Applies ToWindows 11 Windows 10

Windowsin suojaus-sovelluksen laitteen suojaussivu on suunniteltu windows-laitteeseesi sisältyvien suojausominaisuuksien hallintaan. Sivu on jaettu seuraaviin osiin:

  • Ytimen eristys: Tässä voit määrittää Suojausominaisuudet, jotka suojaavat Windows-ytimen

  • Suojauskäsittelijä: Antaa tietoja suojauskäsittelijästä, jota kutsutaan luotetun ympäristön moduuliksi (TPM)

  • Suojattu käynnistys: Jos suojattu käynnistys on käytössä, saat lisätietoja siitä

  • Tietojen salaus: Täältä löydät linkin Windowsin asetuksiin, jossa voit määrittää laitesalauksen ja muut BitLocker-asetukset

  • Laitteiston suojausominaisuus: Arvioi laitteesi laitteiston suojausominaisuudet

Windowsin suojaus -sovelluksessa  tietokoneessa, valitse Laitteen suojaus  tai käytä seuraavaa pikanäppäintä:

Laitteen suojaus

Näyttökuva laitteen suojausnäytöstä Windowsin suojaus-sovelluksessa.

Ytimen eristys

Ydineristys tarjoaa suojausominaisuuksia, jotka on suunniteltu suojaamaan Windowsin ydinprosesseja haittaohjelmilta eristämällä ne muistiin. Se tekee tämän suorittamalla nämä ydinprosessit virtualisoidussa ympäristössä. 

Windowsin suojaus -sovelluksessa  tietokoneessa, valitse Laitteen suojaus > ytimen eristyksen tiedot tai käytä seuraavaa pikanäppäintä:

Ytimen eristys

Huomautus: Ytimen eristyssivulla näkyvät ominaisuudet vaihtelevat käytössä olevan Windows-version ja asennettujen laitteisto-osien mukaan.

Muistin eheys, joka tunnetaan myös nimellä Hypervisor-suojattu koodin eheys (HVCI), on Windowsin suojausominaisuus, jonka vuoksi haittaohjelmien on vaikea kaapata tietokonetta matalan tason ohjaimilla.

Ohjain on ohjelmisto, jonka avulla käyttöjärjestelmä (tässä tapauksessa Windows) ja laite (kuten näppäimistö tai verkkokamera) voivat keskustella keskenään. Kun laite haluaa Windowsin tekevän jotain, se käyttää ohjainta pyynnön lähettämiseen.

Muistin eheys toimii luomalla eristetyn ympäristön laitteiston virtualisoinnin avulla.

Ajattele sitä kuin vartijaa lukitussa kopissa. Tämä eristetty ympäristö (analogiamme lukittu koppi) estää hyökkääjää peukaloimasta muistin eheysominaisuutta. Ohjelman, joka haluaa suorittaa koodin, joka voi olla vaarallinen, on välitettävä koodi muistin eheyteen kyseisessä virtuaalikopissa, jotta se voidaan vahvistaa. Kun muistin eheys on varma siitä, että koodi on turvallinen, se palauttaa koodin Windowsiin suoritettavaksi. Tämä tapahtuu yleensä hyvin nopeasti.

Ilman muistin eheyttä vartija erottuu avoimesti, jossa hyökkääjän on paljon helpompi häiritä tai sabotoida vartijaa, mikä helpottaa haitallisen koodin hiipimistä ohi ja aiheuttaa ongelmia.

Voit ottaa muistin eheyden käyttöön tai poistaa sen käytöstä vaihtopainikkeella.

Huomautus: Jotta voit käyttää muistin eheyttä, järjestelmän UEFI- tai BIOS-laitteissa on oltava käytössä laitteiston virtualisointi.

Entä jos siinä lukee, että minulla on yhteensopimaton ohjain?

