Kjerneisolasjon er en sikkerhetsfunksjon i Microsoft Windows som beskytter viktige kjerneprosesser i Windows mot skadelig programvare ved å isolere dem i minnet. Den gjør dette ved å kjøre disse kjerneprosessene i et virtualisert miljø. 

Obs!: Det du ser på kjerneisolasjonssiden, kan variere litt avhengig av hvilken versjon av Windows du kjører.

Minneintegritet

Minneintegritet, også kjent som Hypervisor-beskyttet kodeintegritet (HVCI), er en Windows-sikkerhetsfunksjon som gjør det vanskelig for skadelige programmer å bruke drivere på lavt nivå til å kapre datamaskinen.

En driver er et stykke programvare som lar operativsystemet (Windows i dette tilfellet) og en enhet (for eksempel et tastatur eller et webkamera, for to eksempler) snakke med hverandre. Når enheten vil at Windows skal gjøre noe, bruker den driveren til å sende denne forespørselen.

Tips!: Vil du vite mer om drivere? Se Hva er en driver?

Minneintegritet fungerer ved å opprette et isolert miljø ved hjelp av maskinvarevirtualisering.

Tenk på det som en sikkerhetsvakt inne i en låst bod. Dette isolerte miljøet (låst bod i vår analogi) hindrer at funksjonen for minneintegritet blir manipulert av en angriper. Et program som ønsker å kjøre en kode som kan være farlig, må sende koden til minneintegritet i den virtuelle boden, slik at den kan bekreftes. Når minneintegritet er fortrolig med at koden er trygg, sender den koden tilbake til Windows for å kjøre. Vanligvis skjer dette veldig raskt.

Uten minneintegritet kjører, står "sikkerhetsvakten" rett ut i det åpne der det er mye lettere for en angriper å forstyrre eller sabotere vakten, noe som gjør det enklere for ondsinnet kode å snike seg forbi og forårsake problemer.

Hvordan administrerer jeg minneintegritet?

I de fleste tilfeller er minneintegritet aktivert som standard i Windows 11, og kan aktiveres for Windows 10.

Slik aktiverer eller deaktiverer du den:

  1. Velg Start-knappen , og skriv inn «Kjerneisolasjon».

  2. Velg systeminnstillingene for kjerneisolasjon fra søkeresultatene for å åpne Windows-sikkerhetsappen.

På kjerneisolasjonssiden finner du minneintegritet sammen med veksleknappen for å slå den på eller av.

Kjernesiden for isolering av Windows Sikkerhet

Viktig!: For sikkerhets skyld anbefaler vi at minneintegritet er slått på.

Hvis du vil bruke minneintegritet, må du ha maskinvarevirtualisering aktivert i systemets UEFI eller BIOS. 

Hva om det står at jeg har en inkompatibel driver?

Hvis minneintegritet ikke aktiveres, kan det hende at du har en inkompatibel enhetsdriver installert. Ta kontakt med produsenten av enheten for å se om de har en oppdatert driver tilgjengelig. Hvis de ikke har kompatibel driver tilgjengelig, kan det hende du kan fjerne enheten eller appen som bruker den inkompatible driveren.

Funksjonen for windows-minneintegritet som viser at en driver er inkompatibel

Obs!: Hvis du prøver å installere en enhet med en inkompatibel driver etter at du har aktivert minneintegritet, kan det hende du ser den samme meldingen. I så fall gjelder det samme rådet – ta kontakt med enhetsprodusenten for å se om de har en oppdatert driver du kan laste ned, eller ikke installer den bestemte enheten før en kompatibel driver er tilgjengelig.

Kernel-mode Hardware-enforced Stack Protection

Kernel-mode Hardware-enforced Stack Protection er en maskinvarebasert Windows-sikkerhetsfunksjon som gjør det vanskelig for skadelige programmer å bruke drivere på lavt nivå for å kapre datamaskinen.

En driver er et stykke programvare som lar operativsystemet (Windows i dette tilfellet) og en enhet som et tastatur eller et webkamera for eksempel snakke med hverandre. Når enheten vil at Windows skal gjøre noe, bruker den driveren til å sende denne forespørselen.

