Ierīces drošība Windows drošība programmā

Atmiņas integritāte, kas tiek dēvēta arī par hipervisoru aizsargāto koda integritāti (HVCI), ir Windows drošības līdzeklis, kas apgrūtina ļaunprātīgām programmām izmantot zema līmeņa draiverus, lai no jauna izveidotu datoru.

Draiveris ir programmatūras daļa, kas ļauj operētājsistēmai (šajā gadījumā Windows) un ierīcei (piemēram, tastatūrai vai tīmekļa kamerai) savā starpā sarunāties. Ja ierīce vēlas, lai Windows izdara kādu uzdevumu, tā izmanto draiveri, lai nosūtītu šo pieprasījumu.

Atmiņas integritāti var izveidot izolētu vidi, izmantojot aparatūras virtualizāciju.

Iedomājieties, ka tā ir kā drošības aizsardzība bloķētā stendā. Šī izolētā vide (bloķētā stenda mūsu analogijā) neļauj uzbrukumu pārveidot atmiņas integritātes līdzekli. Programmai, kura vēlas palaist kādu kodu, kas varētu būt bīstama, kods ir jānokārto virtuālajā stendā atmiņas integritātē, lai to varētu pārbaudīt. Ja atmiņas integritāte ir ērta, ka kods ir drošībā, izlaiž kodu atpakaļ sistēmā Windows, lai to palaistu. Parasti tas notiek ļoti ātri.

Bez atmiņas integritātes izpildes drošības aizsardzība tiek izcelta atvērtajā vietā, kur daudz vieglāk ir uzbrucējam traucēt vai radīt bojājumus aizsardzība, atvieglojot ļaunprātīga koda lietošanu pāriešanas garām un problēmu novēršanai.

Atmiņas integritāti varat ieslēgt vaiizslēgt, izmantojot pārslēgšanas pogu.

Kā darīt, ja ir rakstīts, ka man ir nesaderīgs draiveris?

Ja atmiņas integritāti neizdodas ieslēgt, tas var paziņot, ka jums jau ir instalēts nesaderīgs ierīces draiveris. Sazinieties ar ierīces ražotāju, lai uzzinātu, vai tiem ir pieejams atjaunināts draiveris. Ja ierīcēs nav pieejams saderīgs draiveris, iespējams, varat noņemt ierīci vai programmu, kas izmanto nesaderīgo draiveri.

Aparatūras ieviestā grēdas aizsardzība ir aparatūras drošības līdzeklis, kas apgrūtina ļaunprātīgām programmām izmantot zema līmeņa draiverus, lai nolaupītu datoru.

Draiveris ir programmatūras daļa, kas ļauj operētājsistēmai (šajā gadījumā Windows) un ierīcei (piemēram, tastatūrai vai tīmekļa kamerai) savā starpā sarunāties. Ja ierīce vēlas, lai Windows izdara kādu uzdevumu, tā izmanto draiveri, lai nosūtītu šo pieprasījumu.

Aparatūras ieviestā grēdas aizsardzība darbojas, nepieļaujot uzbrukumus, kas modificē atpakaļadreses in kernel-mode atmiņā, lai palaistu ļaunprātīgu kodu. Šim drošības līdzeklim ir nepieciešams centrālais procesors, kas satur iespēju verificēt izpildītā koda atpakaļadreses.

Izpildot kodu kernel-mode, atpakaļadreses kernel-mode grupā var sabojāt ļaunprātīgas programmas vai draiveri, lai novirzītu parastu koda izpildi uz ļaunprātīgu kodu. Atbalstītos centrālos procesoros centrālais procesors saglabā otru derīgu atpakaļadreses kopiju tikai lasāmā ēnu grupā, ko draiveri nevar modificēt. Ja tiek modificēta atpakaļadrese parastajā grupā, centrālais procesors var noteikt šo neatbilstību, pārbaudot atpakaļadreses kopiju ēnu grēdā. Ja rodas šāda neatbilstība, datorā tiek parādīta apturēšanas kļūda, kas dažkārt tiek dēvēta par zilu ekrānu, lai novērstu ļaunprātīga koda izpildi.

