Branduolio atskyrimas yra "Microsoft Windows" saugos funkcija, apsauganti svarbius pagrindinius "Windows" procesus nuo kenkėjiškos programinės įrangos juos atskiriant atmintyje. Tai daroma vykdant šiuos pagrindinius procesus virtualioje aplinkoje. 

Pastaba: Tai, ką matote puslapyje Branduolio atskyrimas, gali šiek tiek skirtis, atsižvelgiant į tai, kokią "Windows" versiją naudojate.

Atminties vientisumas

Atminties vientisumas, taip pat žinomas kaip hipervizoriaus apsaugotas kodo vientisumas (HVCI) yra "Windows" saugos funkcija, dėl kurios kenkėjiškoms programoms sunku naudoti žemo lygio tvarkykles užgrobti kompiuterį.

Tvarkyklė yra programinė įranga, leidžianti operacinei sistemai (šiuo atveju "Windows") ir įrenginiui (pvz., klaviatūrai arba žiniatinklio kamerai, dviem pavyzdžiais) kalbėtis tarpusavyje. Kai įrenginys nori, kad "Windows" ką nors padarytų, naudodamas tvarkyklę užklausai siųsti.

Patarimas: Norite sužinoti daugiau apie tvarkykles? Žr. Kas yra tvarkyklė?

Atminties vientisumas veikia kuriant izoliuotą aplinką naudojant aparatūros virtualizaciją.

Pagalvokite apie tai kaip apsaugos viduje užrakinta parduotuvė. Ši izoliuota aplinka (mūsų analogijoje užrakinta parduotuvė) neleidžia atminties vientisumo funkcijai piktavališkai piktavališkai pakeisti. Programa, kuri nori paleisti kodo dalį, kuri gali būti pavojinga, turi perduoti kodą į atminties vientisumą toje virtualiojoje parduotuvėnoje, kad ją būtų galima patikrinti. Kai atminties vientisumas yra patogus, kad kodas yra saugus jis rankas kodas atgal į Windows paleisti. Paprastai taip nutinka labai greitai.

Be atminties vientisumo veikia, "apsaugos" išsiskiria tiesiai iš atvirai, kur tai daug lengviau užpuolikas trukdo arba sukabinti apsaugos, kad būtų lengviau kenkėjiškas kodas nukniaukti praeities ir sukelti problemų.

Kaip valdyti atminties vientisumą?

Daugeliu atvejų atminties vientisumas sistemoje "Windows 11" yra įjungtas pagal numatytuosius parametrus ir jį galima įjungti sistemoje "Windows 10".

Norėdami ją įjungti arba išjungti:

  1. Pasirinkite pradžios mygtuką ir įveskite "Branduolio atskyrimas".

  2. Ieškos rezultatuose pasirinkite branduolio atskyrimo sistemos parametrus, kad atidarytumėte "Windows" saugos programėlę.

Puslapyje Branduolio atskyrimas rasite Atminties vientisumą kartu su jungikliu, kad jį įjungtumėte arba išjungtumėte.

"Windows" saugos branduolio atskyrimo puslapis

Svarbu: Saugos sumetimais rekomenduojame įjungti atminties vientisumą.

Jei norite naudoti atminties vientisumą, jūsų sistemos UEFI arba BIOS turi būti įgalintas aparatūros virtualizavimas. 

Ką daryti, jei sakoma, kad turiu nesuderinamą tvarkyklę?

Jei nepavyksta įjungti atminties vientisumo, gali būti nurodyta, kad jau įdiegta nesuderinama įrenginio tvarkyklė. Kreipkitės į įrenginio gamintoją ir sužinokite, ar yra atnaujinta tvarkyklė. Jei jie neturi suderinamos tvarkyklės, galbūt galėsite pašalinti įrenginį arba programėlę, kuri naudoja nesuderinamą tvarkyklę.

