Applies ToWindows 11 Windows 10

Strona zabezpieczeń urządzenia aplikacji Zabezpieczenia Windows została zaprojektowana do zarządzania funkcjami zabezpieczeń wbudowanymi w urządzenie z systemem Windows. Strona zostanie podzielona na następujące sekcje:

  • Izolacja rdzenia: Tutaj można skonfigurować funkcje zabezpieczeń chroniące jądro systemu Windows

  • Moduł zabezpieczeń: zawiera informacje na temat modułu zabezpieczeń, który jest wywoływany modułem zaufanej platformy (TPM)

  • Bezpieczny rozruch: jeśli jest włączony bezpieczny rozruch, możesz znaleźć więcej informacji na jego temat

  • Szyfrowanie danych: Tutaj można znaleźć link do ustawień systemu Windows, gdzie można skonfigurować szyfrowanie urządzenia i inne ustawienia funkcji BitLocker

  • Funkcje zabezpieczeń sprzętu: ocenia funkcje zabezpieczeń sprzętowych urządzenia

W aplikacji Zabezpieczenia Windows na komputerze wybierz pozycję Zabezpieczenia  urządzenia lub użyj następującego skrótu:

Zabezpieczenia urządzenia

Zrzut ekranu przedstawiający ekran zabezpieczeń urządzenia w aplikacji Zabezpieczenia Windows.

Izolacja rdzenia

Izolacja rdzenia zapewnia funkcje zabezpieczeń zaprojektowane w celu ochrony podstawowych procesów systemu Windows przed złośliwym oprogramowaniem przez izolowanie ich w pamięci. Robi to, uruchamiając te podstawowe procesy w zwirtualizowanym środowisku. 

W aplikacji Zabezpieczenia Windows na komputerze wybierz pozycję Zabezpieczenia urządzenia > Szczegóły izolacji rdzenia lub użyj następującego skrótu:

Izolacja rdzenia

Uwaga: Funkcje udostępniane na stronie izolacji rdzenia różnią się w zależności od używanej wersji systemu Windows i zainstalowanych składników sprzętu.

Integralność pamięci, znana również jako HVCI (Hypervisor-protected Code Integrity) to funkcja zabezpieczeń systemu Windows, która utrudnia złośliwym programom używanie sterowników niskiego poziomu do przechwycenia komputera.

Sterownik to oprogramowanie, które pozwala systemowi operacyjnego (w tym przypadku Windows) i urządzeniu (na przykład klawiaturze lub kamerze internetowej) rozmawiać ze sobą. Gdy urządzenie chce, aby system Windows coś zrobił, wysyła to żądanie za pomocą sterownika.

Integralność pamięci działa poprzez tworzenie odizolowanego środowiska przy użyciu wirtualizacji sprzętowej.

Pomyśl o tym jak o ochroniarzu wewnątrz zamkniętego stoiska. To odizolowane środowisko (zablokowane stoisko w naszej analogii) zapobiega modyfikowaniu funkcji integralności pamięci przez atakującego. Program, który chce uruchomić kawałek kodu, który może być niebezpieczne musi przekazać kod do integralności pamięci wewnątrz tego wirtualnego stoiska, aby można było zweryfikować. Gdy integralność pamięci jest wygodne, że kod jest bezpieczny przekazuje kod z powrotem do systemu Windows, aby uruchomić. Zazwyczaj dzieje się to bardzo szybko.

Bez działającej integralności pamięci ochroniarz wyróżnia się na otwartej przestrzeni, gdzie znacznie łatwiej jest napastnikowi ingerować w strażnika lub sabotować go, co ułatwia złośliwym kodom przemycanie się i wywoływanie problemów.

Integralność pamięci można włączyć lubwyłączyć za pomocą przycisku przełącznika.

Uwaga: Aby używać integralności pamięci, w interfejsie UEFI lub BIOSie musi być włączona wirtualizacja sprzętowa.

