Applies ToWindows 11 Windows 10

A Windows biztonság alkalmazás eszközbiztonsági oldala a Windows-eszköz beépített biztonsági funkcióinak kezelésére lett kialakítva. A lap a következő szakaszokra oszlik:

  • Alapvető elkülönítés: Itt konfigurálhatja a Windows-kernelt védő biztonsági szolgáltatásokat

  • Biztonsági processzor: Információkat nyújt a biztonsági processzorról, amelyet a platformmegbízhatósági modulnak (TPM) nevezünk.

  • Biztonságos rendszerindítás: Ha a biztonságos rendszerindítás engedélyezve van, további információkat talál róla

  • Adattitkosítás: Itt talál egy hivatkozást a Windows beállításaira, ahol konfigurálhatja az eszköztitkosítást és más BitLocker-beállításokat

  • Hardveres biztonsági képesség: Felméri az eszköz hardveres biztonsági funkcióit

A számítógépén található Windows biztonság alkalmazásban, válassza az Eszközbiztonság lehetőséget,  vagy használja a következő parancsikont:

Eszközbiztonság

Az Windows biztonság alkalmazás eszközbiztonsági képernyőjének képernyőképe.

Magelkülönítés

A magelkülönítés olyan biztonsági funkciókat biztosít, amelyek a Windows alapvető folyamatait védik a kártékony szoftverektől a memóriában való elkülönítéssel. Ezt úgy teszi, hogy virtualizált környezetben futtatja ezeket az alapvető folyamatokat. 

A számítógépén található Windows biztonság alkalmazásban, válassza az Eszközbiztonság > Alapvető elkülönítés részletei lehetőséget , vagy használja a következő parancsikont:

Magelkülönítés

Megjegyzés: az alapvető elkülönítési oldalon elérhető funkciók a Windows futtatott verziójától és a telepített hardverösszetevőktől függően változnak.

A memória integritása, más néven hipervizor által védett kódintegritás (HVCI) egy Windows biztonsági funkció, amely megnehezíti a rosszindulatú programok számára, hogy alacsony szintű illesztőprogramokat használjanak a számítógép eltérítéséhez.

Az illesztőprogram olyan szoftver, amely lehetővé teszi, hogy az operációs rendszer (ebben az esetben Windows) és egy eszköz (például billentyűzet vagy webkamera) kommunikáljon egymással. Amikor az eszköz azt szeretné, hogy a Windows tegyen valamit, az illesztőprogram használatával küldi el a kérést.

A memória integritása egy elkülönített környezet hardvervirtualizálással történő létrehozásával működik.

Gondolj úgy, mint egy biztonsági őrre egy zárt fülkében. Ez az izolált környezet (a hasonlatunkban a zárolt fülke) megakadályozza, hogy a támadó illetéktelenül módosítsa a memória integritási funkcióját. Egy olyan programnak, amely veszélyes kódrészletet szeretne futtatni, át kell adnia a kódot a virtuális standon belüli memóriaintegritásnak, hogy ellenőrizhető legyen. Ha a memória integritása kényelmes, hogy a kód biztonságos, a kódot visszaküldi a Windowsnak a futtatáshoz. Ez általában nagyon gyorsan történik.

A memóriaintegritás futtatása nélkül a biztonsági őr közvetlenül a szabadban áll, ahol a támadók sokkal könnyebben zavarhatják vagy szabotálhatják az őrt, így a rosszindulatú kódok könnyebben átugranak, és problémákat okozhatnak.

A váltógombbal be - vagykikapcsolhatja a memória integritását.

Megjegyzés: A memóriaintegritás használatához engedélyeznie kell a hardvervirtualizálást a rendszer UEFI-jében vagy BIOS-ában.

Mi van, ha azt írják, hogy nem kompatibilis illesztőprogramom van?

