Device Security in the Windowsi turve App

Mälu terviklus ehk hüperviisoriga kaitstud kooditerviklus (HVCI) on Windowsi turbefunktsioon, mis raskendab pahatahtlikel programmidel kasutada arvuti kaaperdamiseks madala taseme draivereid.

Draiver on tarkvara, mis võimaldab operatsioonisüsteemil (windowsil käesoleval juhul) ja seadmel (nagu klaviatuur või veebikaamera) üksteisega rääkida. Kui seade soovib, et Windows midagi teeks, kasutab see selle taotluse saatmiseks draiverit.

Mälu terviklus töötab, luues riistvara virtualiseerimise abil isoleeritud keskkonna.

Mõtle sellest nagu turvamees lukustatud boksis. See isoleeritud keskkond (lukus kabiin meie analoogias) takistab mälu tervikluse funktsiooni ründaja omavoliliselt. Programm, mis soovib käitada koodilõiku, mis võib olla ohtlik, peab edastama koodi mälu terviklusse selles virtuaalboksis, et seda saaks kontrollida. Kui mälu terviklus on mugav, et kood on ohutu, suunab see koodi Windowsi tagasi käivituma. Tavaliselt juhtub see väga kiiresti.

Ilma mälu tervikluseta seisab turvamees otse avatud paigas, kus ründajal on palju lihtsam valvurit segada või saboteerida, mis lihtsustab pahatahtliku koodi hiilimist ja probleemide tekitamist.

Tumblernupu abil saate mälu tervikluse sisse või välja lülitada.

Mis siis, kui on kirjas, et mul on ühildumatu draiver?

Kui mälu tervikluse sisselülitamine nurjub, võib see teile öelda, et teil on ühildumatu seadmedraiver juba installitud. Küsige seadme tootjalt, kas neil on saadaval värskendatud draiver. Kui neil pole ühilduvat draiverit saadaval, võite selle ühildumatut draiverit kasutava seadme või rakenduse eemaldada.

Riistvara jõustatud pinukaitse on riistvarapõhine turbefunktsioon, mis raskendab pahatahtlikel programmidel kasutada arvuti kaaperdamiseks madala taseme draivereid.

Draiver on tarkvara, mis võimaldab operatsioonisüsteemil (windowsil käesoleval juhul) ja seadmel (nagu klaviatuur või veebikaamera) üksteisega rääkida. Kui seade soovib, et Windows midagi teeks, kasutab see selle taotluse saatmiseks draiverit.

Riistvara jõustatud pinukaitse takistab ründeid, mis muudavad tuumrežiimi mälus olevaid tagastusaadresse ründekoodi käivitamiseks. Selle turbefunktsiooni kasutamiseks on vaja protsessorit, mis sisaldab töötava koodi tagastusaadresside kontrollimise võimet.

Kui käivitate koodi tuumarežiimis, võivad pahatahtlikud programmid või draiverid pahatahtlike programmide või draiverite poolt rikutud olla, et suunata tavaline koodi täitmine pahatahtlikule koodile. Toetatud protsessorite korral säilitab CPU kirjutuskaitstud varivirnas kehtivate tagastusaadresside teise koopia, mida draiverid ei saa muuta. Kui tavalise virna tagastusaadressi on muudetud, tuvastab protsessor selle lahknevuse, kontrollides varjuvirna tagastusaadressi koopiat. Selle lahknevuse ilmnemisel küsib arvuti stopp-tõrget (mõnikord nimetatakse seda siniseks ekraaniks), et vältida pahatahtliku koodi käivitumist.

Kõik draiverid ei ühildu selle turbefunktsiooniga, kuna väike hulk seaduslikke draivereid tegeleb saatja aadressi muutmisega mittevaralisel eesmärgil. Microsoft on otsinud mitmeid draiverite väljaandjaid tagamaks, et nende uusimad draiverid ühilduvad riistvara jõustatud pinukaitsega.

Tumblernupu abil saate riistvara jõustatud virnakaitse sisse või välja lülitada.

Riistvara jõustatud pinukaitse kasutamiseks peab mälu terviklus olema lubatud ja teil peab töötama protsessor, mis toetab Inteli Control-Flow jõustamistehnoloogiat või AMD varivirna.

Mida teha, kui mul on ühildumatu draiver või teenus?

Kui riistvara jõustatud pinukaitse sisselülitamine nurjub, võib see teile öelda, et teil on ühildumatu seadme draiver või teenus juba installitud. Uurige seadme tootjalt või rakenduse väljaandjalt, kas neil on saadaval värskendatud draiver. Kui neil pole ühilduvat draiverit saadaval, on võimalik, et saate selle ühildumatut draiverit kasutava seadme või rakenduse eemaldada.

