malwaru nebo obcházejí Zabezpečení Windows model.

Pokud máte zapnutou Integritu paměti, Inteligentní řízení aplikací nebo Režim S systému Windows, bude také zapnutý seznam blokovaných ovladačů, které jsou zranitelné.

Tady najdete informace o výrobci zabezpečeného procesoru, o číslech verzí a také o stavu zabezpečeného procesoru.

V aplikaci Zabezpečení Windows na počítači vyberte Podrobnosti o procesoruzabezpečení  zařízení> zabezpečení nebo použijte následující zástupce:

Podrobnosti o procesoru zabezpečení

Pokud váš procesor zabezpečení nefunguje správně, můžete vybrat odkaz Řešení potíží s procesorem zabezpečení a zobrazit všechny chybové zprávy a pokročilé možnosti nebo použít následující zástupce:

Řešení potíží s procesorem zabezpečení

Na stránce pro řešení potíží s procesorem zabezpečení najdete všechny relevantní chybové zprávy týkající se čipu TPM. Tady je seznam chybových zpráv a podrobnosti:

Zpráva	Podrobnosti
Procesor zabezpečení (čip TPM) vyžaduje aktualizaci firmwaru.	Zdá se, že základní deska vašeho zařízení v současné době nepodporuje čip TPM, ale může to vyřešit aktualizace firmwaru. Obraťte se na výrobce zařízení a zjistěte, jestli je k dispozici aktualizace firmwaru a jak ji nainstalovat. Aktualizace firmwaru jsou obvykle zdarma.
Čip TPM je zakázaný a vyžaduje pozornost.	Modul důvěryhodné platformy je pravděpodobně vypnutý v systému BIOS (Basic Input/Output System) nebo UEFI (Unified Extensible Firmware Interface). Pokyny k zapnutí najdete v dokumentaci podpory výrobce zařízení nebo se obraťte na technickou podporu.
Úložiště TPM není k dispozici. Vymažte prosím čip TPM.	Tlačítko Vymazat čip TPM je na této stránce. Než budete pokračovat, ujistěte se, že máte dobrou zálohu dat.
Ověření stavu zařízení není k dispozici. Vymažte prosím čip TPM.	Tlačítko Vymazat čip TPM je na této stránce. Než budete pokračovat, ujistěte se, že máte dobrou zálohu dat.
Ověření stavu zařízení není na tomto zařízení podporováno.	To znamená, že nám zařízení neposkytuje dostatek informací, abychom zjistili, proč čip TPM na vašem zařízení nefunguje správně.
Čip TPM není kompatibilní s firmwarem a nemusí správně fungovat.	Zjistěte u výrobce zařízení, jestli je k dispozici aktualizace firmwaru a jak ji získat a nainstalovat. Aktualizace firmwaru jsou obvykle zdarma.
Chybí protokol ověřovaného spouštění čipu TPM. Zkuste zařízení restartovat.
Došlo k problému s čipem TPM. Zkuste zařízení restartovat.

Pokud budete mít po vyřešení některé chybové zprávy nadále potíže, požádejte o pomoc výrobce vašeho zařízení.

Výběrem možnosti Vymazat TPM obnovíte výchozí nastavení zabezpečeného procesoru.