Безопасность устройства в приложении Безопасность Windows

Целостность памяти, также известная как целостность кода, защищенная гипервизором (HVCI), — это функция безопасности Windows, которая затрудняет использование вредоносными программами низкоуровневых драйверов для захвата компьютера.

Драйвер — это программное обеспечение, которое позволяет операционной системе (в данном случае Windows) и устройству (например, клавиатуре или веб-камере) общаться друг с другом. Когда устройство хочет, чтобы Windows что-то делало, оно использует драйвер для отправки этого запроса.

Целостность памяти работает путем создания изолированной среды с помощью аппаратной виртуализации.

Подумайте об этом как о охраннике внутри запертой кабины. Эта изолированная среда (заблокированная кабина в нашем аналогии) предотвращает незаконное изменение функции целостности памяти злоумышленником. Программа, которая хочет запустить фрагмент кода, который может быть опасным, должна передать код в целостность памяти внутри этой виртуальной кабины, чтобы его можно было проверить. Когда целостность памяти удобна, что код в безопасности, он передает код обратно в Windows для выполнения. Как правило, это происходит очень быстро.

Без выполнения целостности памяти охранник выделяется прямо в открытом месте, где злоумышленнику гораздо легче вмешиваться или саботировать охранника, что упрощает вредоносный код пробираться в прошлое и вызывать проблемы.

Вы можете включить илиотключить целостность памяти с помощью переключателя.

Что делать, если написано, что у меня несовместимый драйвер?

Если целостность памяти не удается включить, это может сказать вам, что у вас уже установлен несовместимый драйвер устройства. Обратитесь к производителю устройства, чтобы узнать, доступен ли обновленный драйвер. Если у них нет совместимого драйвера, вы можете удалить устройство или приложение, использующее этот несовместимый драйвер.

Аппаратная защита стека — это аппаратная функция безопасности, которая затрудняет использование вредоносными программами низкоуровневых драйверов для захвата компьютера.

Драйвер — это программное обеспечение, которое позволяет операционной системе (в данном случае Windows) и устройству (например, клавиатуре или веб-камере) общаться друг с другом. Когда устройство хочет, чтобы Windows что-то делало, оно использует драйвер для отправки этого запроса.

Защита аппаратного стека предотвращает атаки, которые изменяют возвращаемые адреса в памяти в режиме ядра для запуска вредоносного кода. Для этой функции безопасности требуется ЦП, который содержит возможность проверки возвращаемых адресов выполняемого кода.

При выполнении кода в режиме ядра возвращаемые адреса в стеке режима ядра могут быть повреждены вредоносными программами или драйверами, чтобы перенаправить нормальное выполнение кода в вредоносный код. На поддерживаемых ЦП хранит вторую копию допустимых возвращаемых адресов в теневой стеке только для чтения, который драйверы не могут изменить. Если обратный адрес в обычном стеке был изменен, ЦП может обнаружить это несоответствие, проверив копию возвращаемого адреса в теневом стеке. При возникновении такого несоответствия компьютер запрашивает stop-ошибку, иногда называемую синим экраном, чтобы предотвратить выполнение вредоносного кода.

Не все драйверы совместимы с этой функцией безопасности, так как небольшое количество законных водителей участвуют в изменении адреса возврата в не вредоносных целях. Корпорация Майкрософт взаимодействует с многочисленными издателями драйверов, чтобы убедиться, что их последние драйверы совместимы с аппаратной принудительной защитой стека.

Вы можете включить илиотключить аппаратную защиту стека с помощью переключателя.

Чтобы использовать аппаратную защиту стека, необходимо включить целостность памяти и использовать ЦП, поддерживающий технологию intel Control-Flow принудительного применения или AMD Shadow Stack.

Что делать, если написано, что у меня несовместимый драйвер или служба?

Если не удается включить защиту аппаратного принудительного стека, это может сказать, что у вас уже установлен несовместимый драйвер устройства или служба. Обратитесь к производителю устройства или издателю приложения, чтобы узнать, доступен ли обновленный драйвер. Если у них нет совместимого драйвера, вы можете удалить устройство или приложение, использующее этот несовместимый драйвер.

