Securitate dispozitiv în aplicația Securitate Windows

Integritatea memoriei, numită și Integritate cod protejată prin hipervizor (HVCI) este o caracteristică de securitate Windows care îngreunează utilizarea de către programele rău intenționate a driverelor de nivel scăzut pentru a deturna PC-ul.

Un driver este un software care permite sistemului de operare (în acest caz Windows) și unui dispozitiv (cum ar fi o tastatură sau o cameră web) să vorbească între ele. Atunci când dispozitivul dorește ca Windows să facă ceva, acesta utilizează driverul pentru a trimite solicitarea respectivă.

Integritatea memoriei funcționează prin crearea unui mediu izolat, utilizând virtualizarea hardware-ului.

Gândește-te la asta ca la un agent de pază într-o cabină închisă. Acest mediu izolat (cabină blocată în analogia noastră) împiedică modificarea caracteristicii de integritate a memoriei de către un atacator. Un program care vrea să ruleze un fragment de cod care poate fi periculos trebuie să transmită codul integrității memoriei din acea cabină virtuală, astfel încât să poată fi verificat. Atunci când integritatea memoriei este confortabilă, codul este sigur, acesta va înmâna codul înapoi la Windows pentru a rula. De obicei, acest lucru se întâmplă foarte repede.

Fără integritatea memoriei pornite, agentul de securitate iese direct în evidență, unde este mult mai ușor ca un atacator să interfereze sau să saboteze garda, făcând mai ușor ca un cod rău intenționat să se strecoare în trecut și să cauzeze probleme.

Puteți să activați sau să dezactivați integritatea memoriei utilizând butonul de comutare.

Ce se întâmplă dacă scrie că am un driver incompatibil?

Dacă integritatea memoriei nu reușește să se activeze, vă poate spune că aveți deja un driver de dispozitiv incompatibil instalat. Consultați-vă cu producătorul dispozitivului pentru a vedea dacă are un driver actualizat disponibil. Dacă acestea nu au un driver compatibil disponibil, este posibil să reușiți să eliminați dispozitivul sau aplicația care utilizează acel driver incompatibil.

Protecția stivei impusă de hardware este o caracteristică de securitate bazată pe hardware care îngreunează utilizarea de drivere de nivel scăzut de către programele rău intenționate pentru a deturna PC-ul.

Un driver este un software care permite sistemului de operare (în acest caz Windows) și unui dispozitiv (cum ar fi o tastatură sau o cameră web) să vorbească între ele. Atunci când dispozitivul dorește ca Windows să facă ceva, acesta utilizează driverul pentru a trimite solicitarea respectivă.

Protecția stivei impusă de hardware funcționează prin prevenirea atacurilor care modifică adresele de returnare din memoria mod kernel pentru a lansa cod rău intenționat. Această caracteristică de securitate necesită un procesor care conține capacitatea de a verifica adresele de returnare ale codului de rulare.

Atunci când executați cod în modul kernel, adresele de returnare din stiva mod kernel pot fi deteriorate de programe sau drivere rău intenționate, pentru a redirecționa executarea normală a codului la cod rău intenționat. Pe cpu-urile acceptate, CPU păstrează o a doua copie a adreselor de returnare valide pe o stivă umbră doar în citire pe care driverele nu o pot modifica. Dacă o adresă de returnare din stiva obișnuită a fost modificată, CPU poate detecta această discrepanță verificând copia adresei de returnare din stiva de umbră. Atunci când apare această discrepanță, computerul solicită o eroare de oprire, denumită uneori ecran albastru, pentru a împiedica executarea codului rău intenționat.

Nu toate driverele sunt compatibile cu această caracteristică de securitate, deoarece un număr mic de drivere legitime se implică în modificarea adresei de returnare în scopuri non-rău intenționate. Microsoft a colaborat cu numeroși editori de drivere pentru a se asigura că cele mai recente drivere sunt compatibile cu protecția stivei impusă de hardware.

Puteți să activați sau să dezactivați protecția stivei impusă de hardware utilizând butonul de comutare.

Pentru a utiliza protecția stivei impusă de hardware, trebuie să aveți integritatea memoriei activată și să rulați un procesor care acceptă Tehnologia Intel Control-Flow Enforcement sau stiva de umbră AMD.

Ce se întâmplă dacă scrie că am un driver sau un serviciu incompatibil?

Dacă protecția stivei impusă de hardware nu reușește să se activeze, este posibil să vă spună că aveți deja un driver de dispozitiv sau un serviciu incompatibil instalat. Consultați-vă cu producătorul dispozitivului sau cu editorul aplicației pentru a vedea dacă este disponibil un driver actualizat. Dacă acesta nu are un driver compatibil disponibil, este posibil să reușiți să eliminați dispozitivul sau aplicația care utilizează acel driver incompatibil.