Visi draiveri nav saderīgi ar šo drošības līdzekli, jo maz likumīgu draiveru piesaista atpakaļadreses modificēšanu citiem mērķiem. Microsoft ir saistījusi savu draiveri ar vairākiem draiveru izdevējiem, lai pārliecinātos, vai to jaunākie draiveri ir saderīgi ar aparatūru, kurā ir nodrošināta aizsardzība pret grēdu.

Varat ieslēgt vai izslēgt aparatūras aizsardzību grēdā, izmantojot pārslēgšanas pogu.

Lai izmantotu aparatūras ieviesto grēdas aizsardzību, ir jāiespējo atmiņas integritāte un ir jāizmanto centrālais procesors, kas atbalsta Intel Control-Flow ieviešanas tehnoloģiju vai AMD ēnu grēdu.

Kā darīt, ja ir rakstīts, ka man ir nesaderīgs draiveris vai pakalpojums?

Ja nevar ieslēgt aparatūras ieviesto grēdas aizsardzību, iespējams, ka jums ir instalēts nesaderīgs ierīces draiveris vai pakalpojums. Sazinieties ar ierīces ražotāju vai lietojumprogrammas izdevēju, lai uzzinātu, vai tiem ir pieejams atjaunināts draiveris. Ja ierīcēs nav pieejams saderīgs draiveris, iespējams, varat noņemt ierīci vai programmu, kas izmanto nesaderīgo draiveri.

Dažas lietojumprogrammas var instalēt pakalpojumu, nevis draiveri lietojumprogrammas instalēšanas laikā, un instalēt draiveri tikai tad, kad programma tiek palaista. Lai precīzāk noteiktu nesaderīgus draiverus, ir uzskaitīti arī pakalpojumi, kas ir saistīti ar nesaderīgiem draiveriem.

Šī drošības līdzeklis tiek dēvēts arī par kernel DMA aizsardzību un aizsargā ierīci pret uzbrukumiem, kas var rasties, ja ļaunprātīga ierīce ir pievienota perifērijas komponentu savstarpēji savienojuma (PcI) portam kā Thunderbolt ports.

Vienkāršs piemērs no šiem uzbrukumiem būtu, ja kāds pamet datoru uz īsu kafijas pauze, un, kad viņš bija prom, uzbrucējs veic darbības, iespraudīs USB ierīcei un pārtrauc darbības ar sensitīviem datora datiem vai veic ļaunprogrammatūras iesiešanu, kas tiem ļauj attāli kontrolēt datoru. 

Atmiņas piekļuves aizsardzība novērš šādus uzbrukumus, noraidot tiešu piekļuvi atmiņai šajās ierīcēs, izņemot īpašos apstākļos, īpaši gadījumos, ja dators ir bloķēts vai lietotājs ir izrakstīts.

Katrai ierīcei ir programmatūra, kas ierakstīta ierīces tikai lasāmajā atmiņā — pamatā ierakstīta sistēmas paneļa mikroshēmā —, kas tiek izmantota ierīces pamatfunkcijas, piemēram, ielādējot operētājsistēmu, kas izpilda visas programmas, kuras izmantojām. Tā kā šo programmatūru ir grūti (bet ne neiespējami), modificējam uz to kā aparātprogrammatūru.

Tā kā aparātprogrammatūra vispirms tiek ielādēta un darbojas operētājsistēmā, drošības rīkiem un līdzekļiem, kas darbojas operētājsistēmā, ir grūti noteikt to vai iedziļiniet tajā. Līdzīgi kā mājām, kas ir atkarīgas no labiem pamatiem, lai tas būtu drošībā, datoram nepieciešama aparātprogrammatūra, lai nodrošinātu, ka datora operētājsistēma, lietojumprogrammas un dati ir drošībā.

System Guard ir līdzekļu kopa, kas palīdz nodrošināt, ka uzbrucēji nevar iegūt jūsu ierīci, lai sāktu ar neuzticamu vai ļaunprātīgu aparātprogrammatūru.