Jos muistin eheys ei käynnisty, se saattaa kertoa, että sinulla on jo asennettuna yhteensopimaton laiteohjain. Tarkista laitteen valmistajalta, onko saatavilla päivitettyä ohjainta. Jos heillä ei ole yhteensopivaa ohjainta käytettävissä, voit ehkä poistaa laitteen tai sovelluksen, joka käyttää kyseistä yhteensopimatonta ohjainta.

Huomautus: Jos yrität asentaa laitteen, jossa on yhteensopimaton ohjain, otettuasi käyttöön muistin eheyden, saatat saada saman viestin. Jos näin on, samat neuvot koskevat : tarkista laitteen valmistajalta, onko heillä päivitettyä ohjainta, jonka voit ladata, tai älä asenna kyseistä laitetta, ennen kuin yhteensopiva ohjain on saatavilla.

Laitteiston pakotettu pinosuojaus on laitteistopohjainen suojausominaisuus, jonka vuoksi haittaohjelmien on vaikea kaapata tietokonetta matalan tason ohjaimilla.

Ohjain on ohjelmisto, jonka avulla käyttöjärjestelmä (tässä tapauksessa Windows) ja laite (kuten näppäimistö tai verkkokamera) voivat keskustella keskenään. Kun laite haluaa Windowsin tekevän jotain, se käyttää ohjainta pyynnön lähettämiseen.

Laitteiston pakotettu pinosuojaus toimii estämällä hyökkäykset, jotka muokkaavat ydintilan muistin palautusosoitteita haittakoodin käynnistämiseksi. Tämä suojausominaisuus edellyttää suoritinta, joka sisältää mahdollisuuden tarkistaa käynnissä olevan koodin palautusosoitteet.

Kun suoritat koodia ydintilassa, haittaohjelmat tai ohjaimet voivat vioittaa ydintilan pinon palautusosoitteita ohjatakseen normaalin koodin suorittamisen haittakoodiin. Tuetuissa suoritin ylläpitää toista kopiota kelvollisista palautusosoitteista vain luku -varjopinossa, jota ohjaimet eivät voi muokata. Jos tavallisen pinon palautusosoitetta on muokattu, suoritin voi havaita tämän ristiriidan tarkistamalla palautusosoitteen kopion varjopinosta. Kun tämä ristiriita ilmenee, tietokone pyytää keskeytysvirheen, jota kutsutaan joskus siniseksi näytöksi, estämään haitallisen koodin suorittamisen.

Kaikki ohjaimet eivät ole yhteensopivia tämän suojausominaisuuden kanssa, koska pieni määrä laillisia ohjaimia muokkaa palautusosoitteita ei-haitallisiin tarkoituksiin. Microsoft on tehnyt yhteistyötä useiden ohjainjulkaisijoiden kanssa varmistaakseen, että heidän uusimmat ohjaimensa ovat yhteensopivia laitteiston pakotetun pinosuojauksen kanssa.

Voit ottaa laitteiston pakotetun pinosuojauksen käyttöön tai poistaa sen käytöstä vaihtopainikkeella.

Jotta voit käyttää laitteiston pakotettua pinosuojausta, sinulla on oltava muistin eheys käytössä ja sinulla on oltava suoritin, joka tukee Intel Control-Flow Enforcement Technology - tai AMD Shadow Stack -toimintoa.

Entä jos siinä lukee, että minulla on yhteensopimaton ohjain tai palvelu?

Jos laitteiston pakotettu pinosuojaus ei käynnisty, se saattaa kertoa, että sinulla on jo asennettuna yhteensopimaton laiteohjain tai palvelu. Tarkista laitteen valmistajalta tai sovelluksen julkaisijalta, onko heillä saatavilla päivitettyä ohjainta. Jos heillä ei ole yhteensopivaa ohjainta käytettävissä, voit ehkä poistaa laitteen tai sovelluksen, joka käyttää kyseistä yhteensopimatonta ohjainta.

