Izolácia jadra je funkciou zabezpečenia systému Microsoft Windows, ktorá chráni dôležité základné procesy Windowsu pred škodlivým softvérom ich izoláciou v pamäti. Robí to spustením týchto základných procesov vo virtualizovanom prostredí. 

Poznámka: Obsah zobrazený na stránke izolácie Core sa môže mierne líšiť v závislosti od verzie Windowsu, ktorú používate.

Integrita pamäte

Integrita pamäte, známa aj ako Integrita kódu chránená hypervízorom (HVCI), je funkciou zabezpečenia systému Windows, ktorá sťažuje škodlivým programom používať ovládače nízkej úrovne na únos počítača.

Ovládač je softvér, ktorý umožňuje operačnému systému (v tomto prípade Windowsu) a zariadeniu (ako je klávesnica alebo webová kamera, pre dva príklady) navzájom komunikovať. Keď zariadenie chce, aby Windows urobil niečo, čo na odoslanie tejto žiadosti používa ovládač.

Tip: Chcete sa dozvedieť viac o ovládačoch? Pozrite si tému Čo je ovládač?

Integrita pamäte funguje vytvorením izolovaného prostredia pomocou hardvérovej virtualizácie.

Predstavte si to ako ochranka v zamknutej búdke. Toto izolované prostredie (uzamknutá búdka v našej analógii) zabraňuje tomu, aby útočník manipuloval s funkciou integrity pamäte. Program, ktorý chce spustiť kus kódu, ktorý môže byť nebezpečný, musí odovzdať kód na integritu pamäte vo vnútri virtuálneho stánku tak, aby bolo možné overiť. Keď je integrita pamäte pohodlná, že kód je bezpečný, odovzdá kód späť do Windowsu na spustenie. Zvyčajne sa to stáva veľmi rýchlo.

Bez spustenia integrity pamäte", "ochranka" vyniká priamo v otvorenej, kde je to oveľa jednoduchšie pre útočníka zasahovať alebo sabotovať stráže, čo uľahčuje škodlivý kód prepašovať minulosti a spôsobiť problémy.

Ako môžem spravovať integritu pamäte?

Vo väčšine prípadov je integrita pamäte vo Windowse 11 predvolene zapnutá a je možné ju zapnúť pre Windows 10.

Zapnutie alebo vypnutie:

  1. Vyberte tlačidlo Štart a zadajte "Core isolation" (Izolácia jadra).

  2. Vo výsledkoch hľadania vyberte nastavenia systému Core Isolation a otvorte aplikáciu zabezpečenia systému Windows.

Na stránke izolácie Jadra nájdete integritu pamäte spolu s prepínačom na jej zapnutie alebo vypnutie.

Základná stránka izolácie zabezpečenia systému Windows

Dôležité: Z dôvodu bezpečnosti odporúčame zapnúť integritu pamäte.

Ak chcete použiť integritu pamäte, musíte mať v systéme UEFI alebo BIOS povolenú hardvérovú virtualizáciu. 

Čo ak sa v ňom píše, že mám nekompatibilný ovládač?

Ak sa integrita pamäte nepodarí zapnúť, môže sa stať, že máte nainštalovaný nekompatibilný ovládač zariadenia. Obráťte sa na výrobcu zariadenia a zistite, či je k dispozícii aktualizovaný ovládač. Ak nemajú k dispozícii kompatibilný ovládač, možno budete môcť odstrániť zariadenie alebo aplikáciu, ktorá používa tento nekompatibilný ovládač.

Funkcia integrity pamäte systému Windows, ktorá ukazuje, že ovládač je nekompatibilný

Poznámka: Ak sa pokúsite nainštalovať zariadenie s nekompatibilným ovládačom po zapnutí integrity pamäte, môže sa zobraziť rovnaké hlásenie. Ak áno, platí rovnaká rada – obráťte sa na výrobcu zariadenia a zistite, či má aktualizovaný ovládač, ktorý si môžete stiahnuť, alebo nenainštalujte toto konkrétne zariadenie, kým nebude k dispozícii kompatibilný ovládač.

