Keamanan Perangkat di Aplikasi Keamanan Windows

Integritas memori, juga dikenal sebagai Hypervisor-protected Code Integrity (HVCI) adalah fitur keamanan Windows yang menyulitkan program jahat untuk menggunakan driver tingkat rendah untuk membajak PC Anda.

Driver adalah perangkat lunak yang memungkinkan sistem operasi (Windows dalam hal ini) dan perangkat (seperti keyboard atau webcam) saling berbicara. Ketika perangkat ingin Windows melakukan sesuatu, perangkat menggunakan driver untuk mengirim permintaan tersebut.

Integritas memori bekerja dengan membuat lingkungan terisolasi menggunakan virtualisasi perangkat keras.

Anggap saja seperti penjaga keamanan di dalam stan terkunci. Lingkungan terisolasi ini (stan terkunci dalam analogi kami) mencegah fitur integritas memori diutak-atik oleh penyerang. Program yang ingin menjalankan sepotong kode yang mungkin berbahaya harus memberikan kode ke integritas memori di dalam stan virtual tersebut sehingga dapat diverifikasi. Ketika integritas memori terbiasa bahwa kode aman, kode akan kembali ke Windows untuk dijalankan. Biasanya, ini terjadi sangat cepat.

Tanpa integritas memori berjalan, penjaga keamanan berdiri tepat di tempat terbuka di mana jauh lebih mudah bagi penyerang untuk mengganggu atau menyabotase penjaga, memudahkan kode berbahaya untuk menyelinap melewati dan menyebabkan masalah.

Anda dapat mengaktifkan ataumenonaktifkan integritas memori menggunakan tombol alih.

Bagaimana jika dikatakan bahwa saya memiliki driver yang tidak kompatibel?

Jika integritas memori gagal diaktifkan, mungkin anda telah menginstal driver perangkat yang tidak kompatibel. Tanyakan kepada produsen perangkat untuk melihat apakah driver telah diperbarui tersedia. Jika driver tidak kompatibel tersedia, Anda mungkin dapat menghapus perangkat atau aplikasi yang menggunakan driver yang tidak kompatibel tersebut.

Perlindungan tumpukan yang diberlakukan perangkat keras adalah fitur keamanan berbasis perangkat keras yang menyulitkan program berbahaya untuk menggunakan driver tingkat rendah untuk membajak PC Anda.

Driver adalah perangkat lunak yang memungkinkan sistem operasi (Windows dalam hal ini) dan perangkat (seperti keyboard atau webcam) saling berbicara. Ketika perangkat ingin Windows melakukan sesuatu, perangkat menggunakan driver untuk mengirim permintaan tersebut.

Perlindungan tumpukan yang diberlakukan perangkat keras berfungsi dengan mencegah serangan yang mengubah alamat pengembalian dalam memori mode kernel untuk meluncurkan kode berbahaya. Fitur keamanan ini memerlukan CPU yang berisi kemampuan untuk memverifikasi alamat pengirim kode yang berjalan.

Ketika menjalankan kode dalam mode kernel, alamat pengembalian pada tumpukan mode kernel dapat rusak oleh program atau driver berbahaya untuk mengalihkan eksekusi kode normal ke kode berbahaya. Pada CPU yang didukung, CPU mempertahankan salinan kedua alamat pengirim yang valid pada tumpukan bayangan baca-saja yang tidak dapat diubah driver. Jika alamat pengirim pada tumpukan reguler telah diubah, CPU dapat mendeteksi perbedaan ini dengan memeriksa salinan alamat pengirim pada tumpukan bayangan. Ketika perbedaan ini terjadi, komputer meminta kesalahan berhenti, terkadang dikenal sebagai layar biru, untuk mencegah kode berbahaya dijalankan.

Tidak semua driver kompatibel dengan fitur keamanan ini, karena sejumlah kecil driver yang sah terlibat dalam modifikasi alamat pengembalian untuk tujuan yang tidak berbahaya. Microsoft telah terlibat dengan banyak penerbit driver untuk memastikan bahwa driver terbaru mereka kompatibel dengan perlindungan tumpukan yang diberlakukan perangkat keras.

Anda dapat mengaktifkan ataumenonaktifkan proteksi tumpukan diberlakukan perangkat keras menggunakan tombol alih.

Untuk menggunakan proteksi tumpukan yang diberlakukan perangkat keras, Anda harus memiliki integritas memori yang diaktifkan, dan Anda harus menjalankan CPU yang mendukung Intel Control-Flow Enforcement Technology atau AMD Shadow Stack.

Bagaimana jika dikatakan bahwa saya memiliki driver atau layanan yang tidak kompatibel?

