A magelkülönítés a Microsoft Windows biztonsági funkciója, amely védelmet nyújt a Windows fontos alapvető folyamatainak a rosszindulatú szoftverektől azáltal, hogy elkülöníti őket a memóriából. Ezt úgy teszi, hogy virtualizált környezetben futtatja ezeket az alapvető folyamatokat.
Megjegyzés: A Magelkülönítés lapon megjelenő adatok a futtatott Windows-verziótól függően változhatnak.
Memóriaintegritás
A memória integritása, más néven hipervizor által védett kódintegritás (HVCI) egy Windows biztonsági funkció, amely megnehezíti a rosszindulatú programok számára, hogy alacsony szintű illesztőprogramokat használjanak a számítógép eltérítéséhez.
Az illesztőprogram olyan szoftver, amely lehetővé teszi, hogy az operációs rendszer (ebben az esetben a Windows) és egy eszköz (például billentyűzet vagy webkamera, két példa) beszéljen egymással. Amikor az eszköz azt szeretné, hogy a Windows tegyen valamit, az illesztőprogramot használja a kérés elküldéséhez.
Tipp: Szeretne többet megtudni az illesztőprogramokról? Lásd: Mi az illesztőprogram?
A memória integritása egy elkülönített környezet hardvervirtualizálással történő létrehozásával működik.
Gondolj úgy, mint egy biztonsági őrre egy zárt fülkében. Ez az izolált környezet (a hasonlatunkban a zárolt fülke) megakadályozza, hogy a támadó illetéktelenül módosítsa a memória integritási funkcióját. Egy olyan programnak, amely veszélyes kódrészletet szeretne futtatni, át kell adnia a kódot a virtuális standon belüli memóriaintegritásnak, hogy ellenőrizhető legyen. Ha a memória integritása kényelmes, hogy a kód biztonságos, a kódot visszaküldi a Windowsnak a futtatáshoz. Ez általában nagyon gyorsan történik.
A memóriaintegritás futtatása nélkül a "biztonsági őr" közvetlenül a szabadban áll, ahol a támadók sokkal egyszerűbben zavarhatják vagy szabotálhatják az őrt, így a rosszindulatú kódok könnyebben átugranak és problémákat okoznak.
Hogyan kezelhetem a memória integritását?
A legtöbb esetben a memóriaintegritás alapértelmezés szerint be van kapcsolva a Windows 11-ben, és bekapcsolható a Windows 10-ben.
Be- és kikapcsolásához:
-
Válassza a Start gombot, és írja be a "Magelkülönítés" kifejezést.
-
Válassza ki a központi elkülönítési rendszer beállításait a keresési eredmények közül a Windows biztonsági alkalmazás megnyitásához.
A Magelkülönítés oldalon a Memória integritása elem mellett a kapcsolóval is be- vagy kikapcsolhatja azt.
Fontos: A biztonság érdekében javasoljuk, hogy kapcsolja be a memória integritását.
A memóriaintegritás használatához engedélyeznie kell a hardvervirtualizálást a rendszer UEFI-jében vagy BIOS-ában.
Mi van, ha azt írják, hogy nem kompatibilis illesztőprogramom van?
Ha a memóriaintegritás nem kapcsol be, előfordulhat, hogy már telepítve van egy nem kompatibilis eszközillesztő. Kérdezze meg az eszköz gyártóját, hogy elérhető-e frissített illesztőprogram. Ha nem rendelkezik elérhető kompatibilis illesztőprogramkal, előfordulhat, hogy eltávolíthatja azt az eszközt vagy alkalmazást, amely ezt a nem kompatibilis illesztőprogramot használja.
Megjegyzés: Ha a memóriaintegritás bekapcsolása után inkompatibilis illesztőprogrammal próbál telepíteni egy eszközt, ugyanez az üzenet jelenhet meg. Ha igen, ugyanez a tanács érvényes – kérdezze meg az eszköz gyártóját, hogy rendelkezik-e frissített illesztőprogrammal, amelyet letölthet, vagy nem telepítheti az adott eszközt, amíg el nem érhető egy kompatibilis illesztőprogram.
Kernelmódú hardveres veremvédelem
A kernelmódú hardveres veremvédelem egy hardveralapú Windows biztonsági funkció, amely megnehezíti a rosszindulatú programok számára, hogy alacsony szintű illesztőprogramokat használjanak a számítógép eltérítéséhez.