Ha a memóriaintegritás nem kapcsol be, előfordulhat, hogy már telepítve van egy nem kompatibilis eszközillesztő. Kérdezze meg az eszköz gyártóját, hogy elérhető-e frissített illesztőprogram. Ha nem rendelkezik elérhető kompatibilis illesztőprogramkal, előfordulhat, hogy eltávolíthatja azt az eszközt vagy alkalmazást, amely ezt a nem kompatibilis illesztőprogramot használja.

Megjegyzés: Ha a memóriaintegritás bekapcsolása után inkompatibilis illesztőprogrammal próbál telepíteni egy eszközt, előfordulhat, hogy ugyanezt az üzenetet kapja. Ha igen, ugyanez a tanács érvényes – kérdezze meg az eszköz gyártóját, hogy rendelkezik-e frissített illesztőprogrammal, amelyet letölthet, vagy nem telepítheti az adott eszközt, amíg el nem érhető egy kompatibilis illesztőprogram.

A hardveresen kényszerített veremvédelem egy hardveralapú biztonsági funkció, amely megnehezíti a rosszindulatú programok számára, hogy alacsony szintű illesztőprogramokat használjanak a számítógép eltérítéséhez.

Az illesztőprogram olyan szoftver, amely lehetővé teszi, hogy az operációs rendszer (ebben az esetben Windows) és egy eszköz (például billentyűzet vagy webkamera) kommunikáljon egymással. Amikor az eszköz azt szeretné, hogy a Windows tegyen valamit, az illesztőprogram használatával küldi el a kérést.

A hardveresen kényszerített veremvédelem úgy működik, hogy megakadályozza azokat a támadásokat, amelyek a kernelmódú memóriában módosítják a visszatérési címeket, hogy rosszindulatú kódot indítsanak. Ehhez a biztonsági funkcióhoz olyan processzor szükséges, amely lehetővé teszi a futó kód visszaküldési címeinek ellenőrzését.

Ha kernel módban hajt végre kódot, a kernelmódú veremen lévő visszaadott címeket rosszindulatú programok vagy illesztőprogramok is megsérülhetnek, hogy a normál kódvégrehajtást rosszindulatú kódra irányítsák át. A támogatott CPU-k esetében a CPU fenntartja az érvényes visszatérési címek második példányát egy írásvédett árnyékveremen, amelyet az illesztőprogramok nem tudnak módosítani. Ha a normál veremen módosítják a visszatérési címet, a processzor észlelni tudja ezt az eltérést az árnyékveremen található visszaküldési cím másolatának ellenőrzésével. Ha ez az eltérés jelentkezik, a számítógép leállási hibát (más néven kék képernyőt) kér, hogy megakadályozza a rosszindulatú kód végrehajtását.

Nem minden illesztőprogram kompatibilis ezzel a biztonsági funkcióval, mivel kevés jogos illesztőprogram hajtja be a visszaküldési cím módosítását nem rosszindulatú célokból. A Microsoft számos illesztőprogram-közzétevővel együttműködve biztosítja, hogy a legújabb illesztőprogramok kompatibilisek legyenek a hardveresen kényszerített veremvédelemmel.

A hardveresen kényszerített veremvédelmet a váltógombbal kapcsolhatja be vagy ki.

A hardveresen kényszerített veremvédelem használatához engedélyeznie kell a memóriaintegritást, és olyan processzort kell futtatnia, amely támogatja az Intel Control-Flow kényszerítési technológiát vagy az AMD Árnyékvermet.

Mi a teendő, ha nem kompatibilis illesztőprogramtal vagy szolgáltatással rendelkezem?

Ha a hardveresen kényszerített veremvédelem nem kapcsol be, előfordulhat, hogy már telepítve van egy nem kompatibilis eszközillesztő vagy -szolgáltatás. Kérdezze meg az eszköz gyártóját vagy az alkalmazás kiadóját, hogy elérhető-e frissített illesztőprogram. Ha nem rendelkezik elérhető kompatibilis illesztőprogramkal, előfordulhat, hogy eltávolíthatja a nem kompatibilis illesztőprogramot használó eszközt vagy alkalmazást.