Co zrobić, jeśli jest wyświetlany komunikat Mam niezgodny sterownik?

Jeśli integralność pamięci nie zostanie włączona, może się okazać, że masz już zainstalowany niezgodny sterownik urządzenia. Skontaktuj się z producentem urządzenia, aby sprawdzić, czy jest dostępny zaktualizowany sterownik. Jeśli nie mają dostępnego zgodnego sterownika, możesz usunąć urządzenie lub aplikację używającą tego niezgodnego sterownika.

Uwaga: Jeśli spróbujesz zainstalować urządzenie z niezgodnym sterownikiem po włączeniu integralności pamięci, może zostać wyświetlony ten sam komunikat. Jeśli tak, należy skorzystać z tej samej porady — skontaktuj się z producentem urządzenia, aby sprawdzić, czy ma zaktualizowany sterownik, który można pobrać, lub nie instaluj tego konkretnego urządzenia, dopóki nie będzie dostępny zgodny sterownik.

Sprzętowa ochrona stosu to funkcja zabezpieczeń sprzętowych, która utrudnia złośliwym programom używanie sterowników niskiego poziomu do przejęcia kontroli nad komputerem.

Sterownik to oprogramowanie, które pozwala systemowi operacyjnego (w tym przypadku Windows) i urządzeniu (na przykład klawiaturze lub kamerze internetowej) rozmawiać ze sobą. Gdy urządzenie chce, aby system Windows coś zrobił, wysyła to żądanie za pomocą sterownika.

Sprzętowa ochrona stosu działa poprzez zapobieganie atakom, które modyfikują zwracane adresy w pamięci trybu jądra w celu uruchomienia złośliwego kodu. Ta funkcja zabezpieczeń wymaga procesora, który zawiera możliwość zweryfikowania zwracanych adresów uruchomionego kodu.

Podczas wykonywania kodu w trybie jądra adresy zwrócone na stosie trybu jądra mogą być uszkodzone przez złośliwe programy lub sterowniki w celu przekierowania normalnego wykonywania kodu do złośliwego kodu. W obsługiwanych procesorach procesor zachowuje drugą kopię prawidłowych adresów zwrotnych w stosie cieni tylko do odczytu, którego sterowniki nie mogą modyfikować. Jeśli adres zwrotny na zwykłym stosie został zmodyfikowany, procesor cpu może wykryć tę rozbieżność, sprawdzając kopię adresu zwrotnego w stosie cienia. Gdy występuje rozbieżność, komputer monituje o błąd zatrzymania, czasami nazywany niebieskim ekranem, aby zapobiec wykonywaniu złośliwego kodu.

Nie wszystkie sterowniki są zgodne z tą funkcją zabezpieczeń, ponieważ niewielka liczba uzasadnionych sterowników wprowadza zmiany adresu zwrotnego w celach innych niż złośliwe. Firma Microsoft współpracuje z wieloma wydawcami sterowników, aby zapewnić zgodność ich najnowszych sterowników ze sprzętowym zabezpieczeniem stosu.

Za pomocą przycisku przełącznika można włączyć lubwyłączyć wymuszane sprzętowo zabezpieczenie stosu.

Aby używać sprzętowej ochrony stosu wymuszanego, musisz mieć włączoną integralność pamięci i musi być uruchomiony procesor obsługujący technologię wymuszania Control-Flow Intel lub stos cienia AMD.

Co zrobić, jeśli jest wyświetlany komunikat Mam niezgodny sterownik lub usługę?

Jeśli sprzętowa ochrona stosu nie powiedzie się, może to oznaczać, że masz już zainstalowany niezgodny sterownik lub usługę urządzenia. Skontaktuj się z producentem urządzenia lub wydawcą aplikacji, aby sprawdzić, czy ma dostępny zaktualizowany sterownik. Jeśli nie mają dostępnego zgodnego sterownika, możesz usunąć urządzenie lub aplikację, która używa tego niezgodnego sterownika.