Platformas, kas piedāvā aparātprogrammatūras aizsardzību, parasti aizsargā arī sistēmas pārvaldības režīmu (System Management Mode — SMM), īpaši priviliģētu operētājsistēmas režīmu ar dažādām grādiem. Kāda no trim vērtībām ir paredzama ar lielāku skaitli, kas norāda lielāku SMM aizsardzības pakāpi:

• Jūsu ierīce atbilst aparātprogrammatūras aizsardzības versijai. Tas nodrošina pamata drošības riskus, kas palīdz SMM resnoties no ļaunprogrammatūras izmantošanas un neļauj operētājsistēmai izdairēt noslēpumus (ieskaitot VBS)

• Jūsu ierīce atbilst aparātprogrammatūras aizsardzības versijai. Papildus aparātprogrammatūras aizsardzības versijai 2. versija nodrošina, ka SMM nevar atspējot Virtualization bāzes drošību (VBS) un kernel DMA aizsardzību

• Jūsu ierīce atbilst aparātprogrammatūras aizsardzības versijai 3: papildus aparātprogrammatūras aizsardzības versijai, tā vēl vairāk saasina SMM, neļaujot piekļūt noteiktiem reģistriem, kas var radīt problēmas ar OS (ieskaitot VBS)

Lokālās drošības iestādes (Local Security Authority — LSA) aizsardzība ir Windows drošības līdzeklis, kas palīdz novērst akreditācijas datu zādzību, kas tiek izmantoti, lai pierakstītos operētājsistēmā Windows.   

Lokālās drošības iestāde (Local Security Authority — LSA) ir kritiski svarīgs process sistēmā Windows, kas iesaista lietotāju autentifikācijā. Tā ir atbildīga par akreditācijas datu pārbaudi pieteikšanās procesa laikā un autentifikācijas pilnvaru un biļešu pārvaldību, kas tiek izmantotas, lai iespējotu vienoto pierakstīšanos pakalpojumiem. LSA aizsardzība palīdz novērst neuzticamas programmatūras darbību LSA vai piekļuvi LSA atmiņai.  

Kā pārvaldīt lokālās drošības iestādes aizsardzību?

LSA aizsardzību var ieslēgt vaiizslēgt, izmantojot pārslēgšanas pogu.

Kad esat mainījis šo iestatījumu, ir jāveic atkārtota palaišana, lai tas stāsies spēkā. 

Kā ko darīt, ja ir nesaderīga programmatūra? 

Ja LSA aizsardzība ir iespējota un bloķē programmatūras ielādi LSA pakalpojumā, paziņojums norāda bloķēto failu. Iespējams, varat noņemt programmatūru, ielādējot failu, vai atspējot brīdinājumus par nākamajiem brīdinājumiem šim failam, ja tas ir bloķēts ielādei LSA.  

Ja izmantojat savu darba vai mācību ierīci, tas nemuācīgi pierakstīsies un iegūs piekļuvi dažādām lietām, piemēram, failiem, printeriem, programmām un citiem resursiem jūsu organizācijā. Padarot šo procesu drošu, bet lietotājam vienkāršu, tas nozīmē, ka jūsu datorā jebkurā laikā ir vairāki autentifikācijas marķieri.

Ja uzbrucējs var iegūt piekļuvi vienam vai vairākiem šiem marķieriem, viņi, iespējams, varēs tos izmantot, lai piekļūtu organizācijas resursam (sensitīvi faili u.c.), kam marķieris ir paredzēts. Akreditācijas datu aizsardzība palīdz aizsargāt šos pilnvaru, ievietojot tos aizsargātā, virtualizētā vidē, kur tikai noteikti pakalpojumi var tiem piekļūt pēc nepieciešamības.