"Windows" atminties vientisumo funkcija, rodanti, kad tvarkyklė nesuderinama

Pastaba: Jei įjungę atminties vientisumą bandote įdiegti įrenginį su nesuderinama tvarkykle, galite matyti tą patį pranešimą. Jei taip, galioja tie patys patarimai – kreipkitės į įrenginio gamintoją, kad sužinotumėte, ar jis turi atnaujintą tvarkyklę, kurią galite atsisiųsti, arba nediekite konkretaus įrenginio, kol nebus pasiekiama suderinama tvarkyklė.

Branduolio režimo aparatūrai taikoma rietuvės apsauga

Branduolio režimo aparatūrai taikoma rietuvės apsauga yra aparatūra pagrįsta "Windows" saugos funkcija, dėl kurios kenkėjiškoms programoms sunku naudoti žemo lygio tvarkykles norint užgrobti kompiuterį.

Tvarkyklė yra programinė įranga, leidžianti operacinei sistemai (šiuo atveju "Windows") ir įrenginiui, pvz., klaviatūrai ar žiniatinklio kamerai, kalbėtis tarpusavyje. Kai įrenginys nori, kad "Windows" ką nors padarytų, naudodamas tvarkyklę užklausai siųsti.

Patarimas: Norite sužinoti daugiau apie tvarkykles? Žr. Kas yra tvarkyklė?

Branduolio režimo aparatūros įgalinta rietuvės apsauga neleidžia atakoms, kurios modifikuoja atgalinius adresus branduolio režimo atmintyje, kad būtų paleistas kenkėjiškas kodas. Šiai saugos funkcijai reikalingas CPU, kuriame yra galimybė patikrinti vykdomo kodo grąžinamus adresus.

Vykdant kodą branduolio režimu, branduolio režimo rietuvėje esančius adresus gali sugadinti kenkėjiškos programos arba tvarkyklės, kad būtų peradresuotas įprastas kodo vykdymas į kenkėjišką kodą. Palaikomuose CPU CPU išlaiko antrą galiojančių atgalinių adresų kopiją tik skaityti skirtame šešėliniame šūsnieje, kurios tvarkyklės negali modifikuoti. Jei reguliariai rietuvėje buvo modifikuotas atgalinis adresas, CPU gali aptikti šį neatitikimą patikrindamas atgalinio adreso kopiją šešėliniame šūsnies. Įvykus šiam neatitikimui, kompiuteris paragina stabdymo klaidą, kartais vadinamą mėlynu ekranu, kad kenkėjiškas kodas nebūtų vykdomas.

Ne visos tvarkyklės suderinamos su šia saugos funkcija, nes nedidelis skaičius teisėtų tvarkyklių verčiasi atgalinio adreso modifikavimu ne kenkėjiškais tikslais. "Microsoft" bendradarbiauti su daugybe tvarkyklių leidėjų, siekdama užtikrinti, kad jų naujausios tvarkyklės būtų suderinamos su branduolio režimu vykdoma aparatūros apsauga nuo rietuvės.

Kaip valdyti branduolio režimo aparatūros teikiamą rietuvės apsaugą?

Branduolio režimo aparatūrai taikoma rietuvės apsauga pagal numatytuosius parametrus yra išjungta.

Norėdami ją įjungti arba išjungti:

  1. Pasirinkite pradžios mygtuką ir įveskite "Branduolio atskyrimas".

  2. Ieškos rezultatuose pasirinkite branduolio atskyrimo sistemos parametrus, kad atidarytumėte "Windows" saugos programėlę.

Puslapyje Branduolio atskyrimas rasite Branduolio režimu įgalintą aparatūros rietuvės apsaugą ir jungiklį, kad įjungtumėte arba išjungtumėte.

Nurodo branduolio režimo aparatūros įgalinto rietuvės apsaugos vartotojo sąsajos jungiklio vietą "Windows" saugos programos branduolio atskyrimo puslapyje.