Niektóre aplikacje mogą zainstalować usługę zamiast sterownika podczas instalacji aplikacji i zainstalować sterownik tylko po uruchomieniu aplikacji. W celu dokładniejszego wykrywania niezgodnych sterowników są również wyliczane usługi, o których wiadomo, że są skojarzone z niezgodnymi sterownikami.

Uwaga: Jeśli spróbujesz zainstalować urządzenie lub aplikację z niezgodnym sterownikiem po włączeniu ochrony stosu wymuszanego sprzętowo, może zostać wyświetlony ten sam komunikat. Jeśli tak, należy skorzystać z tej samej porady — skontaktuj się z producentem urządzenia lub wydawcą aplikacji, aby sprawdzić, czy ma on zaktualizowany sterownik, który można pobrać, lub nie instaluj tego konkretnego urządzenia lub aplikacji, dopóki nie będzie dostępny zgodny sterownik.

Znana również jako ochrona jądra DMA ta funkcja zabezpieczeń chroni urządzenie przed atakami, które mogą wystąpić, gdy złośliwe urządzenie jest podłączone do portu PCI (Peripheral Component Interconnect), takiego jak port Thunderbolt.

Prostym przykładem takiego ataku byłoby pozostawienie komputera przez kogoś na krótką przerwę na kawę, a gdy nie było, osoba atakująca wchodzi, podłącza urządzenie podobne do USB i odchodzi z poufnymi danymi z komputera lub instrzykuje złośliwe oprogramowanie, które pozwala mu zdalnie sterować komputerem. 

Ochrona dostępu do pamięci zapobiega tego rodzaju atakom, odmawiając bezpośredniego dostępu do pamięci do tych urządzeń z wyjątkiem szczególnych okoliczności, szczególnie gdy komputer jest zablokowany lub użytkownik jest wylogowany.

Porada: Aby uzyskać więcej informacji, zobacz Ochrona jądra DMA.

Każde urządzenie ma pewne oprogramowanie, które zostało napisane w pamięci tylko do odczytu urządzenia - w zasadzie napisane chipem na tablicy systemowej - które jest używane do podstawowych funkcji urządzenia, takich jak ładowanie systemu operacyjnego, który uruchamia wszystkie aplikacje, z których korzystamy. Ponieważ to oprogramowanie jest trudne (ale nie niemożliwe) do modyfikacji, nazywamy je oprogramowaniem układowym.

Ponieważ oprogramowanie układowe ładuje się najpierw i działa w ramach systemu operacyjnego, narzędzia zabezpieczeń i funkcje działające w systemie operacyjnym mają trudności z jego wykryciem lub obroną przed nim. Podobnie jak dom, który zależy od dobrego fundamentu, aby zapewnić bezpieczeństwo, komputer potrzebuje swojego oprogramowania układowego, aby zapewnić bezpieczeństwo systemu operacyjnego, aplikacji i danych na tym komputerze.

System Guard to zestaw funkcji, które pomagają zagwarantować, że osoby atakujące nie będą mogły uruchomić Twojego urządzenia od niezaufanego lub złośliwego oprogramowania układowego.

Platformy, które oferują ochronę przed oprogramowaniem układowym, zwykle chronią również tryb zarządzania systemem (SMM), bardzo uprzywilejowany tryb operacyjny, w różnym stopniu. Można oczekiwać jednej z trzech wartości z większą liczbą wskazującą większy stopień ochrony SMM:

  • Twoje urządzenie spełnia ochronę oprogramowania układowego w wersji 1: oferuje ona podstawowe środki bezpieczeństwa pomagające SMM oprzeć się wykorzystywaniu przez złośliwe oprogramowanie i zapobiega eksfiltracji tajemnic systemu operacyjnego (w tym VBS)

  • Urządzenie spełnia ochronę oprogramowania układowego w wersji drugiej: oprócz ochrony oprogramowania układowego w wersji 1, wersja druga zapewnia, że SMM nie może wyłączyć zabezpieczeń opartych na wirtualizacji (VBS) i ochrony jądra DMA

