Enhetssikkerhet i Windows Sikkerhet-appen

Minneintegritet, også kjent som Hypervisor-beskyttet kodeintegritet (HVCI), er en Windows-sikkerhetsfunksjon som gjør det vanskelig for skadelige programmer å bruke drivere på lavt nivå til å kapre PC-en.

En driver er et stykke programvare som lar operativsystemet (Windows i dette tilfellet) og en enhet (for eksempel et tastatur eller et webkamera) snakke med hverandre. Når enheten vil at Windows skal gjøre noe, bruker den driveren til å sende denne forespørselen.

Minneintegritet fungerer ved å opprette et isolert miljø ved hjelp av maskinvarevirtualisering.

Tenk på det som en sikkerhetsvakt inne i en låst bod. Dette isolerte miljøet (låst bod i vår analogi) hindrer at funksjonen for minneintegritet blir manipulert av en angriper. Et program som ønsker å kjøre en kode som kan være farlig, må sende koden til minneintegritet i den virtuelle boden, slik at den kan bekreftes. Når minneintegritet er fortrolig med at koden er trygg, sender den koden tilbake til Windows for å kjøre. Vanligvis skjer dette veldig raskt.

Uten minneintegritet kjører, står sikkerhetsvakten rett ut i det åpne der det er mye lettere for en angriper å forstyrre eller sabotere vakten, noe som gjør det enklere for ondsinnet kode å snike seg forbi og forårsake problemer.

Du kan aktivere ellerdeaktivere minneintegritet ved hjelp av veksleknappen.

Hva om det står at jeg har en inkompatibel driver?

Hvis minneintegritet ikke aktiveres, kan det hende at du har en inkompatibel enhetsdriver som allerede er installert. Ta kontakt med produsenten av enheten for å se om de har en oppdatert driver tilgjengelig. Hvis de ikke har kompatibel driver tilgjengelig, kan det hende du kan fjerne enheten eller appen som bruker den inkompatible driveren.

Maskinvarehåndhevet stakkbeskyttelse er en maskinvarebasert sikkerhetsfunksjon som gjør det vanskelig for skadelige programmer å bruke drivere på lavt nivå for å kapre PC-en.

En driver er et stykke programvare som lar operativsystemet (Windows i dette tilfellet) og en enhet (for eksempel et tastatur eller et webkamera) snakke med hverandre. Når enheten vil at Windows skal gjøre noe, bruker den driveren til å sende denne forespørselen.

Maskinvareantvunget stakkbeskyttelse fungerer ved å forhindre angrep som endrer returadresser i kjernemodusminne for å starte skadelig kode. Denne sikkerhetsfunksjonen krever en CPU som inneholder muligheten til å bekrefte returadressene til kode som kjører.

Når du kjører kode i kjernemodus, kan returadresser i kjernemodusstakken skades av skadelige programmer eller drivere for å omdirigere normal kjøring av kode til skadelig kode. På støttede CPU-er opprettholder CPU en ny kopi av gyldige returadresser på en skrivebeskyttet skyggestakk som drivere ikke kan endre. Hvis en avsenderadresse på den vanlige stabelen er endret, kan CPU-en oppdage dette avviket ved å kontrollere kopien av avsenderadressen på skyggestakken. Når dette avviket oppstår, ber datamaskinen om en stoppfeil, noen ganger kalt en blå skjerm, for å hindre at den skadelige koden kjøres.

Ikke alle drivere er kompatible med denne sikkerhetsfunksjonen, da et lite antall legitime drivere engasjerer seg i returadresseendring for ikke-skadelige formål. Microsoft har vært engasjert med mange driverutgivere for å sikre at de nyeste driverne er kompatible med maskinvarehåndhevet stakkbeskyttelse.

Du kan slå maskinvareaktivert stakkbeskyttelse på eller av ved hjelp av veksleknappen.

Hvis du vil bruke maskinvareaktivert stakkbeskyttelse, må du ha aktivert minneintegritet, og du må kjøre en CPU som støtter Intel Control-Flow Enforcement Technology eller AMD Shadow Stack.

Hva om det står at jeg har en inkompatibel driver eller tjeneste?

Hvis maskinvareaktivert stakkbeskyttelse ikke kan slås på, kan det hende at du har en inkompatibel enhetsdriver eller tjeneste installert. Ta kontakt med produsenten av enheten eller programutgiveren for å se om de har en oppdatert driver tilgjengelig. Hvis de ikke har en kompatibel driver tilgjengelig, kan det hende du kan fjerne enheten eller appen som bruker den inkompatible driveren.