Norėdami naudoti branduolio režimo aparatūrą palaikančią rietuvės apsaugą, turite būti įjungę atminties vientisumą ir naudoti CPU, palaikantį "Intel Control-Flow vykdymo technologiją arba AMD šešėlinį šūsnį.

Ką daryti, jei sakoma, kad turiu nesuderinamą tvarkyklę arba paslaugą?

Jei nepavyksta įjungti branduolio režimo aparatūros apsaugoto rietuvės apsaugos, gali būti nurodyta, kad jau turite įdiegtą nesuderinamą įrenginio tvarkyklę arba tarnybą. Kreipkitės į įrenginio gamintoją arba programos leidėją, ar jie turi atnaujintą tvarkyklę. Jei jie neturi suderinamos tvarkyklės, galbūt galėsite pašalinti įrenginį arba programėlę, kuri naudoja nesuderinamą tvarkyklę.

Kai kurios programos gali įdiegti tarnybą, o ne tvarkyklę taikomosios programos diegimo metu ir įdiegti tvarkyklę tik tada, kai programa paleidžiama. Siekiant tiksliau aptikti nesuderinamas tvarkykles, taip pat išvardijamos paslaugos, kurios yra susijusios su nesuderinamomis tvarkyklėmis.

Nesuderinamas tvarkyklių ir tarnybų puslapis, skirtas branduolio režimu taikomai aparatūros rietuvės apsaugai "Windows" saugos programėlėje, kai rodoma viena nesuderinama tvarkyklė. Nesuderinama tvarkyklė vadinama ExampleDriver.sys, publikuota įmonės pavyzdžio.

Pastaba: Jei įjungę branduolio režimo aparatūros apsaugotą rietuvės apsaugą bandote įdiegti įrenginį arba programėlę su nesuderinama tvarkykle, galite matyti tą patį pranešimą. Jei taip, galioja tie patys patarimai – kreipkitės į įrenginio gamintoją arba programėlės leidėją, kad sužinotumėte, ar jie turi atnaujintą tvarkyklę, kurią galite atsisiųsti, arba nediekite to konkretaus įrenginio ar programėlės, kol nebus pasiekiama suderinama tvarkyklė.

Atminties prieigos apsauga

Tai dar vadinama "branduolio DMA apsauga", kuri apsaugo įrenginį nuo atakų, kurios gali įvykti, kai kenkėjiškas įrenginys prijungtas prie PCI (periferinių komponentų jungties) prievado, pvz., "Thunderbolt" prievado.

Paprastas vienos iš šių atakų pavyzdys būtų toks, jei kas nors palieka kompiuterį greitai padaryti kavos pertraukėlę, o kol jie buvo išvykę, užpuolikų veiksmai, prijungiamas prie USB primenančio įrenginio ir nueina nuo įrenginio su slaptais duomenimis arba įšvirkščiama kenkėjiška programa, kuri leidžia jiems valdyti kompiuterį nuotoliniu būdu. 

Apsauga nuo atminties apsaugo nuo tokio pobūdžio atakų uždrausdama tiesioginę prieigą prie atminties tuose įrenginiuose, išskyrus atvejus, kai tam tikromis aplinkybėmis, ypač kai kompiuteris užrakintas arba vartotojas yra atsijungęs.

Rekomenduojame įjungti atminties prieigos apsaugą.

Patarimas: Jei norite išsamesnės informacijos apie tai, žr. Branduolio DMA apsauga.

Programinės-aparatinės įrangos apsauga

Kiekvienas įrenginys turi tam tikrą programinę įrangą, kuri įrašyta į tik skaityti skirtą įrenginio atmintį – iš esmės parašyta į sistemos plokštės mikroschemą – kuri naudojama pagrindinėms įrenginio funkcijoms atlikti, pvz., operacinės sistemos, kurioje veikia visos naudojamos programos, įkėlimas. Kadangi tą programinę įrangą sunku (bet ne neįmanoma) modifikuoti, mes ją vadiname programine-aparatine įranga.

