Apparaatbeveiliging in de Windows-beveiliging-app

Geheugenintegriteit, ook wel bekend als Hypervisor-beveiligde code-integriteit (HVCI) is een Windows-beveiligingsfunctie die het voor kwaadwillende programma's moeilijk maakt om stuurprogramma's op laag niveau te gebruiken om uw pc te kapen.

Een stuurprogramma is software waarmee het besturingssysteem (in dit geval Windows) en een apparaat (zoals een toetsenbord of een webcam) met elkaar kunnen communiceren. Wanneer het apparaat wil dat Windows iets doet, wordt het stuurprogramma gebruikt om die aanvraag te verzenden.

Geheugenintegriteit werkt door een geïsoleerde omgeving te maken met behulp van hardwarevirtualisatie.

Zie het als een bewaker in een vergrendelde cabine. Deze geïsoleerde omgeving (de vergrendelde booth in onze analogie) voorkomt dat er met de functie voor geheugenintegriteit wordt geknoeid door een aanvaller. Een programma dat een code wil uitvoeren die gevaarlijk kan zijn, moet de code doorgeven aan de geheugenintegriteit in die virtuele stand, zodat deze kan worden geverifieerd. Wanneer de geheugenintegriteit vertrouwd is dat de code veilig is, wordt de code terug naar Windows opgegeven om uit te voeren. Meestal gebeurt dit heel snel.

Zonder dat geheugenintegriteit wordt uitgevoerd, valt de beveiligingsagent direct in de openhoek op, waar het voor een aanvaller veel gemakkelijker is om de bewaker te verstoren of te saboteren, waardoor schadelijke code gemakkelijker voorbij kan sluipen en problemen kan veroorzaken.

U kunt geheugenintegriteit in- of uitschakelen met behulp van de wisselknop.

Wat gebeurt er als er staat dat ik een incompatibel stuurprogramma heb?

Als geheugenintegriteit niet kan worden ingeschakeld, wordt mogelijk aangegeven dat er al een incompatibel apparaatstuurprogramma is geïnstalleerd. Neem contact op met de fabrikant van het apparaat om te zien of er een bijgewerkt stuurprogramma beschikbaar is. Als er geen compatibel stuurprogramma beschikbaar is, kun je mogelijk het apparaat of de app verwijderen die gebruikmaakt van dat incompatibele stuurprogramma.

Door hardware afgedwongen stackbeveiliging is een beveiligingsfunctie op basis van hardware die het moeilijk maakt voor schadelijke programma's om stuurprogramma's op laag niveau te gebruiken om uw pc te kapen.

Een stuurprogramma is software waarmee het besturingssysteem (in dit geval Windows) en een apparaat (zoals een toetsenbord of een webcam) met elkaar kunnen communiceren. Wanneer het apparaat wil dat Windows iets doet, wordt het stuurprogramma gebruikt om die aanvraag te verzenden.

Hardware afgedwongen stackbeveiliging werkt door aanvallen te voorkomen die retouradressen in kernelmodusgeheugen wijzigen om schadelijke code te starten. Deze beveiligingsfunctie vereist een CPU die de mogelijkheid bevat om de retouradressen van actieve code te verifiëren.

Bij het uitvoeren van code in de kernelmodus kunnen retouradressen op de kernelmodusstack beschadigd raken door schadelijke programma's of stuurprogramma's om de normale uitvoering van code om te leiden naar schadelijke code. Op ondersteunde CPU's onderhoudt de CPU een tweede kopie van geldige retouradressen op een alleen-lezen schaduwstack die stuurprogramma's niet kunnen wijzigen. Als een retouradres op de normale stack is gewijzigd, kan de CPU deze discrepantie detecteren door de kopie van het retouradres op de schaduwstack te controleren. Wanneer deze discrepantie optreedt, vraagt de computer een stopfout, ook wel een blauw scherm genoemd, om te voorkomen dat de schadelijke code wordt uitgevoerd.

Niet alle stuurprogramma's zijn compatibel met deze beveiligingsfunctie, omdat een klein aantal legitieme stuurprogramma's het retouradres wijzigt voor niet-schadelijke doeleinden. Microsoft heeft contact gehad met talloze uitgevers van stuurprogramma's om ervoor te zorgen dat hun nieuwste stuurprogramma's compatibel zijn met door hardware afgedwongen stackbeveiliging.

U kunt door hardware afgedwongen stackbeveiliging in- of uitschakelen met behulp van de wisselknop.

Als u door hardware afgedwongen stackbeveiliging wilt gebruiken, moet geheugenintegriteit zijn ingeschakeld en moet u een CPU uitvoeren die ondersteuning biedt voor Intel Control-Flow Enforcement Technology of AMD Shadow Stack.

Wat gebeurt er als staat dat ik een incompatibel stuurprogramma of service heb?