Jotkin sovellukset saattavat asentaa palvelun ohjaimen sijaan sovelluksen asennuksen aikana ja asentaa ohjaimen vain, kun sovellus käynnistetään. Yhteensopimattomien ohjaimten tarkempaa tunnistamista varten luetteloidaan myös palvelut, joiden tiedetään liittyvän yhteensopimattomiin ohjaimiin.

Huomautus: Jos yrität asentaa laitteen tai sovelluksen, jossa on yhteensopimaton ohjain, kun olet asentanut laitteiston pakotetun pinosuojauksen, saatat nähdä saman viestin. Jos näin on, samat neuvot koskevat : tarkista laitteen valmistajalta tai sovelluksen julkaisijalta, onko heillä päivitetty ohjain, jonka voit ladata, tai älä asenna kyseistä laitetta tai sovellusta, ennen kuin yhteensopiva ohjain on saatavilla.

Tämä suojausominaisuus suojaa laitetta hyökkäyksiltä, joita voi ilmetä, kun haitallinen laite on liitetty PCI (Peripheral Component Interconnect) -porttiin, kuten Thunderbolt-porttiin.

Yksinkertainen esimerkki näistä hyökkäyksistä olisi, jos joku lähtee tietokoneestaan pikakahvitauolle, ja kun hän oli poissa, hyökkääjä astuu sisään, kytkee USB:n kaltaisen laitteen ja kävelee pois laitteen arkaluontoisten tietojen kanssa tai lisää haittaohjelmia, joiden avulla hän voi hallita tietokonetta etäyhteyden kautta. 

Muistin käytön suojaus estää tällaiset hyökkäykset estämällä suoran pääsyn muistiin kyseisissä laitteissa, paitsi erityisissä olosuhteissa, erityisesti silloin, kun tietokone on lukittu tai käyttäjä on kirjautunut ulos.

Vihje: Lisätietoja on artikkelissa Ytimen DMA-suojaus.

Jokaisessa laitteessa on ohjelmistoja, jotka on kirjoitettu laitteen vain luku -muistiin - joka on periaatteessa kirjoitettu piirille järjestelmätaulussa - jota käytetään laitteen perustoimintoihin, kuten käyttöjärjestelmän lataamiseen, joka käyttää kaikkia sovelluksia, joita olemme tottuneet käyttämään. Koska ohjelmiston muokkaaminen on vaikeaa (mutta ei mahdotonta), kutsumme sitä laiteohjelmistoksi.

Koska laiteohjelmisto latautuu ensin ja toimii käyttöjärjestelmässä, käyttöjärjestelmän suojaustyökalujen ja -ominaisuuksien on vaikea havaita sitä tai puolustautua sitä vastaan. Kuten talo, joka on riippuvainen hyvästä suojattavasta perustasta, tietokone tarvitsee laiteohjelmistonsa suojauksen varmistaakseen, että käyttöjärjestelmä, sovellukset ja tietokoneen tiedot ovat turvassa.

Järjestelmäsuoja on joukko ominaisuuksia, joiden avulla voidaan varmistaa, että hyökkääjät eivät saa laitettasi käynnistymään epäluotetettavalla tai haitallisella laiteohjelmistolla.

Laiteohjelmistosuojausta tarjoavat ympäristöt suojaavat yleensä myös järjestelmänhallintatilaa (SMM), joka on erittäin etuoikeutettu käyttötila, vaihtelevilla asteilla. Voit odottaa jompaakumpaa kolmesta arvosta, ja suurempi luku ilmaisee suuremman SMM-suojauksen:

  • Laitteesi täyttää laiteohjelmistosuojausversion 1: tämä tarjoaa perustavan suojauksen lieventämisen, joka auttaa SMM:ää vastustamaan haittaohjelmien hyödyntämistä ja estää käyttöjärjestelmän (mukaan lukien VBS) salaisuuksien suodatuksen.