  • Urządzenie spełnia ochronę przed oprogramowaniem układowym w wersji trzeciej: oprócz ochrony oprogramowania układowego w wersji drugiej dodatkowo zaostrza SMM, uniemożliwiając dostęp do niektórych rejestrów, które mogą naruszyć system operacyjny (w tym VBS)

Porada: Aby uzyskać więcej informacji, zobacz System Guard: Jak sprzętowy pierwiastek zaufania pomaga chronić system Windows

Ochrona lokalnego urzędu zabezpieczeń (LSA) to funkcja zabezpieczeń systemu Windows, która zapobiega kradzieży poświadczeń używanych do logowania się do systemu Windows.   

Local Security Authority (LSA) jest kluczowym procesem w systemie Windows zaangażowanym w uwierzytelnianie użytkowników. Jest on odpowiedzialny za weryfikowanie poświadczeń podczas procesu logowania i zarządzanie tokenami uwierzytelniania i biletami używanymi do włączania logowania jednokrotnego dla usług. Ochrona usługi LSA zapobiega uruchamianiu niezaufanego oprogramowania w usłudze LSA lub uzyskiwaniu dostępu do pamięci LSA.  

Jak mogę zarządzać ochroną lokalnego urzędu zabezpieczeń?

Ochronę usługi LSA można włączyć lub wyłączyć za pomocą przycisku przełącznika.

Po zmianie ustawienia należy ponownie uruchomić urządzenie, aby zostało zastosowane. 

Uwaga: Aby zapewnić bezpieczeństwo poświadczeń, ochrona usługi LSA jest domyślnie włączona na wszystkich urządzeniach. W przypadku nowych instalacji jest ona włączana natychmiast. W przypadku uaktualnień jest ona włączona po ponownym uruchomieniu po upływie 10 dni od okresu oceny.

Co zrobić, jeśli mam niezgodne oprogramowanie? 

Jeśli ochrona LSA jest włączona i blokuje ładowanie oprogramowania do usługi LSA, powiadomienie wskazuje zablokowany plik. Być może będzie można usunąć oprogramowanie ładującego plik lub wyłączyć ostrzeżenia dla tego pliku w przyszłości, gdy zostanie on zablokowany przed załadowaniem do usługi LSA.  

Uwaga: Funkcja Credential Guard jest dostępna na urządzeniach z systemem Windows w wersji Enterprise lub Education.

Podczas korzystania z urządzenia służbowego będzie ono po cichu logować się i uzyskiwać dostęp do różnych elementów, takich jak pliki, drukarki, aplikacje i inne zasoby w organizacji. Zapewnienie bezpieczeństwa tego procesu, a jednocześnie łatwe dla użytkownika, oznacza, że w danej chwili na komputerze jest umieszczonych wiele tokenów uwierzytelniania.

Jeśli osoba atakująca może uzyskać dostęp do co najmniej jednego z tych tokenów, może za ich pomocą uzyskać dostęp do zasobu organizacyjnego (plików poufnych itp.), do którego jest przeznaczony token. Credential Guard pomaga chronić te tokeny, umieszczając je w chronionym, zwirtualizowanym środowisku, w którym tylko niektóre usługi mogą uzyskiwać do nich dostęp w razie potrzeby.

Porada: Aby dowiedzieć się więcej, zobacz Jak działa funkcja Credential Guard.

Sterownik to oprogramowanie, które pozwala systemowi operacyjnego (w tym przypadku Windows) i urządzeniu (na przykład klawiaturze lub kamerze internetowej) rozmawiać ze sobą. Gdy urządzenie chce, aby system Windows coś zrobił, wysyła to żądanie za pomocą sterownika. Z tego powodu sterowniki mają duży poufny dostęp w systemie.

Windows 11 zawiera listę zablokowanych sterowników, które mają znane luki w zabezpieczeniach, zostały podpisane za pomocą certyfikatów używanych do podpisywania złośliwego oprogramowania lub które omijają model Zabezpieczenia Windows.