Als door hardware afgedwongen stackbeveiliging niet kan worden ingeschakeld, wordt mogelijk aangegeven dat er al een incompatibel apparaatstuurprogramma of -service is geïnstalleerd. Neem contact op met de fabrikant van het apparaat of de uitgever van de toepassing om te zien of er een bijgewerkt stuurprogramma beschikbaar is. Als er geen compatibel stuurprogramma beschikbaar is, kunt u mogelijk het apparaat of de app verwijderen die gebruikmaakt van dat incompatibele stuurprogramma.

Sommige toepassingen installeren mogelijk een service in plaats van een stuurprogramma tijdens de installatie van de toepassing en installeren het stuurprogramma alleen wanneer de toepassing wordt gestart. Voor een nauwkeurigere detectie van incompatibele stuurprogramma's worden ook services opgesomd waarvan bekend is dat ze zijn gekoppeld aan incompatibele stuurprogramma's.

Deze beveiligingsfunctie, ook wel bekend als Kernel DMA-beveiliging, beschermt uw apparaat tegen aanvallen die kunnen optreden wanneer een schadelijk apparaat wordt aangesloten op een PCI-poort (Peripheral Component Interconnect), zoals een Thunderbolt-poort.

Een eenvoudig voorbeeld van een van deze aanvallen is als iemand zijn pc verlaat voor een snelle koffiepauze, en terwijl ze afwezig waren, een aanvaller instapt, een USB-achtig apparaat aansluit en gevoelige gegevens van de computer wegloopt, of malware injecteert waarmee ze de pc op afstand kunnen beheren. 

Beveiliging van geheugentoegang voorkomt dit soort aanvallen door directe toegang tot het geheugen voor die apparaten te weigeren, behalve onder speciale omstandigheden, met name wanneer de pc is vergrendeld of de gebruiker is afgemeld.

Elk apparaat heeft software die is geschreven naar het alleen-lezengeheugen van het apparaat - in feite geschreven naar een chip op het systeembord - die wordt gebruikt voor de basisfuncties van het apparaat, zoals het laden van het besturingssysteem waarop alle apps worden uitgevoerd die we gewend zijn te gebruiken. Omdat die software moeilijk (maar niet onmogelijk) te wijzigen is, verwijzen we ernaar als firmware.

Omdat de firmware eerst wordt geladen en wordt uitgevoerd onder het besturingssysteem, hebben beveiligingshulpprogramma's en functies die in het besturingssysteem worden uitgevoerd, het moeilijk om deze te detecteren of ertegen te verdedigen. Net als een huis dat afhankelijk is van een goede basis om veilig te zijn, moet de firmware van een computer veilig zijn om ervoor te zorgen dat het besturingssysteem, de toepassingen en de gegevens op die computer veilig zijn.

System Guard is een set functies die ervoor zorgen dat aanvallers uw apparaat niet kunnen laten beginnen met niet-vertrouwde of schadelijke firmware.

Platforms die firmwarebeveiliging bieden, beschermen doorgaans ook de systeembeheermodus (SMM), een zeer bevoorrechte bedrijfsmodus, in verschillende mate. Je kunt een van de drie waarden verwachten, waarbij een hoger getal een grotere mate van SMM-beveiliging aangeeft:

• Je apparaat voldoet aan firmwarebeveiligingsversie één: dit biedt de fundamentele beveiligingsbeperkingen om SMM te helpen misbruik door malware te voorkomen en exfiltratie van geheimen van het besturingssysteem (inclusief VBS) te voorkomen

• Je apparaat voldoet aan firmwarebeveiligingsversie twee: naast firmwarebeveiligingsversie één, zorgt versie twee ervoor dat SMM virtualisatiegebaseerde beveiliging (VBS) en kernel-DMA-beveiliging niet kan uitschakelen

• Je apparaat voldoet aan firmwarebeveiligingsversie drie: naast firmwarebeveiligingsversie twee, wordt de SMM verder beveiligd door toegang te voorkomen tot bepaalde registers die het besturingssysteem kunnen in gevaar brengen (inclusief VBS)

Local Security Authority (LSA)-beveiliging is een Windows-beveiligingsfunctie om te voorkomen dat referenties worden gestolen die worden gebruikt voor het aanmelden bij Windows.   

De lokale beveiligingsautoriteit (LSA) is een cruciaal proces in Windows dat betrokken is bij gebruikersverificatie. Het is verantwoordelijk voor het verifiëren van referenties tijdens het aanmeldingsproces en het beheren van verificatietokens en tickets die worden gebruikt voor het inschakelen van eenmalige aanmelding voor services. LSA-beveiliging helpt voorkomen dat niet-vertrouwde software wordt uitgevoerd in LSA of toegang heeft tot LSA-geheugen.  

Hoe kan ik de beveiliging van lokale beveiligingsautoriteiten beheren?

U kunt LSA-beveiliging in- of uitschakelen met behulp van de wisselknop.

Nadat u de instelling hebt gewijzigd, moet u opnieuw opstarten om deze van kracht te laten worden. 

Wat gebeurt er als ik incompatibele software heb? 