  • Laitteesi täyttää laiteohjelmistosuojauksen version 2: laiteohjelmistosuojausversion 1 lisäksi versio 2 varmistaa, että SMM ei voi poistaa virtualisointipohjaista suojausta (VBS) ja ydin-DMA-suojausta käytöstä

  • Laitteesi täyttää laiteohjelmistosuojauksen version 3: laiteohjelmistosuojauksen version 2 lisäksi se koventaa SMM:ää entisestään estämällä pääsyn tiettyihin rekistereihin, jotka voivat vaarantaa käyttöjärjestelmän (mukaan lukien VBS)

Vihje: Lisätietoja on ohjeaiheessa Järjestelmäsuoja: Miten laitteistopohjainen luottamuksen ydin auttaa suojaamaan Windowsia

LSA (Local Security Authority) -suojaus on Windowsin suojausominaisuus, joka auttaa estämään Windowsiin kirjautumiseen käytettävien tunnistetietojen varastamisen.   

Paikallinen suojausviranomainen (LSA) on tärkeä prosessi Windowsissa, joka liittyy käyttäjän todentamiseen. Se on vastuussa tunnistetietojen tarkistamisesta kirjautumisprosessin aikana sekä todennustunnusten ja lippujen hallinnasta, joita käytetään kertakirjautumisen ottamiseksi käyttöön palveluissa. LSA-suojaus auttaa estämään ei-luotettavia ohjelmistoja toimimasta LSA:ssa tai käyttämästä LSA-muistia.  

Ohjevalikko hallita paikallisen suojausviranomaisen suojausta?

Voit ottaa LSA-suojauksen käyttöön tai poistaa sen käytöstä vaihtopainikkeella.

Kun olet muuttanut asetusta, sinun on käynnistettävä se uudelleen, jotta se tulee voimaan. 

Huomautus: Jotta tunnistetiedot pysyvät turvassa, LSA-suojaus on oletusarvoisesti käytössä kaikissa laitteissa. Uusissa asennuksia varten se on heti käytössä. Päivitysten kohdalla se otetaan käyttöön uudelleenkäynnistyksen jälkeen 10 päivän arviointijakson jälkeen.

Entä jos minulla on yhteensopimaton ohjelmisto? 

Jos LSA-suojaus on käytössä ja se estää ohjelmiston lataamisen LSA-palveluun, ilmoitus osoittaa estetyt tiedostot. Voit ehkä poistaa ohjelmiston lataamalla tiedoston tai poistaa käytöstä kyseisen tiedoston tulevat varoitukset, kun sen latautuminen LSA:han on estetty.  

Huomautus: Credential Guard on käytettävissä laitteissa, joissa on Windowsin Enterprise- tai Education-versio.

Kun käytät työpaikan tai oppilaitoksen laitetta, se kirjautuvat hiljaisesti sisään ja pääsevät käsiksi erilaisiin asioihin, kuten tiedostoihin, tulostimiin, sovelluksiin ja muihin organisaation resursseihin. Kun prosessi on suojattu, mutta se on helppo käyttäjälle, tietokoneessasi on useita todennustunnuksia milloin tahansa.

Jos hyökkääjä voi käyttää yhtä tai useampaa näistä tunnuksista, hän voi ehkä käyttää niitä saadakseen käyttöoikeuden organisaation resurssiin (luottamuksellisiin tiedostoihin jne.), jota varten tunnus on tarkoitettu. Credential Guard auttaa suojaamaan näitä tunnuksia sijoittamalla ne suojattuun, virtualisoituun ympäristöön, jossa vain tietyt palvelut voivat käyttää niitä tarvittaessa.

Vihje: Lisätietoja on ohjeaiheessa Tunnistetietosuojan toiminta.

Ohjain on ohjelmisto, jonka avulla käyttöjärjestelmä (tässä tapauksessa Windows) ja laite (kuten näppäimistö tai verkkokamera) voivat keskustella keskenään. Kun laite haluaa Windowsin tekevän jotain, se käyttää ohjainta pyynnön lähettämiseen. Tämän vuoksi ohjaimilla on paljon luottamuksellisia käyttöoikeuksia järjestelmässäsi.