Előfordulhat, hogy egyes alkalmazások az alkalmazás telepítése során nem illesztőprogramot, hanem szolgáltatást telepítenek, és csak az alkalmazás indításakor telepítik az illesztőprogramot. Az inkompatibilis illesztőprogramok pontosabb észlelése érdekében a nem kompatibilis illesztőprogramokkal társított szolgáltatások is enumerálva lesznek.

Megjegyzés: Ha a hardveralapú veremvédelem bekapcsolása után inkompatibilis illesztőprogrammal próbál telepíteni egy eszközt vagy alkalmazást, ugyanez az üzenet jelenhet meg. Ha igen, ugyanez a tanács érvényes – kérdezze meg az eszköz gyártóját vagy az alkalmazás kiadóját, hogy rendelkezik-e frissített illesztőprogrammal, amelyet letölthet, vagy nem telepítheti az adott eszközt vagy alkalmazást, amíg el nem érhető egy kompatibilis illesztőprogram.

Kernel DMA-védelemként is ismert ez a biztonsági funkció, amely megvédi az eszközt az olyan támadásoktól, amelyek akkor fordulhatnak elő, ha rosszindulatú eszközt csatlakoztatnak egy Perifériaösszekötő (PCI) porthoz, például egy Thunderbolt-porthoz.

Az ilyen támadások egyik egyszerű példája az lenne, ha valaki elhagyja a számítógépét egy gyors kávészünetre, és amíg távol volt, a támadó belép, csatlakoztat egy USB-szerű eszközt, és elsétál a gépről származó bizalmas adatokkal, vagy olyan kártevőket szúr be, amelyek lehetővé teszik a számítógép távoli vezérlését. 

A memóriahozzáférés elleni védelem megakadályozza az ilyen típusú támadásokat azáltal, hogy megtagadja a memóriához való közvetlen hozzáférést ezekhez az eszközökhöz, kivéve különleges körülmények között, különösen akkor, ha a számítógép zárolva van, vagy a felhasználó kijelentkezett.

Tipp: További információ: Kernel DMA Protection.

Minden eszköz rendelkezik olyan szoftverrel, amelyet az eszköz írásvédett memóriájára írtak – alapvetően a rendszertáblán lévő chipre – az eszköz alapvető funkcióihoz, például az összes használt alkalmazást futtató operációs rendszer betöltéséhez. Mivel ez a szoftver nehéz (de nem lehetetlen) módosítani azt nevezzük , mint belső vezérlőprogram.

Mivel a belső vezérlőprogram először betöltődik, és az operációs rendszer alatt fut, az operációs rendszerben futó biztonsági eszközöknek és funkcióknak nehéz észlelni vagy védeniük kell azt. Mint egy ház, amely attól függ, hogy egy jó alap, hogy biztonságos, a számítógépnek szüksége van a belső vezérlőprogram biztonságos annak érdekében, hogy az operációs rendszer, alkalmazások, és az adatok ezen a számítógépen biztonságos.

Rendszerőr olyan funkciók készlete, amelyek segítenek biztosítani, hogy a támadók ne tudják az eszközt nem megbízható vagy rosszindulatú belső vezérlőprogramokkal kezdeni.

A belső vezérlőprogram-védelmet biztosító platformok általában eltérő mértékben védik a rendszerfelügyeleti módot (SMM), a magas szintű jogosultsági szintű üzemmódot. A három érték közül az egyikre számíthat, nagyobb számmal, amely nagyobb fokú SMM-védelmet jelez:

  • Az eszköz megfelel a belső vezérlőprogram-védelem első verziójának: ez biztosítja az alapvető biztonsági kockázatcsökkentéseket, amelyek segítenek az SMM-nek ellenállni a kártevők általi kizsákmányolásnak, és megakadályozza a titkos kódok kiszivárgását az operációs rendszerből (beleértve a VBS-t is)