Als LSA-beveiliging is ingeschakeld en het laden van software in de LSA-service wordt geblokkeerd, wordt het geblokkeerde bestand aangegeven. Mogelijk kunt u de software verwijderen die het bestand laadt of kunt u toekomstige waarschuwingen voor dat bestand uitschakelen wanneer het wordt geblokkeerd om in LSA te laden.  

Terwijl u uw werk- of schoolapparaat gebruikt, wordt u stilletjes aangemeld bij en krijgt u toegang tot verschillende dingen, zoals bestanden, printers, apps en andere resources in uw organisatie. Als u dat proces veilig en toch gemakkelijk maakt voor de gebruiker, betekent dit dat uw pc op elk gewenst moment een aantal verificatietokens heeft.

Als een aanvaller toegang kan krijgen tot een of meer van deze tokens, kan hij deze mogelijk gebruiken om toegang te krijgen tot de organisatieresource (gevoelige bestanden, enzovoort) waarvoor het token is bedoeld. Credential Guard helpt deze tokens te beveiligen door ze in een beveiligde, gevirtualiseerde omgeving te plaatsen waar alleen bepaalde services toegang hebben wanneer dat nodig is.

Een stuurprogramma is software waarmee het besturingssysteem (in dit geval Windows) en een apparaat (zoals een toetsenbord of een webcam) met elkaar kunnen communiceren. Wanneer het apparaat wil dat Windows iets doet, wordt het stuurprogramma gebruikt om die aanvraag te verzenden. Hierdoor hebben stuurprogramma's veel gevoelige toegang in je systeem.

Windows 11 bevat een blokkeringslijst met stuurprogramma's die bekende beveiligingsproblemen hebben, zijn ondertekend met certificaten die worden gebruikt om malware te ondertekenen of die het Windows-beveiliging Model omzeilen.

Als je geheugenintegriteit hebt, Smart App Control of windows S-modus ingeschakeld, is de kwetsbare stuurprogrammablokkeringslijst ook ingeschakeld.

Hier vind je informatie over de fabrikant van de beveiligingsprocessor, versienummers en de status van de beveiligingsprocessor.

In de Windows-beveiliging-app op je pc Selecteer Apparaatbeveiliging  > Details van beveiligingsprocessor of gebruik de volgende snelkoppeling:

Details van beveiligingsprocessor

Als uw beveiligingsprocessor niet goed werkt, kunt u de koppeling Probleemoplossing voor beveiligingsprocessor selecteren om eventuele foutberichten en geavanceerde opties te bekijken. U kunt ook de volgende snelkoppeling gebruiken:

Problemen met beveiligingsprocessor oplossen

De pagina voor het oplossen van problemen met de beveiligingsprocessor bevat alle relevante foutberichten over de TPM. Hier volgt een lijst met de foutberichten en details:

Bericht	Details
Een firmware-update is nodig voor je beveiligingsprocessor (TPM).	Het moederbord van uw apparaat lijkt momenteel geen ondersteuning te bieden voor TPM, maar een firmware-update kan dit mogelijk oplossen. Neem contact op met de fabrikant van uw apparaat om te zien of er een firmware-update beschikbaar is en hoe u deze kunt installeren. Firmware-updates zijn meestal gratis.
TPM is uitgeschakeld en heeft aandacht nodig.	De module voor het vertrouwde platform is waarschijnlijk uitgeschakeld in het systeem-BIOS (Basic Input/Output System) of UEFI (Unified Extensible Firmware Interface). Raadpleeg de ondersteuningsdocumentatie van de fabrikant van uw apparaat of neem contact op met de technische ondersteuning van de fabrikant voor instructies over het inschakelen ervan.
TPM-opslag is niet beschikbaar. Je TPM wissen.	De knop TPM wissen bevindt zich op deze pagina. U moet ervoor zorgen dat u een goede back-up van uw gegevens hebt voordat u doorgaat.
Apparaatstatusverklaring is niet beschikbaar. Je TPM wissen.	De knop TPM wissen bevindt zich op deze pagina. U moet ervoor zorgen dat u een goede back-up van uw gegevens hebt voordat u doorgaat.
Apparaatstatusverklaring wordt niet ondersteund op dit apparaat.	Dit betekent dat het apparaat ons onvoldoende informatie geeft om te bepalen waarom TPM mogelijk niet goed werkt op uw apparaat.
Uw TPM is niet compatibel met uw firmware en werkt mogelijk niet goed.	Neem contact op met de fabrikant van uw apparaat om te zien of er een firmware-update beschikbaar is en hoe u deze kunt downloaden en installeren. Firmware-updates zijn meestal gratis.
Door TPM gemeten opstartlogboek ontbreekt. Probeer je apparaat opnieuw op te starten.
Er is een probleem met je TPM. Probeer je apparaat opnieuw op te starten.

Als de problemen niet zijn verholpen nadat je het advies in het foutbericht hebt opgevolgd, kun je contact opnemen met de fabrikant van het apparaat voor assistentie.

Kies TPM wissen om je beveiligingsprocessor opnieuw in te stellen op de standaardinstellingen.