Enhedssikkerhed i appen Windows Sikkerhed

Hukommelsesintegritet, også kaldet HVCI (Hypervisor-protected Code Integrity), er en Windows-sikkerhedsfunktion, der gør det svært for skadelige programmer at bruge drivere på lavt niveau til at kapre din pc.

En driver er et stykke software, der lader operativsystemet (Windows i dette tilfælde) og en enhed (f.eks. et tastatur eller et webcam) tale med hinanden. Når enheden ønsker, at Windows skal foretage sig noget, bruges driveren til at sende anmodningen.

Hukommelsesintegritet fungerer ved at oprette et isoleret miljø ved hjælp af hardwarevirtualisering.

Tænk på det som en sikkerhedsvagt inde i en låst bås. Dette isolerede miljø (den låste stand i vores analogi) forhindrer hukommelsesintegritetsfunktionen i at blive ændret af en hacker. Et program, der ønsker at køre et stykke kode, som kan være farlig, skal videregive koden til hukommelsesintegritet inde i den virtuelle stand, så den kan verificeres. Når hukommelsesintegritet er sikker på, at koden er sikker, bliver koden tilbage til Windows for at køre. Dette sker typisk meget hurtigt.

Uden at køre hukommelsesintegritet står sikkerhedsvagten helt ude i det fri, hvor det er meget nemmere for en hacker at forstyrre eller ødelægge vagten, hvilket gør det nemmere for ondsindet kode at snige sig forbi og forårsage problemer.

Du kan slå hukommelsesintegritet til eller fra ved hjælp af til/fra-knappen.

Hvad nu, hvis der står, at jeg har en inkompatibel driver?

Hvis hukommelsesintegritet ikke aktiveres, kan den fortælle dig, at du allerede har installeret en inkompatibel enhedsdriver. Kontakt producenten af enheden for at se, om der findes en opdateret driver. Hvis de ikke har en kompatibel driver tilgængelig, kan du muligvis fjerne den enhed eller app, der bruger den inkompatible driver.

Hardware gennemtvunget stakbeskyttelse er en hardwarebaseret sikkerhedsfunktion, der gør det svært for skadelige programmer at bruge drivere på lavt niveau til at kapre din pc.

En driver er et stykke software, der lader operativsystemet (Windows i dette tilfælde) og en enhed (f.eks. et tastatur eller et webcam) tale med hinanden. Når enheden ønsker, at Windows skal foretage sig noget, bruges driveren til at sende anmodningen.

Hardware gennemtvunget stakbeskyttelse fungerer ved at forhindre angreb, der ændrer returadresser i kernetilstandshukommelse, for at starte skadelig kode. Denne sikkerhedsfunktion kræver en CPU, der indeholder mulighed for at bekræfte returadresserne på den kørende kode.

Når du eksekverer kode i kernetilstand, kan returadresser i kernetilstandsstakken blive beskadiget af skadelige programmer eller drivere for at omdirigere normal udførelse af kode til skadelig kode. På understøttede CPU'er vedligeholder CPU'en en anden kopi af gyldige returadresser i en skrivebeskyttet skyggestak, som driverne ikke kan ændre. Hvis en afsenderadresse på den almindelige stak er blevet ændret, kan CPU'en registrere denne uoverensstemmelse ved at kontrollere kopien af afsenderadressen i skyggestakken. Når denne uoverensstemmelse opstår, beder computeren om en stopfejl, også kaldet en blå skærm, for at forhindre, at den skadelige kode udføres.

Ikke alle drivere er kompatible med denne sikkerhedsfunktion, da et lille antal legitime drivere foretager ændring af afsenderadresse til ikke-skadelige formål. Microsoft har kommunikeret med mange driverudgivere for at sikre, at deres nyeste drivere er kompatible med hardware gennemtvunget stakbeskyttelse.

Du kan slå hardware gennemtvunget stakbeskyttelse til eller fra ved hjælp af til/fra-knappen.

Hvis du vil bruge hardware gennemtvunget stakbeskyttelse, skal hukommelsesintegritet være aktiveret, og du skal køre en CPU, der understøtter Intel Control-Flow Enforcement Technology eller AMD Shadow Stack.

Hvad nu, hvis der står, at jeg har en inkompatibel driver eller tjeneste?