Programinė-aparatinė įranga įkeliama pirmiausia ir veikia operacinėje sistemoje, todėl operacinės sistemos veikiantiems saugos įrankiams ir funkcijoms sunku ją aptikti arba apsisaugoti. Kaip namui, kuris priklauso nuo tinkamo pagrindo būti saugiam, kompiuteriui reikia, kad programinė-aparatinė įranga būtų saugi, siekiant užtikrinti, kad operacinė sistema, programos ir kliento duomenys tame kompiuteryje būtų saugūs.

"Windows" sargybos "System Guard" yra funkcijų rinkinys, padedantis užtikrinti, kad programišiai negaus jūsų įrenginio paleisti nepatikimos ar kenkėjiškos programinės-aparatinės įrangos.

Rekomenduojame jį įjungti, jei jūsų įrenginys jį palaiko.

Platformos, kurios siūlo programinės-aparatinės įrangos apsaugą, paprastai skirtingai apsaugo sistemos valdymo režimą (SMM), itin privilegijuotą operacinį režimą. Galite tikėtis vienos iš trijų reikšmių su didesniu skaičiumi, nurodančiu didesnį SMM apsaugos laipsnį:

  • Jūsų įrenginys atitinka programinės-aparatinės įrangos apsaugos versiją: ji siūlo bazinius saugos mažinimus, kurie padeda SMM atsispirti kenkėjiškų programų išnaudojimui ir neleidžia iš OS (įskaitant VBS) išsklaidyti paslaptis.

  • Jūsų įrenginys atitinka antrą programinės-aparatinės įrangos apsaugos versiją: be programinės-aparatinės įrangos apsaugos 1 versijos, antra versija užtikrina, kad SMM negali išjungti virtualizavimu pagrįstos saugos (VBS) ir branduolio DMA apsaugos

  • Jūsų įrenginys atitinka programinės-aparatinės įrangos apsaugos trečios versijos: be programinės-aparatinės įrangos apsaugos antros versijos, ji dar labiau sustidina SMM neleisdama pasiekti tam tikrų registrų, kurie gali pažeisti OS (įskaitant VBS)

Patarimas: Jei norite gauti daugiau techninės informacijos apie tai, žr. "Windows" sargybos "System Guard": Kaip aparatūra pagrįsta pasitikėjimo šaknis padeda apsaugoti "Windows"

Vietinės saugos institucijos apsauga

Vietinės saugos institucijos (LSA) apsauga yra "Windows" saugos funkcija, padedanti apsaugoti nuo kredencialų, naudojamų prisijungiant prie "Windows", vagystės.   

Vietos saugos tarnyba (LSA) yra esminis procesas sistemoje "Windows", susijusioje su vartotojo autentifikavimu. Jis yra atsakingas už kredencialų tikrinimą prisijungimo proceso metu ir autentifikavimo atpažinimo ženklų bei bilietų, naudojamų įjungti bendrąją autentifikaciją paslaugoms, valdymą. LSA apsauga neleidžia nepatikimai programinei įrangai veikti LSA viduje arba pasiekti LSA atminties.  

Kaip valdyti vietinės saugos institucijos apsaugą

LSA apsauga įjungta pagal numatytuosius parametrus naujose "Windows 11" 22H2 ir 23H2 versijos įdiegtyse įmonės valdomuose įrenginiuose. Pagal numatytuosius parametrus ji įjungta visose naujose "Windows 11" 24H2 ir naujesnėse versijose. 

Jei naujinate versiją į "Windows 11 24H2" ir LSA apsauga dar neįgalinta, atnaujinus versiją LSA apsauga bandys įgalinti. Po versijos naujinimo LSA apsauga įeis į vertinimo režimą ir 5 dienų laikotarpiu patikrins, ar nėra suderinamumo problemų. Jei neaptikta jokių problemų, tada LSA apsauga bus automatiškai įjungta kitą kartą paleidus iš naujo pasibaigus įvertinimo langui.  