Jika proteksi tumpukan yang diberlakukan perangkat keras gagal diaktifkan, perangkat mungkin memberi tahu Anda bahwa Anda telah menginstal driver atau layanan perangkat yang tidak kompatibel. Tanyakan kepada produsen perangkat atau penerbit aplikasi untuk melihat apakah tersedia driver yang diperbarui. Jika driver tidak kompatibel tersedia, Anda mungkin dapat menghapus perangkat atau aplikasi yang menggunakan driver yang tidak kompatibel tersebut.

Beberapa aplikasi mungkin menginstal layanan, bukan driver selama penginstalan aplikasi dan menginstal driver hanya ketika aplikasi diluncurkan. Untuk deteksi driver yang tidak kompatibel secara lebih akurat, layanan yang dikenal terkait dengan driver yang tidak kompatibel juga dihitung.

Juga dikenal sebagai perlindungan DMA Kernel fitur keamanan ini melindungi perangkat Anda dari serangan yang dapat terjadi ketika perangkat berbahaya dicolokkan ke port Interkoneksi Komponen Periferal (PCI) seperti port Thunderbolt.

Contoh sederhana dari salah satu serangan ini adalah jika seseorang meninggalkan PC mereka untuk minum kopi cepat, dan saat mereka pergi, penyerang melangkah masuk, mencolokkan perangkat seperti USB dan pergi dengan data sensitif dari mesin, atau menyuntikkan malware yang memungkinkan mereka untuk mengontrol PC dari jarak jauh. 

Perlindungan akses memori mencegah serangan semacam ini dengan menolak akses langsung ke memori ke perangkat tersebut kecuali dalam situasi khusus, terutama ketika PC terkunci, atau pengguna keluar.

Setiap perangkat memiliki beberapa perangkat lunak yang telah ditulis ke memori baca-saja perangkat - pada dasarnya ditulis ke chip di papan sistem - yang digunakan untuk fungsi dasar perangkat, seperti memuat sistem operasi yang menjalankan semua aplikasi yang biasa kami gunakan. Karena perangkat lunak itu sulit (tetapi tidak mustahil) untuk mengubahnya, kami menyebutnya sebagai firmware.

Karena firmware dimuat terlebih dahulu dan berjalan di bawah sistem operasi, alat dan fitur keamanan yang berjalan dalam sistem operasi mengalami kesulitan mendeteksi atau mempertahankannya. Seperti rumah yang bergantung pada fondasi yang baik untuk aman, komputer membutuhkan firmwarenya agar aman untuk memastikan bahwa sistem operasi, aplikasi, dan data di komputer itu aman.

System Guard adalah sekumpulan fitur yang membantu memastikan bahwa penyerang tidak dapat memulai dengan firmware yang tidak tepercaya atau berbahaya.

Platform yang menawarkan perlindungan firmware biasanya juga melindungi Mode Manajemen Sistem (SMM), mode operasi yang sangat istimewa, hingga berbagai derajat. Anda dapat mengharapkan salah satu dari tiga nilai, dengan angka yang lebih tinggi menunjukkan tingkat proteksi SMM yang lebih besar:

• Perangkat Anda memenuhi versi proteksi firmware satu: ini menawarkan mitigasi keamanan dasar untuk membantu SMM menolak eksploitasi oleh malware, dan mencegah eksfiltrasi rahasia dari OS (termasuk VBS)

• Perangkat Anda memenuhi proteksi firmware versi dua: selain perlindungan firmware versi satu, versi dua memastikan bahwa SMM tidak dapat menonaktifkan perlindungan Keamanan berbasis Virtualisasi (VBS) dan DMA kernel

• Perangkat Anda memenuhi versi proteksi firmware tiga: selain perlindungan firmware versi dua, perangkat ini semakin mengeraskan SMM dengan mencegah akses ke register tertentu yang memiliki kemampuan untuk membahayakan OS (termasuk VBS)

Perlindungan Otoritas Keamanan Lokal (LSA) adalah fitur keamanan Windows untuk membantu mencegah pencurian kredensial yang digunakan untuk masuk ke Windows.   

Local Security Authority (LSA) adalah proses penting di Windows yang terlibat dalam autentikasi pengguna. Ini bertanggung jawab untuk memverifikasi kredensial selama proses masuk dan mengelola token autentikasi dan tiket yang digunakan untuk mengaktifkan masuk tunggal untuk layanan. Perlindungan LSA membantu mencegah perangkat lunak yang tidak tepercaya berjalan di dalam LSA atau mengakses memori LSA.  

Bagaimana cara mengelola perlindungan Otoritas Keamanan Lokal?

Anda dapat mengaktifkan ataumenonaktifkan proteksi LSA menggunakan tombol alih.

Setelah Anda mengubah pengaturan, Anda harus melakukan boot ulang agar diterapkan. 

Bagaimana jika saya memiliki perangkat lunak yang tidak kompatibel? 

Jika perlindungan LSA diaktifkan dan memblokir pemuatan perangkat lunak ke layanan LSA, pemberitahuan menunjukkan file yang diblokir. Anda mungkin dapat menghapus perangkat lunak yang memuat file, atau menonaktifkan peringatan di masa mendatang untuk file tersebut ketika diblokir agar tidak dimuat ke LSA.  