Hvis hardware gennemtvunget stakbeskyttelse ikke kan aktiveres, kan det fortælle dig, at du allerede har en inkompatibel enhedsdriver eller tjeneste installeret. Kontakt producenten af enheden eller programudgiveren for at se, om de har en opdateret driver tilgængelig. Hvis de ikke har en kompatibel driver tilgængelig, kan du muligvis fjerne den enhed eller app, der bruger den inkompatible driver.

Nogle programmer installerer muligvis en tjeneste i stedet for en driver under programmets installation og installerer kun driveren, når programmet startes. For at få en mere nøjagtig registrering af inkompatible drivere optæeres tjenester, der vides at være knyttet til inkompatible drivere, også.

Denne sikkerhedsfunktion, der også kaldes Kerne-DMA-beskyttelse, beskytter enheden mod angreb, der kan opstå, når en skadelig enhed er tilsluttet en PCI-port (Peripheral Component Interconnect), f.eks. en Thunderbolt-port.

Et enkelt eksempel på et af disse angreb ville være, hvis nogen forlader deres pc for at få en hurtig kaffepause, og mens de var væk, træder en hacker ind, tilslutter en USB-lignende enhed og går væk med følsomme data fra maskinen eller indsætter malware, der giver dem mulighed for at styre pc'en eksternt. 

Beskyttelse af hukommelsesadgang forhindrer disse typer angreb ved at nægte direkte adgang til hukommelsen til disse enheder, undtagen under særlige omstændigheder, især når pc'en er låst, eller brugeren er logget af.

Hver enhed har noget software, der er blevet skrevet til enhedens skrivebeskyttede hukommelse – dybest set skrevet til en chip på systemtavlen – der bruges til enhedens grundlæggende funktioner, f.eks. indlæsning af operativsystemet, der kører alle de apps, vi er vant til at bruge. Da denne software er vanskelig (men ikke umuligt) at ændre, henviser vi til den som firmware.

Da firmwaren indlæses først og kører under operativsystemet, har sikkerhedsværktøjer og funktioner, der kører i operativsystemet, svært ved at registrere den eller forsvare sig mod den. Ligesom et hus, der afhænger af et godt fundament for at være sikkert, en computer har brug for sin firmware for at være sikker for at sikre, at operativsystemet, programmer og data på den pågældende computer er sikre.

System Guard er et sæt funktioner, der hjælper med at sikre, at hackere ikke kan få din enhed til at starte med upålidelig eller skadelig firmware.

Platforme, der tilbyder firmwarebeskyttelse, beskytter typisk også SMM ( System Management Mode ), som er en meget privilegeret operativsystemtilstand, i varierende grader. Du kan forvente en af de tre værdier, hvor et højere tal angiver en større grad af SMM-beskyttelse:

• Din enhed opfylder firmwarebeskyttelsesversionen: Dette giver de grundlæggende sikkerhedsafhjælpninger, der kan hjælpe SMM med at modstå udnyttelse af malware, og forhindrer eksfiltrering af hemmeligheder fra operativsystemet (herunder VBS)

• Din enhed opfylder firmwarebeskyttelsesversion to: Ud over firmwarebeskyttelsesversion 1 sikrer version 2, at SMM ikke kan deaktivere virtualiseringsbaseret sikkerhed (VBS) og kerne-DMA-beskyttelse

• Din enhed opfylder firmwarebeskyttelsesversion tre: Ud over firmwarebeskyttelsesversion to hærder den yderligere SMM ved at forhindre adgang til visse registre, der har mulighed for at kompromittere operativsystemet (herunder VBS)

Lokal sikkerhedsautoritetsbeskyttelse (LSA) er en Windows-sikkerhedsfunktion, der hjælper med at forhindre tyveri af legitimationsoplysninger, der bruges til at logge på Windows.   

Den lokale sikkerhedsautoritet (LSA) er en vigtig proces i Windows, der er involveret i brugergodkendelse. Det er ansvarlig for at bekræfte legitimationsoplysninger under logonprocessen og administrere godkendelsestokens og billetter, der bruges til at aktivere enkeltlogon for tjenester. LSA-beskyttelse forhindrer upålidelig software i at køre inde i LSA eller i at få adgang til LSA-hukommelse.  

Hvordan gør jeg administrere beskyttelse af de lokale sikkerhedsmyndigheder?

Du kan slå LSA-beskyttelse til eller fra ved hjælp af til/fra-knappen.

Når du har ændret indstillingen, skal du genstarte computeren, før den træder i kraft. 

Hvad gør jeg, hvis jeg har inkompatibel software? 