Tips!: Vil du vite mer om drivere? Se Hva er en driver?

Kernel-mode Hardware-enforced Stack Protection fungerer ved å forhindre angrep som endrer returadresser i kjernemodusminnet for å starte skadelig kode. Denne sikkerhetsfunksjonen krever en CPU som inneholder muligheten til å bekrefte returadressene til kode som kjører.

Når du kjører kode i kjernemodus, kan returadresser i kjernemodusstakken skades av skadelige programmer eller drivere for å omdirigere normal kjøring av kode til skadelig kode. På støttede CPU-er opprettholder CPU en ny kopi av gyldige returadresser på en skrivebeskyttet skyggestakk som drivere ikke kan endre. Hvis en avsenderadresse på den vanlige stabelen er endret, kan CPU-en oppdage dette avviket ved å kontrollere kopien av avsenderadressen på skyggestakken. Når dette avviket oppstår, ber datamaskinen om en stoppfeil, noen ganger kalt en blå skjerm, for å hindre at den skadelige koden kjøres.

Ikke alle drivere er kompatible med denne sikkerhetsfunksjonen, da et lite antall legitime drivere engasjerer seg i returadresseendring for ikke-skadelige formål. Microsoft har vært engasjert med mange driverutgivere for å sikre at de nyeste driverne er kompatible med Kernel-modus Hardware-enforced Stack Protection.

Hvordan administrerer jeg kernel-modus maskinvare-fremtvunget stakkbeskyttelse?

Kernel-mode Hardware-enforced Stack Protection er deaktivert som standard.

Slik aktiverer eller deaktiverer du den:

  1. Velg Start-knappen , og skriv inn «Kjerneisolasjon».

  2. Velg systeminnstillingene for kjerneisolasjon fra søkeresultatene for å åpne Windows-sikkerhetsappen.

På kjerneisolasjonssiden finner du Kernel-mode Hardware-enforced Stack Protection sammen med veksleknappen for å slå den på eller av.

Angir plasseringen av veksleknappen for maskinvareaktivert stakkbeskyttelse i Kjerne-modus i Windows Security-appens kjerneisolasjonsside.

Hvis du vil bruke maskinvareaktivert stakkbeskyttelse i kjernemodus, må du ha minneintegritet aktivert, og du må kjøre en CPU som støtter Intel Control-Flow Enforcement Technology eller AMD Shadow Stack.

Hva om det står at jeg har en inkompatibel driver eller tjeneste?

Hvis Kernel-mode Hardware-enforced Stack Protection ikke kan slå på, kan det hende at du har en inkompatibel enhetsdriver eller tjeneste allerede installert. Ta kontakt med produsenten av enheten eller programutgiveren for å se om de har en oppdatert driver tilgjengelig. Hvis de ikke har en kompatibel driver tilgjengelig, kan det hende du kan fjerne enheten eller appen som bruker den inkompatible driveren.

Noen programmer kan installere en tjeneste i stedet for en driver under installasjonen av programmet og installere driveren bare når programmet startes. For mer nøyaktig gjenkjenning av inkompatible drivere, nummereres også tjenester som er kjent for å være knyttet til inkompatible drivere.

Inkompatible drivere og tjenester-siden for kernel-modus maskinvare-fremtvunget stakkbeskyttelse i Windows Security-appen, med én inkompatibel driver vist. Den inkompatible driveren kalles ExampleDriver.sys, publisert av Eksempelselskap.

Obs!: Hvis du prøver å installere en enhet eller app med en inkompatibel driver etter at du har aktivert Kernel-modus Hardware-enforced Stack Protection, kan det hende du ser den samme meldingen. I så fall gjelder det samme rådet – ta kontakt med enhetsprodusenten eller apputgiveren for å se om de har en oppdatert driver du kan laste ned, eller ikke installere den bestemte enheten eller appen før en kompatibel driver er tilgjengelig.