Noen programmer kan installere en tjeneste i stedet for en driver under installasjonen av programmet, og installere driveren bare når programmet startes. For mer nøyaktig gjenkjenning av inkompatible drivere, nummereres også tjenester som er kjent for å være knyttet til inkompatible drivere.

Denne sikkerhetsfunksjonen, også kjent som Kernel DMA-beskyttelse, beskytter enheten mot angrep som kan oppstå når en ondsinnet enhet er koblet til en PCI-port (Peripheral Component Interconnect) som en Thunderbolt-port.

Et enkelt eksempel på et av disse angrepene ville være hvis noen forlater PC-en for en rask kaffepause, og mens de var borte, går en angriper inn, kobler til en USB-lignende enhet og går bort med sensitive data fra maskinen, eller injiserer skadelig programvare som gjør at de kan kontrollere PC-en eksternt. 

Beskyttelse mot minnetilgang forhindrer slike angrep ved å nekte direkte tilgang til minnet til disse enhetene unntatt under spesielle omstendigheter, spesielt når PC-en er låst, eller brukeren er logget av.

Hver enhet har noe programvare som er skrevet til det skrivebeskyttede minnet på enheten - i utgangspunktet skrevet til en chip på systemtavlen - som brukes til de grunnleggende funksjonene til enheten, for eksempel å laste inn operativsystemet som kjører alle appene vi er vant til å bruke. Siden denne programvaren er vanskelig (men ikke umulig) å endre, refererer vi til den som fastvare.

Siden fastvaren lastes inn først og kjører under operativsystemet, har sikkerhetsverktøy og funksjoner som kjører i operativsystemet vanskelig for å oppdage det eller forsvare seg mot det. Som et hus som er avhengig av et godt grunnlag for å være sikkert, trenger en datamaskin fastvaren for å være sikker for å sikre at operativsystemet, programmene og dataene på den datamaskinen er trygge.

System Guard er et sett med funksjoner som bidrar til å sikre at angripere ikke får enheten til å starte med uklarert eller skadelig fastvare.

Plattformer som tilbyr fastvarebeskyttelse beskytter vanligvis også System Management Mode (SMM), en svært privilegert driftsmodus, i varierende grad. Du kan forvente én av de tre verdiene, med et høyere tall som angir en større grad av SMM-beskyttelse:

• Enheten oppfyller fastvarebeskyttelse versjon én: Dette tilbyr de grunnleggende sikkerhetsbegrensningene for å hjelpe SMM med å motstå utnyttelse av skadelig programvare, og hindrer eksfiltrering av hemmeligheter fra operativsystemet (inkludert VBS)

• Enheten oppfyller fastvarebeskyttelse versjon to: I tillegg til fastvarebeskyttelse versjon én, sikrer versjon to at SMM ikke kan deaktivere Virtualization-basert sikkerhet (VBS) og kjerne-DMA-beskyttelse

• Enheten oppfyller fastvarebeskyttelse versjon tre: I tillegg til fastvarebeskyttelse versjon to, stivner den ytterligere SMM ved å forhindre tilgang til visse registre som har muligheten til å kompromittere operativsystemet (inkludert VBS)

Beskyttelse fra lokale sikkerhetsmyndigheter (LSA) er en Windows-sikkerhetsfunksjon som bidrar til å forhindre tyveri av legitimasjon som brukes til å logge på Windows.   

Den lokale sikkerhetsmyndigheten (LSA) er en viktig prosess i Windows som er involvert i brukergodkjenning. Det er ansvarlig for å bekrefte legitimasjon under påloggingsprosessen og administrere godkjenningstokener og billetter som brukes til å aktivere enkel pålogging for tjenester. LSA-beskyttelse bidrar til å hindre at uklarert programvare kjører i LSA eller får tilgang til LSA-minne.  

Hvordan administrere beskyttelse fra lokale sikkerhetsmyndigheter?

Du kan slå LSA-beskyttelse på eller av ved hjelp av veksleknappen.

Når du har endret innstillingen, må du starte den på nytt for at den skal tre i kraft. 

Hva om jeg har inkompatibel programvare? 

Hvis LSA-beskyttelse er aktivert og den blokkerer innlasting av programvare til LSA-tjenesten, angir et varsel den blokkerte filen. Du kan kanskje fjerne programvaren som laster inn filen, eller du kan deaktivere fremtidige advarsler for filen når den blokkeres fra å lastes inn i LSA.  