Windows 11 sisältää lohkoluettelon ohjaimista, joilla on tunnettuja tietoturva-aukkoja, jotka on allekirjoitettu haittaohjelmien allekirjoittamiseen käytetyillä varmenteilla tai jotka kiertävät Windowsin suojaus-mallia.

Jos sinulla on muistin eheys, Smart App Control tai Windows S mode käytössä, myös haavoittuvan ohjaimen estoluettelo on käytössä.

Suojauskäsittelijä

Windowsin suojaus-sovelluksen Laitesuojaus-sivun Suojauskäsittelijän asetukset antavat tietoja laitteesi Trusted Platform Module (TPM) -turvapiiristä. TPM on laitteisto-osa, joka on suunniteltu parantamaan suojausta suorittamalla salaustoimintoja.

Huomautus: Jos et näe suojauskäsittelijän merkintää tässä näytössä, laitteessasi ei todennäköisesti ole tämän ominaisuuden edellyttämää TPM (Trusted Platform Module) -laitteistoa tai sitä ei ole otettu käyttöön UEFIssa (Unified Extensible Firmware Interface). Tarkista laitteen valmistajalta, tukeeko laitteesi TPM-turvapiiriä, ja jos tukee, pyydä ohjeet sen käyttöönottoon.

Täältä löydät tietoja suojauskäsittelijän valmistajasta ja versionumerot, kuten myös tietoja suojauskäsittelijän tilasta.

Windowsin suojaus -sovelluksessa  tietokoneessa, valitse Laitteen suojaus > Suojauskäsittelijän tiedot tai käytä seuraavaa pikanäppäintä:

Suojauskäsittelijän tiedot

Jos suojauskäsittelijä ei toimi oikein, voit valita Suojauskäsittelijän vianmääritys -linkin, jos haluat nähdä virhesanomat ja lisäasetukset, tai käyttää seuraavaa pikanäppäintä:

Suojauskäsittelijän vianmääritys

Suojauskäsittelijän vianmäärityssivulla on TPM-turvapiiriä koskevia olennaisia virhesanomia. Seuraavassa on luettelo virhesanomista ja -yksityiskohdista:

Viesti

Tiedot

Suojauskäsittelijä (TPM-turvapiiri) edellyttää laiteohjelmistopäivitystä.

Laitteesi emolevy ei näytä tukevan TPM-turvapiiriä tällä hetkellä, mutta laiteohjelmistopäivitys saattaa ratkaista ongelman. Tarkista laitteen valmistajalta, onko laiteohjelmistopäivitys saatavilla ja miten se asennetaan. Laiteohjelmistopäivitykset ovat yleensä ilmaisia.

TPM-turvapiiri on poistettu käytöstä, ja se edellyttää toimia.

Luotetun ympäristön moduuli on todennäköisesti poistettu käytöstä järjestelmän BIOSissa (perussyöttö-/lähtöjärjestelmä) tai UEFIssa (Unified Extensible Firmware Interface). Katso laitteen valmistajan tukioppaasta tai ota yhteyttä hänen tekniseen tukeensa ja katso ohjeet sen käyttöön ottaminen.

TPM-tallennustila ei ole käytettävissä. Tyhjennä TPM-turvapiiri.

Tyhjennä TPM-turvapiiri -painike on tällä sivulla. Varmista ennen jatkamista, että sinulla on hyvä varmuuskopio tiedoistasi.

Laitteen kunnon todentaminen ei ole käytettävissä. Tyhjennä TPM-turvapiiri.

Tyhjennä TPM-turvapiiri -painike on tällä sivulla. Varmista ennen jatkamista, että sinulla on hyvä varmuuskopio tiedoistasi.

Laitteen kunnon todentamista ei tueta tässä laitteessa.

Tämä tarkoittaa, että laite ei anna meille tarpeeksi tietoa sen määrittämiseksi, miksi TPM-turvapiiri ei ehkä toimi oikein laitteessasi.