Beskyttelse mot minnetilgang

Dette beskytter også enheten mot angrep som kan oppstå når en ondsinnet enhet er koblet til en PCI-port (Peripheral Component Interconnect) som en Thunderbolt-port.

Et enkelt eksempel på et av disse angrepene ville være hvis noen forlater PC-en for en rask kaffepause, og mens de var borte, går en angriper inn, kobler til en USB-lignende enhet og går bort med sensitive data fra maskinen, eller injiserer skadelig programvare som gjør at de kan kontrollere PC-en eksternt. 

Beskyttelse mot minnetilgang forhindrer slike angrep ved å nekte direkte tilgang til minnet til disse enhetene unntatt under spesielle omstendigheter, spesielt når PC-en er låst eller brukeren er logget av.

Vi anbefaler at beskyttelse mot minnetilgang er aktivert.

Tips!: Hvis du vil ha mer tekniske detaljer om dette, kan du se Kernel DMA Protection.

Fastvarebeskyttelse

Hver enhet har noe programvare som er skrevet til det skrivebeskyttede minnet på enheten - i utgangspunktet skrevet til en chip på systemtavlen - som brukes til de grunnleggende funksjonene til enheten, for eksempel å laste inn operativsystemet som kjører alle appene vi er vant til å bruke. Siden denne programvaren er vanskelig (men ikke umulig) å endre, refererer vi til den som fastvare.

Siden fastvaren lastes inn først og kjører under operativsystemet, har sikkerhetsverktøy og funksjoner som kjører i operativsystemet vanskelig for å oppdage det eller forsvare seg mot det. Som et hus som er avhengig av et godt grunnlag for å være sikkert, trenger en datamaskin fastvaren for å være sikker for å sikre at operativsystemet, programmene og kundedataene på den datamaskinen er trygge.

Windows Defender System Guard er et sett med funksjoner som bidrar til å sikre at angripere ikke kan få enheten til å starte med uklarert eller skadelig fastvare.

Vi anbefaler at du har aktivert den hvis enheten støtter den.

Plattformer som tilbyr fastvarebeskyttelse beskytter vanligvis også System Management Mode (SMM), en svært privilegert driftsmodus, i varierende grad. Du kan forvente én av de tre verdiene, med et høyere tall som angir en større grad av SMM-beskyttelse:

  • Enheten oppfyller fastvarebeskyttelse versjon én: Dette tilbyr de grunnleggende sikkerhetsbegrensningene for å hjelpe SMM med å motstå utnyttelse av skadelig programvare, og hindrer eksfiltrering av hemmeligheter fra operativsystemet (inkludert VBS)

  • Enheten oppfyller fastvarebeskyttelse versjon to: I tillegg til fastvarebeskyttelse versjon én, sikrer versjon to at SMM ikke kan deaktivere Virtualization-basert sikkerhet (VBS) og kjerne-DMA-beskyttelse

  • Enheten oppfyller fastvarebeskyttelse versjon tre: I tillegg til fastvarebeskyttelse versjon to, stivner den ytterligere SMM ved å forhindre tilgang til visse registre som har muligheten til å kompromittere operativsystemet (inkludert VBS)

Tips!: Hvis du vil ha mer tekniske detaljer om dette, kan du se Windows Defender System Guard: Slik bidrar en maskinvarebasert klareringsrot til å beskytte Windows

Beskyttelse fra lokale sikkerhetsmyndigheter

Beskyttelse fra lokale sikkerhetsmyndigheter (LSA) er en Windows-sikkerhetsfunksjon som bidrar til å forhindre tyveri av legitimasjon som brukes til å logge på Windows.   

Den lokale sikkerhetsmyndigheten (LSA) er en viktig prosess i Windows som er involvert i brukergodkjenning. Det er ansvarlig for å bekrefte legitimasjon under påloggingsprosessen og administrere godkjenningstokener og billetter som brukes til å aktivere enkel pålogging for tjenester. LSA-beskyttelse bidrar til å hindre at uklarert programvare kjører i LSA eller får tilgang til LSA-minne.  