  • Az eszköz megfelel a belsővezérlőprogram-védelem második verziójának: az első verziójú belsővezérlőprogram-védelem mellett a második verzió biztosítja, hogy az SMM ne tiltsa le a Virtualization-alapú biztonság (VBS) és a kernel DMA-védelmét

  • Az eszköz megfelel a belsővezérlőprogram-védelem harmadik verziójának: a belsővezérlőprogram-védelem második verzióján kívül tovább fokozza az SMM-et azáltal, hogy megakadályozza az operációs rendszert veszélyeztető bizonyos regiszterekhez való hozzáférést (beleértve a VBS-t is)

Tipp: További információ: Rendszerőr: Hogyan segít a Windows védelmében egy hardveralapú megbízhatósági gyöker?

A Helyi biztonsági hatóság (LSA) védelme a Windows biztonsági funkciója, amely segít megelőzni a Windowsba való bejelentkezéshez használt hitelesítő adatok ellopását.   

A Helyi biztonsági hatóság (LSA) a windowsos hitelesítés kulcsfontosságú folyamata. Feladata a hitelesítő adatok ellenőrzése a bejelentkezési folyamat során, valamint a szolgáltatások egyszeri bejelentkezésének engedélyezéséhez használt hitelesítési jogkivonatok és jegyek kezelése. Az LSA-védelem segít megakadályozni, hogy a nem megbízható szoftverek az LSA-ben fussanak, vagy hozzáférjenek az LSA-memóriához.  

Hogyan felügyeli a helyi biztonsági hatóságok védelmét?

Az LSA-védelem a váltógombbal kapcsolható be vagy ki.

Miután módosította a beállítást, újra kell indítania ahhoz, hogy érvénybe lépjen. 

Megjegyzés: A hitelesítő adatok biztonságának megőrzése érdekében az LSA-védelem alapértelmezés szerint minden eszközön engedélyezve van. Új telepítések esetén azonnal engedélyezve van. A frissítések esetében a 10 napos próbaidőszak utáni újraindítás után engedélyezve van.

Mi a teendő, ha nem kompatibilis szoftverekkel rendelkezem? 

Ha az LSA-védelem engedélyezve van, és blokkolja a szoftver LSA szolgáltatásba való betöltését, egy értesítés jelzi a blokkolt fájlt. Előfordulhat, hogy el tudja távolítani a fájlt betöltő szoftvert, vagy letilthatja a jövőbeli figyelmeztetéseket, ha az LSA-ba való betöltés le van tiltva.  

Megjegyzés: A Credential Guard a Windows Enterprise vagy Education verzióját futtató eszközökön érhető el.

Miközben munkahelyi vagy iskolai eszközét használja, a rendszer csendesen bejelentkezik, és hozzáférést kap a szervezet különböző fájljaihoz, nyomtatóihoz, alkalmazásaihoz és egyéb erőforrásaihoz. A folyamat biztonságossá tétele, de a felhasználó számára is egyszerűvé tétele azt jelenti, hogy a számítógépen egy adott időpontban számos hitelesítési jogkivonat található.

Ha egy támadó hozzáférhet egy vagy több jogkivonathoz, akkor használhatja őket ahhoz a szervezeti erőforráshoz (bizalmas fájlokhoz stb.), amelyhez a jogkivonat tartozik. A Credential Guard egy védett, virtualizált környezetbe helyezi őket, ahol csak bizonyos szolgáltatások férhetnek hozzá, ha szükséges.

Tipp: További információ: A Credential Guard működése.

Az illesztőprogram olyan szoftver, amely lehetővé teszi, hogy az operációs rendszer (ebben az esetben Windows) és egy eszköz (például billentyűzet vagy webkamera) kommunikáljon egymással. Amikor az eszköz azt szeretné, hogy a Windows tegyen valamit, az illesztőprogram használatával küldi el a kérést. Emiatt az illesztőprogramok sok bizalmas hozzáféréssel rendelkeznek a rendszerben.

Windows 11 tartalmazza az ismert biztonsági résekkel rendelkező, kártevő-aláíráshoz használt tanúsítványokkal aláírt vagy a Windows biztonság modellt megkerülő illesztőprogramok tiltólistát.