Mõni rakendus võib installida rakenduse installimise ajal draiveri asemel teenuse ja installida draiveri ainult siis, kui rakendus on käivitatud. Ühildumatute draiverite täpsemaks tuvastamiseks loetletakse ka ühildumatute draiveritega seotud teenused.

Tuuma DMA kaitse see turbefunktsioon kaitseb teie seadet rünnakute eest, mis võivad ilmneda, kui ründeseade on ühendatud väliskomponendi Interconnecti (PCI) porti nagu Thunderbolt port.

Lihtne näide sellisest rünnakust oleks see, kui keegi lahkub arvutist kiire kohvipausi tegemiseks, ja kui ta eemal oli, ründaja astus sisse, ühendab USB-taolise seadme ja kõnnib arvutist tundlike andmetega eemale või sisestab ründevara, mis võimaldab neil arvutit kaugjuhtimises juhtida. 

Mälujuurdepääsu kaitse takistab selliseid rünnakuid, keelates otsest juurdepääsu mälule nendele seadmetele, välja arvatud erijuhtudel, eriti juhul, kui arvuti on lukustatud või kasutaja on välja logitud.

Igal seadmel on teatud tarkvara, mis on kirjutatud seadme kirjutuskaitstud mällu - põhimõtteliselt kirjutatud kiibile süsteemitahvlil -, mida kasutatakse seadme põhifunktsioonide jaoks, näiteks operatsioonisüsteemi laadimine, mis käitab kõiki rakendusi, millega oleme harjunud. Kuna seda tarkvara on raske (kuid mitte võimatu) muuta, nimetame seda püsivaraks.

Kuna püsivara laaditakse esimest korda ja see töötab operatsioonisüsteemi all, on operatsioonisüsteemis töötavatel turbetööriistadel ja -funktsioonidel keeruline seda tuvastada või selle eest kaitsta. Nagu maja, mis sõltub heast vundamendist, et olla turvaline, peab ka arvuti olema turvaline, et tagada selles arvutis olevate operatsioonisüsteemide, rakenduste ja andmete turvalisus.

System Guard on funktsioonide kogum, mis aitab tagada, et ründajad ei saaks teie seadet käivitada ebausaldusväärse või pahatahtliku püsivaraga.

Püsivarakaitset pakkuvad platvormid kaitsevad tavaliselt ka süsteemihaldusrežiimi (SMM), mis on väga privileegidega töörežiim, erineval määral. Võite oodata ühte kolmest väärtusest, suurem arv näitab suuremat SMM-kaitse taset.

• Teie seade vastab püsivara kaitse versioonile üks: see pakub vundamentaalturbe leevendusi, et aidata SMM-il vastu seista ründevara kasutamisele ja takistab operatsioonisüsteemi saladuste (sh VBS) aegumist

• Teie seade vastab püsivara kaitse versioonile kaks: lisaks püsivarakaitse versioonile üks tagab teine versioon, et SMM ei saa keelata Virtualization-based Security (VBS) ja tuuma DMA kaitset

• Teie seade vastab püsivara kaitse versioonile kolm: lisaks püsivarakaitse versioonile kaks, muudab see SMM-i veelgi vastupidavamaks, takistades juurdepääsu teatud registritele, mis on võimelised operatsioonisüsteemi ohustama (sh VBS)

Kohaliku turbekeskuse (LSA) kaitse on Windowsi turbefunktsioon, mis aitab ära hoida Windowsi sisselogimiseks kasutatava identimisteabe vargust.   

LSA (Local Security Authority– Local Security Authority– Local See vastutab sisselogimisprotsessi ajal identimisteabe kontrollimise ning teenuste jaoks ühekordse sisselogimise lubamiseks kasutatavate autentimislubade ja piletite haldamise eest. LSA kaitse aitab vältida ebausaldusväärse tarkvara töötamist LSA-s või LSA mälule juurdepääsu.  

Kuidas hallata kohaliku turbekeskuse kaitset?

LSA kaitse saate sisse või välja lülitada tumblernupu abil.

Pärast sätte muutmist peate selle jõustumiseks taaskäivitama. 

Mida teha, kui mul on ühildumatu tarkvara? 

Kui LSA-kaitse on lubatud ja see blokeerib tarkvara laadimise LSA-teenusesse, näitab teatis blokeeritud faili. Võimalik, et saate eemaldada faili laadiva tarkvara või keelata selle faili edaspidised hoiatused, kui see on blokeeritud LSA-sse laadimise.  