Hvordan administrerer jeg beskyttelse fra lokale sikkerhetsmyndigheter

LSA-beskyttelse er aktivert som standard på nye installasjoner av Windows 11 versjon 22H2 og 23H2 på bedriftsadministrerte enheter. Den er aktivert som standard på alle nye installasjoner av Windows 11 versjon 24H2 og nyere. 

Hvis du oppgraderer til Windows 11 24H2 og LSA-beskyttelse ikke allerede er aktivert, vil LSA-beskyttelsen forsøke å aktivere etter oppgraderingen. LSA-beskyttelse vil gå inn i en evalueringsmodus etter oppgraderingen og vil se etter kompatibilitetsproblemer i løpet av en 5-dagers periode. Hvis det ikke oppdages noen problemer, aktiveres LSA-beskyttelse automatisk ved neste omstart etter at evalueringsvinduet er avsluttet.  

Slik aktiverer eller deaktiverer du den: 

  1. Velg Start på oppgavelinjen, og skriv inn «Kjerneisolasjon».

  2. Velg systeminnstillingene for kjerneisolasjon fra søkeresultatene for å åpne Windows-sikkerhetsappen.

På kjerneisolasjonssiden finner du lokal sikkerhetsmyndighetsbeskyttelse sammen med veksleknappen for å slå den på eller av. Når du har endret innstillingen, må du starte den på nytt for at den skal tre i kraft. 

Kontroll for LSA-beskyttelse på kjerneisolasjonssiden i Windows Security-appen

Hva om jeg har inkompatibel programvare? 

Hvis LSA-beskyttelse er aktivert og den blokkerer innlasting av programvare til LSA-tjenesten, vises et varsel som angir filen som ble blokkert. Du kan kanskje fjerne programvaren som laster inn filen, eller du kan deaktivere fremtidige advarsler for filen når den er blokkert fra å lastes inn i LSA.  

Varsel startes når LSA-beskyttelse blokkerer innlasting av en fil.

Microsoft Defender Credential Guard

Obs!: Microsoft Defender Credential Guard vises bare på enheter som kjører Enterprise-versjoner av Windows 10 eller 11.

Mens du bruker jobb- eller skoledatamaskinen, logger den seg stille på og får tilgang til en rekke ting, for eksempel filer, skrivere, apper og andre ressurser i organisasjonen. Å gjøre denne prosessen sikker, men likevel enkel for brukeren, betyr at datamaskinen har en rekke godkjenningstokener (ofte referert til som "hemmeligheter") på den til enhver tid.

Hvis en angriper kan få tilgang til én eller flere av disse hemmelighetene, kan de kanskje bruke dem til å få tilgang til organisasjonsressursen (sensitive filer osv.) som hemmeligheten er for. Microsoft Defender Credential Guard bidrar til å beskytte disse hemmelighetene ved å plassere dem i et beskyttet, virtualisert miljø der bare enkelte tjenester kan få tilgang til dem når det er nødvendig.

Vi anbefaler at du har aktivert den hvis enheten støtter den.

Tips!: Hvis du vil ha mer tekniske detaljer om dette, kan du se Hvordan Defender Credential Guard fungerer.

Blokkeringsliste for microsoft sårbar driver

En driver er et stykke programvare som lar operativsystemet (Windows i dette tilfellet) og en enhet (for eksempel et tastatur eller et webkamera, for to eksempler) snakke med hverandre. Når enheten vil at Windows skal gjøre noe, bruker den driveren til å sende denne forespørselen. På grunn av dette har drivere mye sensitiv tilgang i systemet.

Fra og med Windows 11 2022-oppdateringen har vi nå en blokkliste over drivere som har kjente sikkerhetsproblemer, har blitt signert med sertifikater som har blitt brukt til å signere skadelig programvare, eller som omgår Windows-sikkerhetsmodellen.

Hvis du har minneintegritet, Smart App Control eller Windows S-modus på, vil også den sårbare driverblokkeringslisten være aktivert.

Se også

Forbli beskyttet med Windows Sikkerhet

Microsoft sikkerhetshjelp og -læring

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.