Az illesztőprogram olyan szoftver, amely lehetővé teszi, hogy az operációs rendszer (ebben az esetben a Windows) és egy eszköz, például egy billentyűzet vagy webkamerával kommunikáljon egymással. Amikor az eszköz azt szeretné, hogy a Windows tegyen valamit, az illesztőprogramot használja a kérés elküldéséhez.
Tipp: Szeretne többet megtudni az illesztőprogramokról? Lásd: Mi az illesztőprogram?
A kernelmódú hardveresen kényszerített Stack Protection úgy működik, hogy megakadályozza azokat a támadásokat, amelyek a kernelmódú memóriában módosítják a visszatérési címeket, hogy rosszindulatú kódot indítsanak. Ehhez a biztonsági funkcióhoz olyan processzor szükséges, amely lehetővé teszi a futó kód visszaküldési címeinek ellenőrzését.
Ha kernel módban hajt végre kódot, a kernelmódú veremen lévő visszaadott címeket rosszindulatú programok vagy illesztőprogramok is megsérülhetnek, hogy a normál kódvégrehajtást rosszindulatú kódra irányítsák át. A támogatott CPU-k esetében a CPU fenntartja az érvényes visszatérési címek második példányát egy írásvédett árnyékveremen, amelyet az illesztőprogramok nem tudnak módosítani. Ha a normál veremen módosítják a visszatérési címet, a processzor észlelni tudja ezt az eltérést az árnyékveremen található visszaküldési cím másolatának ellenőrzésével. Ha ez az eltérés jelentkezik, a számítógép leállási hibát (más néven kék képernyőt) kér, hogy megakadályozza a rosszindulatú kód végrehajtását.
Nem minden illesztőprogram kompatibilis ezzel a biztonsági funkcióval, mivel kevés jogos illesztőprogram hajtja be a visszaküldési cím módosítását nem rosszindulatú célokból. A Microsoft számos illesztőprogram-közzétevővel együttműködve biztosítja, hogy a legújabb illesztőprogramok kompatibilisek legyenek a kernelmódú, hardveresen kényszerített Stack Protection szolgáltatással.
Hogyan kezelhetem a kernelmódú, hardveresen kényszerített Veremvédelmet?
A kernelmódú hardveres veremvédelem alapértelmezés szerint ki van kapcsolva.
Be- és kikapcsolásához:
-
Válassza a Start gombot, és írja be a "Magelkülönítés" kifejezést.
-
Válassza ki a központi elkülönítési rendszer beállításait a keresési eredmények közül a Windows biztonsági alkalmazás megnyitásához.
A Magelkülönítés oldalon a Kernel módú hardveresen kényszerített Veremvédelem mellett a be- és kikapcsoláshoz használható kapcsoló is található.
A kernelmódú hardveres veremvédelem használatához engedélyeznie kell a memóriaintegritást , és olyan processzort kell futtatnia, amely támogatja az Intel Control-Flow kényszerítési technológiáját vagy az AMD Shadow Stacket.
Mi a teendő, ha nem kompatibilis illesztőprogramtal vagy szolgáltatással rendelkezem?
Ha a kernelmódú hardveres veremvédelem nem kapcsol be, előfordulhat, hogy már telepítve van egy inkompatibilis eszközillesztő vagy -szolgáltatás. Kérdezze meg az eszköz gyártóját vagy az alkalmazás kiadóját, hogy elérhető-e frissített illesztőprogram. Ha nem rendelkezik elérhető kompatibilis illesztőprogramkal, előfordulhat, hogy eltávolíthatja a nem kompatibilis illesztőprogramot használó eszközt vagy alkalmazást.
Egyes alkalmazások az alkalmazás telepítése során nem illesztőprogramot, hanem szolgáltatást telepíthetnek, és csak az alkalmazás indításakor telepíthetik az illesztőprogramot. Az inkompatibilis illesztőprogramok pontosabb észlelése érdekében a nem kompatibilis illesztőprogramokkal társított szolgáltatások is enumerálva lesznek.
Megjegyzés: Ha egy nem kompatibilis illesztőprogrammal rendelkező eszközt vagy alkalmazást próbál telepíteni a kernelmódú hardveres veremvédelem bekapcsolása után, ugyanez az üzenet jelenhet meg. Ha igen, ugyanez a tanács érvényes – kérdezze meg az eszköz gyártóját vagy az alkalmazás kiadóját, hogy rendelkezik-e frissített illesztőprogrammal, amelyet letölthet, vagy nem telepítheti az adott eszközt vagy alkalmazást, amíg el nem érhető egy kompatibilis illesztőprogram.