Saat Anda menggunakan perangkat kantor atau sekolah, perangkat tersebut akan masuk dan mendapatkan akses ke berbagai hal seperti file, printer, aplikasi, dan sumber daya lainnya di organisasi Anda. Membuat proses tersebut aman, namun mudah bagi pengguna, berarti BAHWA PC Anda memiliki sejumlah token autentikasi di dalamnya pada waktu tertentu.

Jika penyerang dapat memperoleh akses ke satu token tersebut, atau lebih, mereka mungkin dapat menggunakannya untuk mendapatkan akses ke sumber daya organisasi (file sensitif, dll) yang digunakan untuk token. Pelindung Kredensial membantu melindungi token tersebut dengan meletakkannya dalam lingkungan yang dilindungi dan divirtualisasi, di mana hanya layanan tertentu yang dapat mengaksesnya jika diperlukan.

Driver adalah perangkat lunak yang memungkinkan sistem operasi (Windows dalam hal ini) dan perangkat (seperti keyboard atau webcam) saling berbicara. Ketika perangkat ingin Windows melakukan sesuatu, perangkat menggunakan driver untuk mengirim permintaan tersebut. Karena itu, driver memiliki banyak akses sensitif di sistem Anda.

Windows 11 menyertakan daftar blokir driver yang memiliki kerentanan keamanan yang diketahui, telah ditandatangani dengan sertifikat yang digunakan untuk menandatangani malware, atau yang menghindari Model Keamanan Windows.

Jika Anda memiliki integritas memori, Kontrol Aplikasi Cerdas, atau mode Windows S aktif, daftar blokir driver yang rentan juga akan aktif.

Ini adalah tempat Anda akan menemukan informasi tentang produsen prosesor keamanan dan nomor versi, serta tentang status prosesor keamanan.

Di aplikasi Keamanan Windows  pada PC Anda, pilih Detail prosesorkeamanan> Keamanan  perangkat atau gunakan pintasan berikut:

Detail prosesor keamanan

Jika prosesor keamanan tidak berfungsi dengan benar, Anda dapat memilih tautan Pemecahan masalah prosesor keamanan untuk melihat pesan kesalahan dan opsi tingkat lanjut, atau menggunakan pintasan berikut:

Pemecahan masalah prosesor keamanan

Halaman pemecahan masalah prosesor keamanan menyediakan pesan kesalahan yang relevan tentang TPM. Berikut daftar pesan kesalahan dan detailnya:

Pesan	Detail
Pembaruan firmware diperlukan untuk prosesor keamanan (TPM) Anda.	Motherboard perangkat Anda tidak terlihat mendukung TPM saat ini, tetapi pembaruan firmware mungkin mengatasi masalah ini. Hubungi produsen perangkat Anda untuk melihat apakah pembaruan firmware tersedia dan cara menginstalnya. Pembaruan firmware biasanya gratis.
TPM dinonaktifkan dan memerlukan perhatian.	Modul platform tepercaya mungkin dinonaktifkan dalam sistem BIOS (Sistem Input/Output Dasar) atau UEFI (Unified Extensible Firmware Interface). Lihat dokumentasi dukungan produsen perangkat Anda, atau hubungi dukungan teknis mereka, untuk instruksi tentang cara mengaktifkannya.
Penyimpanan TPM tidak tersedia. Tolong bersihkan TPM-mu.	Tombol hapus TPM ada di halaman ini. Anda mungkin ingin memastikan bahwa Anda memiliki cadangan data yang baik sebelum melanjutkan.
Pengesahan kesehatan perangkat tidak tersedia. Tolong bersihkan TPM-mu.	Tombol hapus TPM ada di halaman ini. Anda mungkin ingin memastikan bahwa Anda memiliki cadangan data yang baik sebelum melanjutkan.
Pengesahan kesehatan perangkat tidak didukung di perangkat ini.	Ini berarti perangkat tidak memberi kami cukup informasi untuk menentukan mengapa TPM mungkin tidak berfungsi dengan benar di perangkat Anda.
TPM Anda tidak kompatibel dengan firmware Anda dan mungkin tidak berfungsi dengan benar.	Hubungi produsen perangkat Anda untuk melihat apakah pembaruan firmware tersedia dan cara mendapatkan dan menginstalnya. Pembaruan firmware biasanya gratis.
Log boot terukur TPM hilang. Coba mulai ulang perangkat Anda.
Ada masalah dengan TPM Anda. Coba mulai ulang perangkat Anda.

Jika Anda masih mengalami masalah setelah mengatasi pesan kesalahan, hubungi produsen perangkat Anda untuk bantuan.

Pilih Hapus TPM untuk mengatur ulang prosesor keamanan Anda ke pengaturan defaultnya.