Jeśli masz włączoną integralność pamięci, inteligentną kontrolę aplikacji lub tryb Windows S, lista zablokowanych sterowników jest włączona.

Moduł zabezpieczeń

Ustawienia modułu zabezpieczeń na stronie Zabezpieczenia urządzenia w aplikacji Zabezpieczenia Windows zawierają szczegółowe informacje na temat modułu TPM (Trusted Platform Module) na urządzeniu. Moduł TPM to składnik sprzętowy zaprojektowany w celu zwiększenia bezpieczeństwa poprzez wykonywanie operacji kryptograficznych.

Uwaga: Jeśli nie widzisz wpisu dotyczącego procesora zabezpieczeń na tym ekranie, wówczas najprawdopodobniej Twoje urządzenie nie ma sprzętowego modułu TPM (Trusted Platform Module) niezbędnego do obsługi tej funkcji lub nie jest on włączony w interfejsie UEFI ((Unified Extensible Firmware Interface). Skontaktuj się z producentem urządzenia, aby sprawdzić, czy urządzenie obsługuje moduł TPM, a jeśli tak, wykonaj czynności, aby go włączyć.

W tym miejscu znajdziesz informacje o producencie modułu zabezpieczeń oraz numery wersji, a także informacje o statusie modułu zabezpieczeń.

W aplikacji Zabezpieczenia Windows na komputerze wybierz pozycję Zabezpieczenia  urządzenia> Szczegóły modułu zabezpieczeń lub użyj następującego skrótu:

Szczegóły modułu zabezpieczeń

Jeśli moduł zabezpieczeń nie działa poprawnie, możesz wybrać link Do rozwiązywania problemów z modułem zabezpieczeń, aby wyświetlić komunikaty o błędach i opcje zaawansowane, lub użyć następującego skrótu:

Rozwiązywanie problemów z modułem zabezpieczeń

Strona rozwiązywania problemów z modułem zabezpieczeń udostępnia odpowiednie komunikaty o błędach dotyczące modułu TPM. Oto lista komunikatów o błędach i szczegółów:

Wiadomość

Szczegóły

Wymagana jest aktualizacja oprogramowania układowego Twojego procesora zabezpieczeń (modułu TPM).

Płyta główna Urządzenia nie obsługuje obecnie modułu TPM, ale aktualizacja oprogramowania układowego może rozwiązać ten problem. Skontaktuj się z producentem urządzenia, aby sprawdzić, czy jest dostępna aktualizacja oprogramowania układowego i jak ją zainstalować. Aktualizacje oprogramowania układowego są zwykle bezpłatne.

Moduł TPM jest wyłączony i wymaga interwencji użytkownika.

Moduł zaufanej platformy jest prawdopodobnie wyłączony w systemie BIOS (basic input/output system) lub UEFI (Unified Extensible Firmware Interface). Zapoznaj się z dokumentacją pomocy technicznej producenta urządzenia lub skontaktuj się z jego pomocą techniczną, aby uzyskać instrukcje dotyczące jej włączania.

Magazyn TPM jest niedostępny. Wyczyść moduł TPM.

Przycisk Wyczyść moduł TPM znajduje się na tej stronie. Przed kontynuowaniem warto upewnić się, że masz dobrą kopię zapasową danych.

Zaświadczanie kondycji urządzenia jest niedostępne. Wyczyść moduł TPM.

Przycisk Wyczyść moduł TPM znajduje się na tej stronie. Przed kontynuowaniem warto upewnić się, że masz dobrą kopię zapasową danych.

Funkcja zaświadczania kondycji urządzenia nie jest obsługiwana na tym urządzeniu.

Oznacza to, że urządzenie nie udostępnia nam wystarczającej ilości informacji, aby ustalić, dlaczego moduł TPM może nie działać poprawnie na urządzeniu.