Töö- või kooliseadme kasutamise ajal logib see vaikselt sisse ja pääseb juurde mitmesugustele asjadele (nt failid, printerid, rakendused ja muud teie ettevõtte ressursid). Kui muudate selle protsessi kasutaja jaoks turvaliseks, tähendab see, et teie arvutis on igal ajal mitu autentimisluba.

Kui ründaja saab juurdepääsu ühele või mitmele neist lubadest, võib ta saada juurdepääsu ettevõtte ressursile (tundlikud failid jne), mille jaoks luba kehtib. Credential Guard aitab neid lubasid kaitsta, paigutades need kaitstud virtualiseeritud keskkonda, kus neile pääsevad vajaduse korral juurde ainult teatud teenused.

Draiver on tarkvara, mis võimaldab operatsioonisüsteemil (windowsil käesoleval juhul) ja seadmel (nagu klaviatuur või veebikaamera) üksteisega rääkida. Kui seade soovib, et Windows midagi teeks, kasutab see selle taotluse saatmiseks draiverit. Seetõttu on draiveritel teie süsteemis palju tundlikku juurdepääsu.

Windows 11 sisaldab teadaolevate turbenõrkustega, ründevara allkirjastamiseks kasutatavate sertidega allkirjastatud või Windowsi turve mudelist kõrvalehoidvate draiverite blokeerimisloendit.

Kui teil on mälu terviklus, nutikate rakenduste juhtelement või Windows S-režiim sisse lülitatud, on haavatavate draiverite blokeerimisloend samuti sisse lülitatud.

Siit leiate teavet turbeprotsessori tootja ja versiooninumbrite ning samuti turbeprotsessori oleku kohta.

Windowsi turve rakendus sinu arvutis valige Seadme turve > Turbeprotsessori üksikasjad või kasutage järgmist otseteed.

Turbeprotsessori üksikasjad

Kui teie turbeprotsessor ei tööta korralikult, saate tõrketeadete ja täpsemate suvandite kuvamiseks klõpsata linki Turbeprotsessori tõrkeotsing või kasutada järgmist otseteed.

Turbeprotsessori tõrkeotsing

Turbeprotsessori tõrkeotsingu lehelt leiate asjakohased tõrketeated TPM-i kohta. Tõrketeadete ja üksikasjade loend on järgmine.

Sõnum	Üksikasjad
Turbeprotsessori (TPM) jaoks on vaja püsivaravärskendust.	Näib, et teie seadme emaplaat ei toeta praegu TPM-i, kuid püsivaravärskendus võib probleemi lahendada. Uurige oma seadme tootjalt, kas püsivaravärskendus on saadaval ja kuidas seda installida. Püsivaravärskendused on tavaliselt tasuta.
TPM on keelatud ja vajab tähelepanu.	Usaldusväärne platvormi moodul on tõenäoliselt süsteemi BIOS-is (põhi-sisend-/väljundsüsteem) või UEFI-s (ühtne laiendatav püsivaraliides) välja lülitatud. Selle sisselülitamise juhised leiate seadme tootja tugiteenuste dokumentatsioonist või pöörduge tehnilise toe poole.
TPM-i salvestusruum pole saadaval. Kustutage oma TPM.	TPM-i tühjendamise nupp on sellel lehel. Enne jätkamist peaksite veenduma, et teil oleks andmetest hea varukoopia.
Seadme seisundi atesteerimine pole saadaval. Kustutage oma TPM.	TPM-i tühjendamise nupp on sellel lehel. Enne jätkamist peaksite veenduma, et teil oleks andmetest hea varukoopia.
Selles seadmes ei toetata seadme seisundi atesteerimist.	See tähendab, et seade ei anna meile piisavalt teavet, et teha kindlaks, miks TPM ei pruugi teie seadmes õigesti töötada.
TPM ei ühildu püsivaraga ja ei pruugi korralikult töötada.	Uurige oma seadme tootjalt, kas püsivaravärskendus on saadaval ning kuidas seda hankida ja installida. Püsivaravärskendused on tavaliselt tasuta.
TPM-i mõõdetud algkäivituslogi on puudu. Proovige seade taaskäivitada.
TPM-iga on probleeme. Proovige seade taaskäivitada.

Kui probleemid ei lahene ka pärast tõrketeates kuvatud soovituse proovimist, pöörduge abi saamiseks seadme tootja poole.

Turbeprotsessori vaikesätete taastamiseks valige TPM-i andmete kustutamine.