Hvis LSA-beskyttelse er aktiveret, og det blokerer indlæsning af software i LSA-tjenesten, angiver en meddelelse den blokerede fil. Du kan muligvis fjerne den software, der indlæser filen, eller du kan deaktivere fremtidige advarsler for den pågældende fil, når den er blokeret fra at blive indlæst i LSA.  

Mens du bruger din arbejds- eller skoleenhed, logges den stille og roligt på og får adgang til en række forskellige ting, f.eks. filer, printere, apps og andre ressourcer i organisationen. Hvis du gør denne proces sikker, men nem for brugeren, betyder det, at din pc har en række godkendelsestokens på den på et givet tidspunkt.

Hvis en hacker kan få adgang til et eller flere af disse tokens, kan de muligvis bruge dem til at få adgang til den organisationsressource (følsomme filer osv.), som tokenet er beregnet til. Credential Guard hjælper med at beskytte disse tokens ved at placere dem i et beskyttet, virtualiseret miljø, hvor kun visse tjenester kan få adgang til dem, når det er nødvendigt.

En driver er et stykke software, der lader operativsystemet (Windows i dette tilfælde) og en enhed (f.eks. et tastatur eller et webcam) tale med hinanden. Når enheden ønsker, at Windows skal foretage sig noget, bruges driveren til at sende anmodningen. På grund af dette har drivere en masse følsom adgang i dit system.

Windows 11 indeholder en blokeringsliste over drivere, der har kendte sikkerhedsrisici, er signeret med certifikater, der bruges til at signere malware, eller som omgår Windows Sikkerhed modellen.

Hvis du har aktiveret hukommelsesintegritet, Smart App Control eller Windows S-tilstand, vil den sårbare driverblokeringsliste også være slået til.

Her finder du oplysninger om producenten af og versionsnumre for sikkerhedsmodulet samt oplysninger om status for sikkerhedsmodulet.

I appen Windows Sikkerhed på din pc vælg Enhedssikkerhed > Oplysninger om sikkerhedsmodul, eller brug følgende genvej:

Oplysninger om sikkerhedsmodul

Hvis sikkerhedsmodulet ikke fungerer korrekt, kan du vælge linket Fejlfinding af sikkerhedsmodul for at få vist eventuelle fejlmeddelelser og avancerede indstillinger eller bruge følgende genvej:

Fejlfinding af sikkerhedsmodul

Fejlfindingssiden for sikkerhedsmodulet indeholder relevante fejlmeddelelser om TPM. Her er en liste over fejlmeddelelser og detaljer:

Meddelelse	Oplysninger
Der kræves en firmwareopdatering til sikkerhedsmodulet (TPM).	Enhedens bundkort ser ikke ud til at understøtte TPM i øjeblikket, men en firmwareopdatering kan muligvis løse dette. Kontakt producenten af enheden for at se, om der findes en firmwareopdatering, og hvordan du installerer den. Firmwareopdateringer er normalt gratis.
TPM er deaktiveret og kræver opmærksomhed.	Det platformmodul, der er tillid til, er sandsynligvis slået fra i systemets BIOS (Basic Input/Output System) eller UEFI (Unified Extensible Firmware Interface). Se enhedsproducentens supportdokumentation, eller kontakt teknisk support for at få vejledning i, hvordan du slår den til.
TPM-lager er ikke tilgængeligt. Ryd dit TPM.	Knappen Ryd TPM er på denne side. Du skal sørge for, at du har en god sikkerhedskopi af dine data, før du fortsætter.
Attestation af enhedstilstand er ikke tilgængelig. Ryd dit TPM.	Knappen Ryd TPM er på denne side. Du skal sørge for, at du har en god sikkerhedskopi af dine data, før du fortsætter.
Attestation af enhedstilstand understøttes ikke på denne enhed.	Det betyder, at enheden ikke giver os nok oplysninger til at afgøre, hvorfor TPM muligvis ikke fungerer korrekt på din enhed.
Din TPM er ikke kompatibel med din firmware og fungerer muligvis ikke korrekt.	Kontakt producenten af enheden for at se, om der findes en firmwareopdatering, og hvordan du får og installerer den. Firmwareopdateringer er normalt gratis.
TPM-målt startlog mangler. Prøv at genstarte enheden.
Der er et problem med dit TPM. Prøv at genstarte enheden.

Hvis du stadig oplever problemer efter at have udbedret en fejlmeddelelse, skal du kontakte producenten af enheden for at få hjælp.

Vælg Ryd TPM for at nulstille sikkerhedsmodulet til standardindstillingerne.