Norėdami ją įjungti arba išjungti: 

  1. Užduočių juostoje pasirinkite Pradžia ir įveskite "Branduolio atskyrimas".

  2. Ieškos rezultatuose pasirinkite branduolio atskyrimo sistemos parametrus, kad atidarytumėte "Windows" saugos programėlę.

Puslapyje Branduolio atskyrimas rasite vietinės saugos tarnybos apsaugą kartu su jungikliu, kad įjungtumėte arba išjungtumėte. Pakeitę parametrą, turite jį paleisti iš naujo, kad jis įsigaliotų. 

LSA apsaugos valdiklis "Windows" saugos programėlės puslapyje Branduolio atskyrimas

Ką daryti, jei turiu nesuderinamą programinę įrangą? 

Jei įjungta LSA apsauga ir ji blokuoja programinės įrangos įkėlimą į LSA tarnybą, bus parodytas pranešimas, nurodantis užblokuotą failą. Galbūt galėsite pašalinti programinę įrangą, įkeliančią failą, arba galite išjungti būsimus to failo įspėjimus, kai jis blokuojamas įkelti į LSA.  

Įspėjimas paleidžiamas, kai LSA apsauga blokuoja failo įkėlimą.

"Microsoft" sargybos "Credential Guard"

Pastaba: "Microsoft" sargybos "Credential Guard" rodoma tik įrenginiuose, kuriuose veikia "Enterprise" "Windows 10" arba "Windows 11" versijos.

Kai naudojate darbo arba mokymo įstaigos kompiuterį, jis tyliai prisijungs ir gaus prieigą prie įvairių dalykų, pvz., failų, spausdintuvų, programėlių ir kitų organizacijos išteklių. Šio proceso saugumas, tačiau paprastas vartotojui, reiškia, kad jūsų kompiuteryje yra daug autentifikavimo atpažinimo ženklų (dažnai vadinamų "paslaptimis") ant jo bet kuriuo metu.

Jei pažeidėjas gali gauti prieigą prie vienos ar kelių tų paslapčių, jie gali turėti galimybę juos naudoti, kad gautų prieigą prie organizacijos išteklių (slaptų failų ir t. t.), kurio paslaptis yra skirta. "Microsoft" sargybos "Credential Guard" padeda apsaugoti šias paslaptis įtraukdama jas į apsaugotą, virtualią aplinką, kurioje tik tam tikros tarnybos gali jas pasiekti, kai to reikia.

Rekomenduojame jį įjungti, jei jūsų įrenginys jį palaiko.

Patarimas: Jei norite gauti išsamesnės informacijos apie tai, žr. Kaip veikia "Defender Credential Guard".

"Microsoft" pažeidžiamų tvarkyklių blokų sąrašas

Tvarkyklė yra programinė įranga, leidžianti operacinei sistemai (šiuo atveju "Windows") ir įrenginiui (pvz., klaviatūrai arba žiniatinklio kamerai, dviem pavyzdžiais) kalbėtis tarpusavyje. Kai įrenginys nori, kad "Windows" ką nors padarytų, naudodamas tvarkyklę užklausai siųsti. Todėl tvarkyklės turi daug slaptos prieigos prie jūsų sistemos.

Nuo "Windows 11 2022" naujinimo dabar turime blokuojamųjų sąrašą tvarkyklių, kurios turi žinomų saugos pažeidžiamumų, yra pasirašytos naudojant sertifikatus, kurie buvo naudojami kenkėjiškai programinei įrangai pasirašyti, arba kurie apeina "Windows" saugos modelį.

Jei įjungtas atminties vientisumas, "Smart App Control" arba "Windows S" režimas, bus įjungtas ir pažeidžiamas tvarkyklės blokų sąrašas.

Taip pat žr.

Likite apsaugoti naudodami „Windows“ saugą

"Microsoft" saugos žinynas ir mokymasis

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.