Este posibil ca unele aplicații să instaleze un serviciu în locul unui driver în timpul instalării aplicației și să instaleze driverul doar atunci când este lansată aplicația. Pentru o detectare mai precisă a driverelor incompatibile, se enumeră și serviciile despre care se știe că sunt asociate cu drivere incompatibile.

Denumită și protecție DMA kernel, această caracteristică de securitate vă protejează dispozitivul împotriva atacurilor care pot apărea atunci când un dispozitiv rău intenționat este conectat la un port PCI (Peripheral Component Interconnect), cum ar fi un port Thunderbolt.

Un exemplu simplu de unul dintre aceste atacuri ar fi dacă cineva părăsește PC-ul pentru o pauză rapidă de cafea și, în timp ce era plecat, un atacator intră în priză, conectează un dispozitiv de tip USB și pleacă cu date sensibile de la computer sau injectează malware care îi permite să controleze PC-ul de la distanță. 

Protecția accesului la memorie previne aceste tipuri de atacuri, refuzând accesul direct la memorie la acele dispozitive, cu excepția unor circumstanțe speciale, în special atunci când PC-ul este blocat sau utilizatorul este deconectat.

Fiecare dispozitiv are unele programe software care au fost scrise în memoria doar în citire a dispozitivului - scrise practic pe un cip de pe placa de sistem - care este utilizat pentru funcțiile de bază ale dispozitivului, cum ar fi încărcarea sistemului de operare care rulează toate aplicațiile pe care suntem obișnuiți să le folosim. Deoarece acest software este dificil (dar nu imposibil) pentru a modifica ne referi la acesta ca firmware.

Deoarece firmware-ul se încarcă prima dată și rulează sub sistemul de operare, instrumentele de securitate și caracteristicile care rulează în sistemul de operare întâmpină dificultăți în a-l detecta sau a-l apăra. Ca o casă care depinde de o bază bună pentru a fi în siguranță, un computer are nevoie de firmware-ul său pentru a fi sigur, pentru a se asigura că sistemul de operare, aplicațiile și datele de pe acel computer sunt sigure.

Protecție sistem este un set de caracteristici care vă ajută să vă asigurați că atacatorii nu vă pot face dispozitivul să înceapă cu firmware rău intenționat sau care nu este de încredere.

Platformele care oferă protecție firmware protejează de obicei și Modul de gestionare a sistemului (SMM), un mod de operare foarte privilegiat, în diferite grade. Vă puteți aștepta la una dintre cele trei valori, cu un număr mai mare care indică un grad mai mare de protecție SMM:

• Dispozitivul dvs. îndeplinește versiunea 1 de protecție firmware: aceasta oferă atenuări de securitate fundamentale pentru a ajuta SMM să reziste exploatării prin malware și previne ștergerea secretelor din sistemul de operare (inclusiv VBS)

• Dispozitivul dvs. îndeplinește versiunea doi de protecție firmware: în plus față de versiunea 1 de protecție firmware, versiunea doi asigură că SMM nu poate dezactiva Securitatea bazată pe virtualizare (VBS) și protecțiile DMA kernel

• Dispozitivul dvs. îndeplinește versiunea trei de protecție firmware: în plus față de versiunea 2 de protecție firmware, aceasta mărește și mai mult SMM, împiedicând accesul la anumite registre care au capacitatea de a compromite sistemul de operare (inclusiv VBS)

Protecția autorității de securitate locale (LSA) este o caracteristică de securitate Windows care contribuie la prevenirea furtului acreditărilor utilizate pentru conectarea la Windows.   

Autoritatea locală de securitate (LSA) este un proces esențial în Windows implicat în autentificarea utilizatorilor. Este responsabil pentru verificarea acreditărilor în timpul procesului de conectare și gestionarea tokenurilor de autentificare și a tichetelor utilizate pentru a activa caracteristica de sign-on unic pentru servicii. Protecția LSA împiedică rularea software-ului care nu este de încredere în interiorul LSA sau accesarea memoriei LSA.  

Cum gestionez protecția autorității de securitate locală?

Puteți activa sau dezactiva protecția LSA utilizând butonul de comutare.

După ce ați modificat setarea, trebuie să reporniți pentru ca aceasta să aibă efect. 

Ce se întâmplă dacă am software incompatibil? 