Zabezpečenie zásobníka vynútené hardvérom v režime jadra

Kernel-mode Hardware-vynútená Stack Protection je hardvérová funkcia zabezpečenia systému Windows, ktorá sťažuje škodlivým programom používať ovládače nízkej úrovne na únos počítača.

Ovládač je softvér, ktorý umožňuje operačnému systému (v tomto prípade Windowsu) a zariadeniu, ako je napríklad klávesnica alebo webová kamera, komunikovať medzi sebou. Keď zariadenie chce, aby Windows urobil niečo, čo na odoslanie tejto žiadosti používa ovládač.

Tip: Chcete sa dozvedieť viac o ovládačoch? Pozrite si tému Čo je ovládač?

Hardvérom vynútená ochrana zásobníka režimu jadra funguje tak, že zabraňuje útokom, ktoré upravujú vrátené adresy v pamäti v režime jadra, aby sa spustil škodlivý kód. Táto funkcia zabezpečenia vyžaduje procesor, ktorý obsahuje možnosť overiť vrátené adresy spusteného kódu.

Pri spúšťaní kódu v režime jadra môžu byť vrátené adresy v zásobníku režimu jadra poškodené škodlivými programami alebo ovládačmi, aby sa normálne spustenie kódu presmerovalo na škodlivý kód. Pri podporovaných procesoroch procesor uchováva druhú kópiu platných návratových adries v zásobníku tieňov iba na čítanie, ktorý ovládače nemôžu upravovať. Ak bola upravená spiatočná adresa v bežnom zásobníku, procesor môže zistiť tento nesúlad kontrolou kópie spiatočnej adresy v zásobníku tieňa. Keď sa vyskytne tento nesúlad, počítač zobrazí výzvu na zastavenie chyby, niekedy nazývanej modrá obrazovka, aby sa zabránilo spusteniu škodlivého kódu.

Nie všetky ovládače sú kompatibilné s touto funkciou zabezpečenia, pretože malý počet legitímnych ovládačov sa zúčastňuje úpravy spiatočnej adresy na iné než škodlivé účely. Spoločnosť Microsoft spolupracuje s mnohými vydavateľmi ovládačov, aby zabezpečila, že ich najnovšie ovládače sú kompatibilné s hardvérom vynútenou funkciou Stack Protection v režime jadra.

Ako môžem spravovať ochranu zásobníka vynútenú hardvérom v režime jadra?

Zabezpečenie zásobníka vynútené hardvérom v režime jadra je predvolene vypnuté.

Zapnutie alebo vypnutie:

  1. Vyberte tlačidlo Štart a zadajte "Core isolation" (Izolácia jadra).

  2. Vo výsledkoch hľadania vyberte nastavenia systému Core Isolation a otvorte aplikáciu zabezpečenia systému Windows.

Na stránke izolácie Jadra nájdete hardvérovo vynútenú ochranu zásobníka v režime jadra spolu s prepínačom na jeho zapnutie alebo vypnutie.

Označuje umiestnenie prepínača používateľského rozhrania Stack Protection vynúteného v režime jadra na stránke Core Isolation aplikácie Windows Security.

Ak chcete používať technológiu Stack Protection vynútenú hardvérom v režime jadra, musíte mať povolenú integritu pamäte a musí byť spustený procesor, ktorý podporuje technológiu Intel Control-Flow Presadzovanie alebo zásobník tieňov AMD.

Čo ak sa zobrazí hlásenie, že mám nekompatibilný ovládač alebo službu?

Ak sa hardvérovo vynútená ochrana zásobníka v režime jadra nezapne, môže sa stať, že máte nainštalovaný nekompatibilný ovládač zariadenia alebo službu. Obráťte sa na výrobcu zariadenia alebo vydavateľa aplikácie a zistite, či má aktualizovaný ovládač k dispozícii. Ak nemajú k dispozícii kompatibilný ovládač, pravdepodobne budete môcť odstrániť zariadenie alebo aplikáciu, ktorá používa tento nekompatibilný ovládač.

Niektoré aplikácie môžu nainštalovať službu namiesto ovládača počas inštalácie aplikácie a nainštalovať ovládač iba pri spustení aplikácie. Na presnejšie zisťovanie nekompatibilných ovládačov sa vyčíslia aj služby, o ktorých je známe, že sú priradené k nekompatibilným ovládačom.