Draiveris ir programmatūras daļa, kas ļauj operētājsistēmai (šajā gadījumā Windows) un ierīcei (piemēram, tastatūrai vai tīmekļa kamerai) savā starpā sarunāties. Ja ierīce vēlas, lai Windows izdara kādu uzdevumu, tā izmanto draiveri, lai nosūtītu šo pieprasījumu. Tāpēc draiveriem jūsu sistēmā ir daudz sensitīvas piekļuves.

Windows 11 iekļauts to draiveru bloķēšanas saraksts, kuriem ir zināma drošības ievainojamība, ir parakstīti ar sertifikātiem, kas izmantoti ļaunprogrammatūras parakstīšanai, vai apiet Windows drošība modeli.

Ja jums ir atmiņas integritāte, Smart App Control vai Windows S režīms ir ieslēgts, tiks ieslēgts arī neaizsargāto draiveru bloķēšanas saraksts.

Šeit atradīsit informāciju par drošības procesoru ražotāju un versijas numuriem, kā arī informāciju par drošības procesora statusu.

Jūsu personālā datora programmā Windows drošība , atlasiet Ierīces drošības> detalizētu informāciju par drošības procesoru vai izmantojiet šo saīsni:

Detalizēta informācija par drošības procesoru

Ja drošības procesors nedarbojas pareizi, varat atlasīt saiti Drošības procesora problēmu novēršana, lai skatītu kļūdu ziņojumus un papildu opcijas, vai izmantot šo saīsni:

Drošības procesora problēmu novēršana

Drošības procesora problēmu novēršanas lapa sniedz visus atbilstošos kļūdu ziņojumus par TPM. Tālāk ir kļūdu ziņojumu un detalizētas informācijas saraksts.

Ziņojums	Detalizēta informācija
Drošības procesoram (TPM) ir nepieciešams aparātprogrammatūras atjauninājums.	Jūsu ierīces jau šobrīd neatbalsta TPM, tomēr aparātprogrammatūras atjauninājums var to novērst. Sazinieties ar ierīces ražotāju, lai uzzinātu, vai nav pieejams aparātprogrammatūras atjauninājums un kā to instalēt. Aparātprogrammatūras atjauninājumi parasti ir bezmaksas.
TPM ir atspējots, un nepieciešama rīcība.	Uzticamas platformas modulis, iespējams, ir izslēgts sistēmas BIOS (pamata ievades/izvades sistēma) vai UEFI (vienotā paplašināmā aparātprogrammatūras interfeisā). Lai iegūtu norādījumus par šīs ierīces ieslēkšanu, skatiet ierīces ražotāja atbalsta dokumentāciju vai sazinieties ar tehniskā atbalsta dienestu.
TPM krātuve nav pieejama. Lūdzu, notīriet TPM.	Šajā lapā ir notīrīta TPM poga. Pirms turpināt, pārliecinieties, vai datu dublējums ir labs.
Ierīces darbspējas atestāts nav pieejams. Lūdzu, notīriet TPM.	Šajā lapā ir notīrīta TPM poga. Pirms turpināt, pārliecinieties, vai datu dublējums ir labs.
Ierīces veselības apliecinājums šajā ierīcē netiek atbalstīts.	Tas nozīmē, ka ierīce nesniedz mums pietiekami daudz informācijas, lai noteiktu, kāpēc TPM, iespējams, nedarbojas pareizi jūsu ierīcē.
Jūsu TPM nav saderīgs ar aparātprogrammatūru un, iespējams, nedarbojas pareizi.	Sazinieties ar ierīces ražotāju, lai uzzinātu, vai nav pieejams aparātprogrammatūras atjauninājums un kā to iegūt un instalēt. Aparātprogrammatūras atjauninājumi parasti ir bezmaksas.
TRŪKST TPM mērītā sāknēšanas žurnāla. Mēģiniet restartēt ierīci.
Radusies problēma ar jūsu TPM. Mēģiniet restartēt ierīci.

Ja pēc kļūdas ziņojuma novēršanas joprojām rodas problēmas, sazinieties ar ierīces ražotāju, lai saņemtu palīdzību.

Atlasiet Notīrīt TPM, lai atiestatītu drošības procesoru uz tā noklusējuma iestatījumiem.