Dacă este activată protecția LSA și blochează încărcarea software-ului în serviciul LSA, o notificare indică fișierul blocat. Este posibil să reușiți să eliminați software-ul care încarcă fișierul sau să dezactivați avertismentele viitoare pentru acel fișier atunci când este blocat de la încărcarea în LSA.  

În timp ce utilizați dispozitivul de la locul de muncă sau de la școală, acesta se va conecta în liniște și va obține acces la o varietate de lucruri, cum ar fi fișiere, imprimante, aplicații și alte resurse din organizația dvs. Securizarea acelui proces, dar și ușurința pentru utilizator, înseamnă că PC-ul dvs. are o serie de tokenuri de autentificare pe el la un moment dat.

Dacă un atacator poate obține acces la unul sau mai multe dintre simbolurile respective, este posibil să le poată utiliza pentru a obține acces la resursa organizațională (fișiere sensibile etc.) pentru care este simbolul. Credential Guard contribuie la protejarea acestor simboluri, amplasându-le într-un mediu protejat, virtualizat, în care doar anumite servicii le pot accesa atunci când este necesar.

Un driver este un software care permite sistemului de operare (în acest caz Windows) și unui dispozitiv (cum ar fi o tastatură sau o cameră web) să vorbească între ele. Atunci când dispozitivul dorește ca Windows să facă ceva, acesta utilizează driverul pentru a trimite solicitarea respectivă. Din acest motiv, driverele au mult acces sensibil în sistemul dvs.

Windows 11 include o listă de drivere care au vulnerabilități de securitate cunoscute, care au fost semnate cu certificate utilizate pentru a semna malware sau care ocolește modelul Securitate Windows.

Dacă aveți integritatea memoriei, Smart App Control sau modul Windows S activat, va fi activată și lista de blocare a driverelor vulnerabile.

Aici veți găsi informații despre producătorul procesorului de securitate și numerele de versiune, precum și informații despre starea procesorului de securitate.

În aplicația Securitate Windows pe PC, selectați Securitate  dispozitiv> Detalii procesor de securitate sau utilizați următoarea comandă rapidă:

Detalii procesor de securitate

Dacă procesorul de securitate nu funcționează corect, puteți să selectați linkul Depanare procesor de securitate pentru a vedea mesajele de eroare și opțiunile complexe sau să utilizați următoarea comandă rapidă:

Depanare procesor de securitate

Pagina de depanare a procesorului de securitate furnizează toate mesajele de eroare relevante despre TPM. Iată o listă cu mesajele de eroare și detaliile:

Mesaj	Detalii
Este necesară o actualizare de firmware pentru procesorul de securitate (TPM).	Placa de bază a dispozitivului dvs. nu pare să accepte TPM în prezent, dar o actualizare de firmware ar putea rezolva acest lucru. Consultați producătorul dispozitivului pentru a vedea dacă este disponibilă o actualizare de firmware și cum să o instalați. Actualizările de firmware sunt de obicei gratuite.
TPM este dezactivat și necesită atenție.	Modulul de platformă de încredere este probabil dezactivat în BIOS-ul de sistem (sistemul de intrare/ieșire de bază) sau UEFI (Unified Extensible Firmware Interface). Consultați documentația de asistență a producătorului dispozitivului sau contactați asistența tehnică a acestuia pentru instrucțiuni despre cum să o activați.
Spațiul de stocare TPM nu este disponibil. Goliți TPM.	Butonul Golire TPM se află pe această pagină. Înainte de a continua, se recomandă să vă asigurați că aveți o copie backup bună a datelor.
Atestarea stării de bună funcționare a dispozitivului nu este disponibilă. Goliți TPM.	Butonul Golire TPM se află pe această pagină. Înainte de a continua, se recomandă să vă asigurați că aveți o copie backup bună a datelor.
Atestarea stării de funcționare a dispozitivului nu este acceptată pe acest dispozitiv.	Acest lucru înseamnă că dispozitivul nu ne oferă suficiente informații pentru a determina de ce este posibil ca TPM să nu funcționeze corect pe dispozitivul dvs.
TPM nu este compatibil cu firmware-ul și este posibil să nu funcționeze corect.	Consultați producătorul dispozitivului pentru a vedea dacă este disponibilă o actualizare de firmware și cum să o obțineți și să o instalați. Actualizările de firmware sunt de obicei gratuite.
Jurnalul de boot măsurat al TPM lipsește. Încercați să reporniți dispozitivul.
Există o problemă cu TPM. Încercați să reporniți dispozitivul.

Dacă încă întâmpinați probleme după rezolvarea unui mesaj de eroare, contactați producătorul dispozitivului pentru asistență.

Selectați Golire TPM pentru a reseta procesorul de securitate la setările sale implicite.