Memóriahozzáférés elleni védelem
Ez a "Kernel DMA-védelem" néven is ismert, védelmet nyújt az eszköznek az olyan támadások ellen, amelyek akkor fordulhatnak elő, ha egy rosszindulatú eszközt egy PCI-porthoz (perifériaösszetevő-összekapcsoláshoz) csatlakoztatnak, például egy Thunderbolt-porthoz.
Az ilyen támadások egyik egyszerű példája az lenne, ha valaki elhagyja a számítógépét egy gyors kávészünetre, és amíg távol volt, a támadó belép, csatlakoztat egy USB-szerű eszközt, és elsétál a gépről származó bizalmas adatokkal, vagy olyan kártevőket szúr be, amelyek lehetővé teszik a számítógép távoli vezérlését.
A memóriahozzáférés elleni védelem megakadályozza az ilyen típusú támadásokat azáltal, hogy megtagadja a memóriához való közvetlen hozzáférést ezekhez az eszközökhöz, kivéve különleges körülmények között, különösen akkor, ha a számítógép zárolva van , vagy a felhasználó kijelentkezett.
Javasoljuk, hogy kapcsolja be a memóriahozzáférés elleni védelmet.
Tipp: Ha további technikai részletekre van szüksége ezzel kapcsolatban, tekintse meg a Kernel DMA Protection című cikket.
Belső vezérlőprogram-védelem
Minden eszköz rendelkezik olyan szoftverrel, amelyet az eszköz írásvédett memóriájára írtak – alapvetően a rendszertáblán lévő chipre – az eszköz alapvető funkcióihoz, például az összes használt alkalmazást futtató operációs rendszer betöltéséhez. Mivel ez a szoftver nehéz (de nem lehetetlen) módosítani azt nevezzük , mint belső vezérlőprogram.
Mivel a belső vezérlőprogram először betöltődik, és az operációs rendszer alatt fut, az operációs rendszerben futó biztonsági eszközöknek és funkcióknak nehéz észlelni vagy védeniük kell azt. A megfelelő alaptól függő házhoz hasonlóan a számítógépnek is szüksége van a belső vezérlőprogramjának biztonságára annak érdekében, hogy az adott számítógépen található operációs rendszer, alkalmazások és ügyféladatok biztonságban legyenek.
A Windows Defender Rendszerőr olyan funkciók készlete, amelyek segítenek biztosítani, hogy a támadók ne tudják az eszközt nem megbízható vagy rosszindulatú belső vezérlőprogramokkal kezdeni.
Javasoljuk, hogy kapcsolja be, ha az eszköz támogatja.
A belső vezérlőprogram-védelmet biztosító platformok általában eltérő mértékben védik a rendszerfelügyeleti módot (SMM), a magas szintű jogosultsági szintű üzemmódot. A három érték közül az egyikre számíthat, nagyobb számmal, amely nagyobb fokú SMM-védelmet jelez:
-
Az eszköz megfelel a belső vezérlőprogram-védelem első verziójának: ez biztosítja az alapvető biztonsági kockázatcsökkentéseket, amelyek segítenek az SMM-nek ellenállni a kártevők általi kizsákmányolásnak, és megakadályozza a titkos kódok kiszivárgását az operációs rendszerből (beleértve a VBS-t is)
-
Az eszköz megfelel a belsővezérlőprogram-védelem második verziójának: az első verziójú belsővezérlőprogram-védelem mellett a második verzió biztosítja, hogy az SMM ne tiltsa le a Virtualization-alapú biztonság (VBS) és a kernel DMA-védelmét
-
Az eszköz megfelel a belsővezérlőprogram-védelem harmadik verziójának: a belsővezérlőprogram-védelem második verzióján kívül tovább fokozza az SMM-et azáltal, hogy megakadályozza az operációs rendszert veszélyeztető bizonyos regiszterekhez való hozzáférést (beleértve a VBS-t is)
Tipp: Ha további technikai részletekre van szüksége ezzel kapcsolatban, tekintse meg a Windows Defender Rendszerőr: Hogyan segít a Windows védelmében egy hardveralapú megbízhatósági gyöker?
Helyi biztonsági hatóság védelme
A Helyi biztonsági hatóság (LSA) védelme a Windows biztonsági funkciója, amely segít megelőzni a Windowsba való bejelentkezéshez használt hitelesítő adatok ellopását.
A Helyi biztonsági hatóság (LSA) a windowsos hitelesítés kulcsfontosságú folyamata. Feladata a hitelesítő adatok ellenőrzése a bejelentkezési folyamat során, valamint a szolgáltatások egyszeri bejelentkezésének engedélyezéséhez használt hitelesítési jogkivonatok és jegyek kezelése. Az LSA-védelem segít megakadályozni, hogy a nem megbízható szoftverek az LSA-ben fussanak, vagy hozzáférjenek az LSA-memóriához.