Некоторые приложения могут устанавливать службу вместо драйвера во время установки приложения и устанавливать драйвер только при запуске приложения. Для более точного обнаружения несовместимых драйверов также перечисляются службы, которые, как известно, связаны с несовместимыми драйверами.

Также известная как защита DMA ядра, эта функция безопасности защищает устройство от атак, которые могут произойти, когда вредоносное устройство подключено к порту PCI, например к порту Thunderbolt.

Простым примером одной из таких атак может быть то, что кто-то покидает свой компьютер для быстрого перерыва на кофе, и пока он был в отъезде, злоумышленник войдет в систему, подключит USB-устройство и уйдет с конфиденциальными данными с компьютера или введет вредоносную программу, которая позволяет им управлять компьютером удаленно. 

Защита доступа к памяти предотвращает такие атаки, запрещая прямой доступ к памяти для этих устройств, за исключением особых обстоятельств, особенно когда компьютер заблокирован или пользователь выходит из системы.

Каждое устройство имеет некоторое программное обеспечение, записанное в память устройства только для чтения ( в основном записанное на микросхему на системной плате), которое используется для основных функций устройства, таких как загрузка операционной системы, которая запускает все приложения, которые мы привыкли использовать. Так как это программное обеспечение трудно (но не невозможно) изменить, мы называем его встроенным ПО.

Поскольку встроенное ПО загружается сначала и выполняется в операционной системе, средства безопасности и функции, работающие в операционной системе, трудно обнаружить его или защититься от него. Как и в доме, который зависит от хорошей основы для обеспечения безопасности, компьютер нуждается в безопасности встроенного ПО, чтобы обеспечить безопасность операционной системы, приложений и данных на этом компьютере.

System Guard — это набор функций, которые помогают гарантировать, что злоумышленники не смогут запустить ваше устройство с недоверенным или вредоносным встроенным ПО.

Платформы, которые обеспечивают защиту встроенного ПО, обычно также защищают режим управления системой (СММ), режим работы с высоким уровнем привилегий, в той или иной степени. Вы можете ожидать одно из трех значений, с более высоким числом, указывающим на большую степень защиты СММ:

• Ваше устройство соответствует защите встроенного ПО версии 1: это обеспечивает базовые меры по устранению рисков безопасности, которые помогают SMM противостоять эксплуатации вредоносными программами и предотвращает кражу секретов из ОС (включая VBS)

• Ваше устройство соответствует защите встроенного ПО версии 2: в дополнение к защите встроенного ПО версии 1, версия 2 гарантирует, что КОМАНДА СММ не может отключить защиту на основе виртуализации (VBS) и защиту DMA ядра.

• Ваше устройство соответствует защите встроенного ПО версии 3: в дополнение к защите встроенного ПО версии 2, это еще больше усиливает защиту SMM, предотвращая доступ к определенным регистрам, которые могут скомпрометировать ОС (включая VBS).

Защита локального центра безопасности (LSA) — это функция безопасности Windows, которая помогает предотвратить кражу учетных данных, используемых для входа в Windows.   

Локальный центр безопасности (LSA) — это важнейший процесс в Windows, участвующий в проверке подлинности пользователей. Он отвечает за проверку учетных данных во время входа и управление маркерами проверки подлинности и билетами, используемыми для включения единого входа в службы. Защита LSA помогает предотвратить запуск ненадежного программного обеспечения в LSA или доступ к памяти LSA.  

Разделы справки управлять защитой локального центра безопасности?

Вы можете включить илиотключить защиту LSA с помощью переключателя.

После изменения параметра необходимо перезагрузить его, чтобы он вступил в силу. 

Что делать, если у меня есть несовместимое программное обеспечение? 

Если включена защита LSA и она блокирует загрузку программного обеспечения в службу LSA, уведомление указывает на заблокированный файл. Вы можете удалить программное обеспечение, загружающее файл, или отключить будущие предупреждения для этого файла, если он заблокирован для загрузки в LSA.  

Когда вы используете рабочее или учебное устройство, оно будет спокойно входить в систему и получать доступ к различным вещам, таким как файлы, принтеры, приложения и другие ресурсы в вашей организации. Обеспечение безопасности и простоты этого процесса для пользователя означает, что на вашем компьютере есть ряд маркеров проверки подлинности в любой момент времени.