Mens du bruker jobb- eller skoleenheten, logger den seg stille på og får tilgang til en rekke ting, for eksempel filer, skrivere, apper og andre ressurser i organisasjonen. Å gjøre denne prosessen sikker, men likevel enkel for brukeren, betyr at PC-en har en rekke godkjenningstokener på den til enhver tid.

Hvis en angriper kan få tilgang til ett eller flere av disse tokenene, kan de kanskje bruke dem til å få tilgang til organisasjonsressursen (sensitive filer osv.) som tokenet er for. Credential Guard bidrar til å beskytte disse tokenene ved å plassere dem i et beskyttet, virtualisert miljø der bare visse tjenester kan få tilgang til dem når det er nødvendig.

En driver er et stykke programvare som lar operativsystemet (Windows i dette tilfellet) og en enhet (for eksempel et tastatur eller et webkamera) snakke med hverandre. Når enheten vil at Windows skal gjøre noe, bruker den driveren til å sende denne forespørselen. På grunn av dette har drivere mye sensitiv tilgang i systemet.

Windows 11 inkluderer en blokkliste over drivere som har kjente sikkerhetsproblemer, har blitt signert med sertifikater som brukes til å signere skadelig programvare, eller som omgår Windows Sikkerhet-modellen.

Hvis du har minneintegritet, Smart App Control eller Windows S-modus på, vil også den sårbare driverblokkeringslisten være aktivert.

Her finner du informasjon om produsenten av og versjonsnumre for sikkerhetsprosessoren samt om statusen til sikkerhetsprosessoren.

I Windows Sikkerhet-appen  på PC-en, velger enhetssikkerhet > sikkerhetsbehandlerdetaljer eller bruker følgende snarvei:

Detaljer for sikkerhetsbehandler

Hvis sikkerhetsbehandleren ikke fungerer som den skal, kan du velge feilsøkingskoblingen for sikkerhetsbehandleren for å se eventuelle feilmeldinger og avanserte alternativer, eller bruke følgende snarvei:

Feilsøking av sikkerhetsbehandler

Feilsøkingssiden for sikkerhetsbehandleren inneholder alle relevante feilmeldinger om TPM. Her er en liste over feilmeldinger og detaljer:

Melding	Detaljer
En fastvareoppdatering er nødvendig for sikkerhetsprosessoren (TPM).	Enhetens hovedkort ser ikke ut til å støtte TPM for øyeblikket, men en fastvareoppdatering kan løse dette. Ta kontakt med produsenten av enheten for å se om en fastvareoppdatering er tilgjengelig og hvordan du installerer den. Fastvareoppdateringer er vanligvis gratis.
TPM er deaktivert og krever oppmerksomhet.	Den klarerte plattformmodulen er sannsynligvis slått av i systemets BIOS (Basic Input/Output System) eller UEFI (Unified Extensible Firmware Interface). Se dokumentasjonen til enhetsprodusenten, eller kontakt teknisk brukerstøtte for å få instruksjoner om hvordan du slår den på.
TPM-lagring er ikke tilgjengelig. Slett TPM-en.	Fjern TPM-knappen er på denne siden. Du må kontrollere at du har en god sikkerhetskopi av dataene før du fortsetter.
Enhetstilstandsattest er ikke tilgjengelig. Slett TPM-en.	Fjern TPM-knappen er på denne siden. Du må kontrollere at du har en god sikkerhetskopi av dataene før du fortsetter.
Enhetstilstandsattest støttes ikke på denne enheten.	Dette betyr at enheten ikke gir oss nok informasjon til å finne ut hvorfor TPM kanskje ikke fungerer som den skal på enheten.
TPM er ikke kompatibel med fastvaren og fungerer kanskje ikke som den skal.	Ta kontakt med produsenten av enheten for å se om en fastvareoppdatering er tilgjengelig, og hvordan du får og installerer den. Fastvareoppdateringer er vanligvis gratis.
TPM-målt oppstartslogg mangler. Prøv å starte enheten på nytt.
Det er et problem med TPM-en. Prøv å starte enheten på nytt.

Hvis du fortsatt har problemer etter at du har tatt hånd om en feilmelding, kan du kontakte enhetsprodusenten for å få hjelp.

Velg Tøm TPM for å tilbakestille sikkerhetsprosessoren til standardinnstillingene.