Moduł TPM nie jest zgodny z oprogramowaniem układowym i może nie działać poprawnie.

Skontaktuj się z producentem urządzenia, aby sprawdzić, czy jest dostępna aktualizacja oprogramowania układowego oraz jak ją uzyskać i zainstalować. Aktualizacje oprogramowania układowego są zwykle bezpłatne.

Brakuje dziennika mierzonego rozruchu modułu TPM. Spróbuj ponownie uruchomić swoje urządzenie.

Wystąpił problem z Twoim modułem TPM. Spróbuj ponownie uruchomić swoje urządzenie.

Jeśli nadal napotykasz problemy po zareagowaniu na komunikat o błędzie, poproś o pomoc producenta urządzenia.

Wybierz pozycję Wyczyść TPM, aby zresetować moduł zabezpieczeń do ustawień domyślnych.

Przestroga: Pamiętaj o utworzeniu kopii zapasowej danych przed wyczyszczeniem modułu TPM.

Bezpieczny rozruch

Bezpieczny rozruch zapobiega ładowaniu zaawansowanego i niebezpiecznego typu złośliwego oprogramowania — programu typu rootkit — podczas uruchamiania urządzenia. Programy typu rootkit używają takich samych uprawnień co system operacyjny i uruchamiają się przed nim, co znaczy, że mogą się całkowicie ukryć. Programy typu rootkit często są częścią całego pakietu całego złośliwego oprogramowania, które może pomijać lokalne logowanie, rejestrować hasła i klawisze, transferować prywatne pliki i przechwytywać dane kryptograficzne.

W celu uruchomienia niektórych kart graficznych, sprzętu lub systemów operacyjnych, takich jak Linux lub wcześniejsze wersje systemu Windows, może być konieczne wyłączenie bezpiecznego rozruchu.

Aby dowiedzieć się więcej, zobacz Bezpieczny rozruch.

Możliwości zabezpieczeń sprzętu

W ostatniej sekcji strony zabezpieczeń urządzenia są wyświetlane informacje wskazujące możliwości zabezpieczeń urządzenia. Oto lista wiadomości i szczegółów:

Wiadomość

Szczegóły

Urządzenie spełnia wymagania dotyczące standardowych zabezpieczeń sprzętowych.

Oznacza to, że urządzenie obsługuje integralność pamięci i izolację rdzenia oraz ma:

  • Moduł TPM 2.0 (zwany również Twoim modułem zabezpieczeń)

  • Włączony bezpieczny rozruch

  • Funkcja DEP

  • UEFI MAT

Twoje urządzenie spełnia wymagania rozszerzonych zabezpieczeń sprzętowych.

To oznacza, że poza spełnieniem wszystkich standardowych wymagań zabezpieczeń sprzętu, Twoje urządzenie również ma włączoną integralność pamięci.

Urządzenie ma włączone wszystkie funkcje komputera z zabezpieczonym rdzeniem.

To oznacza, że poza spełnieniem wszystkich rozszerzonych wymagań zabezpieczeń sprzętu urządzenia również ma włączoną funkcję ochrony SMM (System Management Mode).

Standardowe zabezpieczenia sprzętowe nie są obsługiwane.

Oznacza to, że urządzenie nie spełnia co najmniej jednego ze standardowych wymagań zabezpieczeń sprzętu.

Poprawianie bezpieczeństwa sprzętu

Jeśli funkcje zabezpieczeń Twojego urządzenia są niewystarczające, możesz włączyć niektóre funkcje sprzętowe (np. roboty zabezpieczające, o ile są obsługiwane) lub zmienić ustawienia w BIOSie. Skontaktuj się z producentem sprzętu, aby sprawdzić, które funkcje są obsługiwane przez Twój sprzęt i jak je aktywować.

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

OdkryjSpołeczność

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.

Zapytaj społeczność firmy Microsoft

Społeczność techniczna firmy Microsoft

Niejawny program testów systemu Windows

Microsoft 365 Insiders