Если злоумышленник может получить доступ к одному или нескольким из этих маркеров, он может использовать их для получения доступа к ресурсу организации (конфиденциальным файлам и т. д.), для которых предназначен маркер. Credential Guard помогает защитить эти маркеры, помещая их в защищенную виртуализированную среду, где только определенные службы могут получить к ним доступ при необходимости.

Драйвер — это программное обеспечение, которое позволяет операционной системе (в данном случае Windows) и устройству (например, клавиатуре или веб-камере) общаться друг с другом. Когда устройство хочет, чтобы Windows что-то делало, оно использует драйвер для отправки этого запроса. Из-за этого драйверы имеют большой конфиденциальный доступ в вашей системе.

Windows 11 включает список блокировок драйверов, которые имеют известные уязвимости системы безопасности, подписаны сертификатами, используемыми для подписывания вредоносных программ, или которые обходят модель Безопасность Windows.

Если вы включили целостность памяти, управление интеллектуальными приложениями или режим Windows S, список блокировки уязвимых драйверов также будет включен.

Здесь вы найдете сведения о производителе и номерах версий обработчика безопасности, а также информацию о состоянии обработчика безопасности.

В приложении "Windows Security"  на компьютере выберите Безопасность  устройства> Сведения о обработчике безопасности или используйте следующий ярлык:

Сведения о обработчике безопасности

Если ваш обработчик безопасности работает неправильно, можно щелкнуть ссылку Устранение неполадок с обработчиком безопасности, чтобы просмотреть сообщения об ошибках и дополнительные параметры, или использовать следующее сочетание клавиш:

Устранение неполадок обработчика безопасности

На странице устранения неполадок обработчика безопасности содержатся все соответствующие сообщения об ошибках доверенного платформенного модуля. Ниже приведен список сообщений об ошибках и подробные сведения:

Сообщение	Подробности
Для обработчика безопасности (доверенного платформенного модуля) требуется обновление встроенного ПО.	Системная плата вашего устройства в настоящее время не поддерживает TPM, но обновление встроенного ПО может устранить эту проблему. Обратитесь к производителю устройства, чтобы узнать, доступно ли обновление встроенного ПО и как его установить. Обновления встроенного ПО обычно бесплатны.
Доверенный платформенный модуль отключен и требует внимания.	Модуль доверенной платформы, вероятно, отключен в системном BIOS (базовая система ввода-вывода) или UEFI (единый расширяемый интерфейс встроенного ПО). Инструкции по ее включению см. в документации по поддержке изготовителя устройства или в службу технической поддержки.
Хранилище доверенного платформенного модуля недоступно. Очистите доверенный платформенный модуль.	Кнопка очистки доверенного платформенного модуля находится на этой странице. Прежде чем продолжить, необходимо убедиться, что у вас есть хорошая резервная копия данных.
Подтверждение работоспособности устройства недоступно. Очистите доверенный платформенный модуль.	Кнопка очистки доверенного платформенного модуля находится на этой странице. Прежде чем продолжить, необходимо убедиться, что у вас есть хорошая резервная копия данных.
Подтверждение работоспособности устройства не поддерживается на этом устройстве.	Это означает, что устройство не предоставляет нам достаточно информации, чтобы определить, почему доверенный платформенный модуль может неправильно работать на вашем устройстве.
TPM несовместим с встроенным ПО и может работать неправильно.	Обратитесь к производителю устройства, чтобы узнать, доступно ли обновление встроенного ПО и как его получить и установить. Обновления встроенного ПО обычно бесплатны.
Отсутствует журнал измеряемой загрузки доверенного платформенного модуля. Попробуйте перезапустить устройство.
Возникла проблема с доверенным платформенным модулем. Попробуйте перезапустить устройство.

Если после устранения сообщения об ошибке по-прежнему возникают проблемы, обратитесь к производителю устройства для получения помощи.

Выберите Очистить доверенный платформенный модуль, чтобы восстановить параметры по умолчанию обработчика безопасности.