Hogyan kezelhetem a helyi biztonsági hatóságok védelmét?
Az LSA-védelem alapértelmezés szerint be van kapcsolva a Windows 11 22H2-es és 23H2-es verziójának vállalati felügyelt eszközökön történő új telepítésekor. Alapértelmezés szerint be van kapcsolva a Windows 11 24H2-es és újabb verzióinak összes új telepítésén.
Ha Windows 11 24H2-re frissít, és az LSA-védelem még nincs engedélyezve, az LSA-védelem a frissítés után megkísérli az engedélyezést. Az LSA-védelem a frissítés után kiértékelési módba lép, és egy 5 napos időszakban ellenőrzi a kompatibilitási problémákat. Ha nem észlelhető probléma, akkor az LSA-védelem automatikusan be lesz kapcsolva a következő újraindításkor, miután a kiértékelési időszak véget ért.
Be- és kikapcsolásához:
-
Válassza a Start gombot a tálcán, és írja be a "Magelkülönítés" kifejezést.
-
Válassza ki a központi elkülönítési rendszer beállításait a keresési eredmények közül a Windows biztonsági alkalmazás megnyitásához.
Az Alapvető elkülönítés lapon a Helyi biztonsági hatóság védelme mellett a kapcsolóval is be- vagy kikapcsolhatja azt. Miután módosította a beállítást, újra kell indítania ahhoz, hogy érvénybe lépjen.
Mi a teendő, ha nem kompatibilis szoftverekkel rendelkezem?
Ha az LSA-védelem engedélyezve van, és blokkolja a szoftver LSA szolgáltatásba való betöltését, megjelenik egy értesítés, amely jelzi a blokkolt fájlt. Eltávolíthatja a fájlt betöltő szoftvert, vagy letilthatja a jövőbeli figyelmeztetéseket, ha az LSA-ba való betöltés le van tiltva.
Microsoft Defender Credential Guard
Megjegyzés: A Microsoft Defender Credential Guard csak a Windows 10 vagy 11 Enterprise verzióját futtató eszközökön jelenik meg.
Miközben a munkahelyi vagy iskolai számítógépét használja, a rendszer csendesen bejelentkezik, és hozzáférést kap a szervezet különböző fájljaihoz, nyomtatóihoz, alkalmazásaihoz és egyéb erőforrásaihoz. A folyamat biztonságossá tétele, de a felhasználó számára is egyszerűvé tétele azt jelenti, hogy a számítógépen számos hitelesítési jogkivonat (más néven "titkos kód") található.
Ha egy támadó hozzáférhet egy vagy több ilyen titkos kulcshoz, azzal hozzáférhet ahhoz a szervezeti erőforráshoz (bizalmas fájlokhoz stb.), amelyhez a titkos kulcs tartozik. A Microsoft Defender Credential Guard védett, virtualizált környezetbe helyezi őket, ahol szükség esetén csak bizonyos szolgáltatások férhetnek hozzá.
Javasoljuk, hogy kapcsolja be, ha az eszköz támogatja.
Tipp: Ha további technikai részletekre van szüksége erről, tekintse meg a Defender Credential Guard működését ismertető cikket.
A Microsoft sebezhető illesztőprogram-tiltólistája
Az illesztőprogram olyan szoftver, amely lehetővé teszi, hogy az operációs rendszer (ebben az esetben a Windows) és egy eszköz (például billentyűzet vagy webkamera, két példa) beszéljen egymással. Amikor az eszköz azt szeretné, hogy a Windows tegyen valamit, az illesztőprogramot használja a kérés elküldéséhez. Emiatt az illesztőprogramok sok bizalmas hozzáféréssel rendelkeznek a rendszerben.
A Windows 11 2022 frissítéstől kezdődően már rendelkezünk egy tiltólistával azokról az illesztőprogramokról, amelyek ismert biztonsági résekkel rendelkeznek, olyan tanúsítványokkal vannak aláírva, amelyeket kártevők aláírására használtak, vagy amelyek megkerülik a Windows biztonsági modelljét.
Ha a memória integritása, az intelligens alkalmazásvezérlés vagy a Windows S mód be van kapcsolva, a sebezhető illesztőprogram-tiltólista is be lesz kapcsolva.
Lásd még
Védelem a Windows biztonság alkalmazással
A Microsoft biztonsággal kapcsolatos súgója és tanulási lehetőségei