Ha a memória integritása, az intelligens alkalmazásvezérlés vagy a Windows S mód be van kapcsolva, a sebezhető illesztőprogram-tiltólista is be lesz kapcsolva.

Biztonsági processzor

Az Windows biztonság alkalmazás Device Security (Eszközbiztonság) lapján található Security processor settings (Biztonsági processzor beállításai) az eszközön található Platformmegbízhatósági modul (TPM) részleteit tartalmazza. A TPM egy olyan hardverösszetevő, amely titkosítási műveletek végrehajtásával fokozza a biztonságot.

Megjegyzés: Ha nem jelenik meg a biztonsági processzor bejegyzés ezen a képernyőn, akkor valószínű, hogy az eszköz nem rendelkezik a TPM (platformmegbízhatósági modul) hardverrel a szolgáltatáshoz, vagy az nincs engedélyezve az UEFI (Unified Extensible Firmware Interface) felületen. Az eszköz gyártójával egyeztesse, hogy az eszköz támogatja-e a TPM-et, és ha igen, az engedélyezésének lépéseit is.

Itt találja a biztonsági processzor gyártójával és verziószámával kapcsolatos adatokat, illetve a biztonsági processzor állapotával kapcsolatos információkat.

A számítógépén található Windows biztonság alkalmazásban, válassza az Eszközbiztonság > Biztonsági processzor részletei lehetőséget , vagy használja a következő parancsikont:

Biztonsági feldolgozó részletei

Ha a biztonsági processzor nem működik megfelelően, a Biztonsági processzor hibaelhárítása hivatkozásra kattintva megtekintheti a hibaüzeneteket és a speciális beállításokat, vagy használhatja az alábbi parancsikont:

Biztonsági processzor hibaelhárítása

A biztonsági feldolgozó hibaelhárítási oldala a TPM-ről szóló összes releváns hibaüzenetet tartalmazza. Íme a hibaüzenetek és a részletek listája:

Message (Üzenet)

Részletek

Frissíteni kell a biztonsági processzor (TPM) belső vezérlőprogramját.

Úgy tűnik, hogy az eszköz alaplapja jelenleg nem támogatja a TPM-et, de a belső vezérlőprogram frissítése megoldhatja ezt. Kérdezze meg az eszköz gyártóját, hogy elérhető-e belsővezérlőprogram-frissítés, és hogyan telepítheti. A belső vezérlőprogram frissítései általában ingyenesek.

A TPM-eszköz le van tiltva és beavatkozást igényel.

A platformmegbízhatósági modul valószínűleg ki van kapcsolva a rendszer BIOS (alapszintű bemeneti/kimeneti rendszer) vagy UEFI (Unified Extensible Firmware Interface) felületén. A bekapcsolására vonatkozó útmutatásért tekintse meg az eszköz gyártójának támogatási dokumentációját, vagy forduljon a műszaki támogatási szolgálathoz.

A TPM-tárterület nem érhető el. Kérjük, törölje a TPM-et.

A TPM törlése gomb ezen az oldalon található. Mielőtt továbblép, győződjön meg arról, hogy rendelkezik az adatok megfelelő biztonsági mentésével.

Az Eszközállapot-igazolás nem érhető el. Kérjük, törölje a TPM-et.

A TPM törlése gomb ezen az oldalon található. Mielőtt továbblép, győződjön meg arról, hogy rendelkezik az adatok megfelelő biztonsági mentésével.

Az Eszközállapot-igazolás nem támogatott ezen az eszközön.

Ez azt jelenti, hogy az eszköz nem ad elég információt annak megállapításához, hogy a TPM miért nem működik megfelelően az eszközön.

A TPM nem kompatibilis a belső vezérlőprogrammal, és előfordulhat, hogy nem működik megfelelően.