TPM-turvapiiri ei ole yhteensopiva laiteohjelmiston kanssa, eikä se ehkä toimi oikein.

Tarkista laitteen valmistajalta, onko laiteohjelmistopäivitys saatavilla, ja miten voit hankkia ja asentaa sen. Laiteohjelmistopäivitykset ovat yleensä ilmaisia.

TPM-turvapiirin mitattu käynnistysloki puuttuu. Yritä käynnistää laite uudelleen.

TPM-turvapiirissä on ongelma. Yritä käynnistää laite uudelleen.

Jos virhesanoman käsittelyn jälkeen ilmenee edelleen ongelmia, pyydä apua laitteen valmistajalta.

Valitse Tyhjennä TPM-turvapiiri, jos haluat palauttaa suojauskäsittelijän oletusasetukset.

Varoitus: Muista varmuuskopioida tietosi ennen TPM-turvapiirin tyhjentämistä.

Suojattu käynnistys

Suojattu käynnistys estää kehittyneen ja vaarallisen haittaohjelman - rootkitin - latautumisen, kun laite käynnistyy. Rootkiteillä on samat oikeudet kuin käyttöjärjestelmällä, mutta ne käynnistyvät ennen käyttöjärjestelmää, joten ne pystyvät piiloutumaan kokonaan. Rootkitit sisältyvät usein haittaohjelmien sarjaan, joka pystyy ohittamaan paikalliset kirjautumiset, tallentamaan salasanoja ja näppäinten painalluksia, siirtämään yksityisiä tiedostoja ja sieppaamaan salaustietoja.

Saatat joutua poistamaan suojatun käynnistyksen käytöstä, jotta voit suorittaa näytönohjaimia, laitteita tai käyttöjärjestelmiä, kuten Linuxin tai windowsin aiemmat versiot.

Lisätietoja on artikkelissa Suojattu käynnistys.

Laitteiston suojauskyky

Laitteen suojaussivun viimeisessä osassa näkyvät tiedot, jotka ilmaisevat laitteesi suojausominaisuuden. Tässä on luettelo viesteistä ja yksityiskohdista:

Viesti

Tiedot

Laitteesi täyttää laitteiston vakiosuojauksen vaatimukset.

Tämä tarkoittaa sitä, että laite tukee muistin eheyttä ja ytimen eristystä. Laitteessa on myös:

  • TPM 2.0 (kutsutaan myös suojauskäsittelijäksi)

  • Suojattu käynnistys käytössä

  • DEP

  • UEFI MAT.

Laitteesi täyttää laitteiston suojauksen parantamista koskevat vaatimukset.

Tämä tarkoittaa sitä, että laite vastaa laitteiston vakiosuojauksen vaatimuksia, mutta siinä on otettu myös muistin eheys käyttöön.

Laitteessasi on käytössä kaikki suojatun ytimen tietokoneen ominaisuudet.

Tämä tarkoittaa sitä, että laite vastaa parannetun laitteiston suojauksen vaatimuksia, mutta siinä on otettu myös SMM-suojaus käyttöön.

Standard laitteistosuojaus ei ole tuettu.

Tämä tarkoittaa sitä, että laite ei vastaa vähintään yhtä laitteiston vakiosuojauksen vaatimusta.

Laitteiston suojauksen parantaminen

Jos laitteesi suojausominaisuudet ovat mielestäsi puutteellisia, sinun on ehkä otettava käyttöön tiettyjä laitteiston ominaisuuksia (kuten suojattu käynnistys, jos laitteesi tukee siitä) tai muutettava järjestelmän BIOS-asetuksia. Ota yhteyttä laitteiston valmistajaan saadaksesi tietoa siitä, mitä ominaisuuksia laitteisto tukee ja miten ne voidaan aktivoida.

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

TutustuYhteisö

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus

Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.

Kysy Microsoftin yhteisöltä

Microsoft Tech Community -verkosto

Windows Insider -käyttäjät

Microsoft 365 Insider -jäsenet