Kérdezze meg az eszköz gyártóját, hogy elérhető-e belsővezérlőprogram-frissítés, és hogyan szerezheti be és telepítheti. A belső vezérlőprogram frissítései általában ingyenesek.

Hiányzik a TPM mért rendszerindítási naplója. Próbálja meg újraindítani az eszközt.

Probléma merült fel a TPM-mel kapcsolatban. Próbálja meg újraindítani az eszközt.

Ha egy hiba kijavítását követően továbbra is problémákat tapasztal, forduljon az eszköz gyártójához segítségért.

A TPM törlése lehetőség kiválasztásával visszaállíthatja a biztonsági processzor alapértelmezett beállításait.

Figyelmeztetés: Gondoskodjon az adatok mentéséről, mielőtt törli a TPM-et.

Biztonságos rendszerindítás

A biztonságos rendszerindítás megakadályozza, hogy egy kifinomult és veszélyes típusú kártevő – a rootkit – betöltődjön az eszköz indításakor. A rootkitek azonos szintű engedélyekkel rendelkeznek, mint az operációs rendszer, és mivel annak elindulása előtt indulnak el, így teljes mértékben képesek elrejteni magukat. A rootkitek általában egy kártékony szoftvercsomag részeként vannak jelen, így képesek megkerülni a bejelentkezést, rögzíthetik a jelszavakat és a billentyűleütéseket, továbbíthatják a személyes fájlokat, illetve kriptográfiai adatokat is rögzíthetnek.

Előfordulhat, hogy le kell tiltania a biztonságos rendszerindítást bizonyos grafikus kártyák, hardverek vagy operációs rendszerek, például a Linux vagy a Windows korábbi verzióinak futtatásához.

További információ: Biztonságos rendszerindítás.

Hardveres biztonsági képességek

Az eszközbiztonság lap utolsó szakasza az eszköz biztonsági képességeit jelző információkat jeleníti meg. Íme egy lista az üzenetekről és a részletekről:

Message (Üzenet)

Részletek

Az eszköz megfelel a szabványos hardverbiztonság követelményeinek.

Ez azt jelenti, hogy az eszköz támogatja a memóriaintegritást és a magelkülönítést, illetve rendelkezik a következőkkel:

  • TPM 2.0 (más néven biztonsági processzor)

  • A biztonságos rendszerindítás engedélyezve van

  • DEP

  • UEFI MAT

Az eszköz megfelel a fokozott hardverbiztonság követelményeinek.

Ez azt jelenti, hogy azon túl, hogy az eszköz megfelel a szabványos hardverbiztonsági követelményeknek, a memóriaintegritás is be van kapcsolva rajta.

Az eszközén minden biztonságos magos PC-funkció engedélyezve van.

Ez azt jelenti, hogy azon túl, hogy az eszköz megfelel a fokozott hardverbiztonsági követelményeknek, a Rendszerkezelési üzemmód (SMM) is be van rajta kapcsolva.

A standard hardveres biztonság nem támogatott.

Ez azt jelenti, hogy az eszköz legalább egy szabványos hardverbiztonsági követelménynek nem felel meg.

A hardveres biztonság javítása

Ha nincs megelégedve az eszköz biztonsági képességeivel, előfordulhat, hogy be kell kapcsolnia bizonyos hardverfunkciókat (például a biztonságos rendszerindítást, ha támogatott), vagy módosítania kell a beállításokat a rendszer BIOS-ában. Érdeklődje meg a hardver gyártójától, hogy a hardvere mely funkciókat támogatja, és ezeket hogyan tudja aktiválni.

Facebook LinkedIn E-mail
FELIRATKOZÁS RSS-HÍRCSATORNÁKRA

További segítségre van szüksége?

További lehetőségeket szeretne?

FelfedezésKözösség

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A Microsoft 365-előfizetés előnyei

Microsoft 365-képzés

Microsoft Biztonság

Akadálymentességi központ

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.

Kérdezze meg a Microsoft-közösséget

Microsoft technikai közösség

Windows Insider-résztvevők

Microsoft 365 Insider-résztvevők