Nekompatibilná stránka ovládačov a služieb pre hardvérovo vynútenú ochranu zásobníka v režime jadra v aplikácii Windows Security s jedným nekompatibilným ovládačom. Nekompatibilný ovládač sa nazýva ExampleDriver.sys publikovaná spoločnosťou Example Company.

Poznámka: Ak sa pokúsite nainštalovať zariadenie alebo aplikáciu s nekompatibilným ovládačom po zapnutí hardvérovo vynútenej ochrany zásobníka v režime jadra, môže sa zobraziť rovnaké hlásenie. V takom prípade platí rovnaká rada – informujte sa u výrobcu zariadenia alebo vydavateľa aplikácie, či majú aktualizovaný ovládač, ktorý si môžete stiahnuť, alebo nenainštalujte toto konkrétne zariadenie alebo aplikáciu, kým nebude k dispozícii kompatibilný ovládač.

Ochrana prístupu k pamäti

Tiež známy ako "Kernel DMA ochrana" to chráni vaše zariadenie pred útokmi, ktoré môžu nastať, keď je škodlivé zariadenie zapojený do PCI (periférne komponenty Interconnect) port ako Thunderbolt port.

Jednoduchým príkladom jedného z týchto útokov by bolo, keby niekto opustil svoj počítač na rýchlu prestávku na kávu, a keď bol preč, útočník kroky, pripojí USB-ako zariadenie a odíde s citlivými údajmi zo zariadenia, alebo vstrekuje malware, ktorý im umožňuje ovládať PC na diaľku. 

Ochrana prístupu k pamäti zabraňuje týmto typom útokov tým, že zamietne priamy prístup k pamäti k týmto zariadeniam s výnimkou osobitných okolností, najmä keď je počítač zamknutý alebo používateľ odhlásený.

Odporúčame zapnúť ochranu prístupu k pamäti.

Tip: Ak by ste chceli viac technických podrobností o tomto pozri Kernel DMA Protection.

Ochrana firmvéru

Každé zariadenie má nejaký softvér, ktorý bol napísaný na čítanie-len pamäte zariadenia - v podstate napísané na čip na systémovej doske - ktorý sa používa pre základné funkcie zariadenia, ako je načítanie operačného systému, ktorý spúšťa všetky aplikácie sme zvyknutí používať. Vzhľadom k tomu, že softvér je ťažké (ale nie je nemožné), aby upravili sme odkazovať na to ako firmware.

Keďže firmvér sa najprv načíta a spustí sa v rámci operačného systému, bezpečnostné nástroje a funkcie, ktoré sa spúšťajú v operačnom systéme, majú problém zistiť ho alebo sa brániť proti nemu. Rovnako ako dom, ktorý závisí na dobré základy, ktoré majú byť zabezpečené, počítač potrebuje svoj firmware byť bezpečný, aby sa zabezpečilo, že operačný systém, aplikácie a zákaznícke dáta na tomto počítači sú bezpečné.

Windows Defender System Guard je množina funkcií, ktorá pomáha zabezpečiť, aby útočníci nemohli prinútiť vaše zariadenie začať s nedôveryhodným alebo škodlivým firmvérom.

Ak to vaše zariadenie podporuje, odporúčame, aby ste ho zapli.

Platformy, ktoré ponúkajú ochranu firmvéru, zvyčajne tiež v rôznej miere chránia režim správy systému (SMM), vysoko privilegovaný operačný režim. Môžete očakávať jednu z troch hodnôt s vyšším číslom označujúcim väčší stupeň ochrany SMM:

  • Vaše zariadenie spĺňa verziu 1 s ochranou firmvéru: toto ponúka základné bezpečnostné zmiernenia, ktoré pomáhajú SMM odolávať zneužívaniu malvérom a zabraňuje exfiltrácii tajomstiev z operačného systému (vrátane VBS)

  • Vaše zariadenie spĺňa ochranu firmvéru verzie 2: okrem verzie 1 na ochranu firmvéru, verzia 2 zabezpečuje, že SMM nemôže zakázať Virtualization-based Security (VBS) a jadro DMA ochrany

  • Vaše zariadenie spĺňa verziu 3 s ochranou firmvéru: okrem verzie 2 s ochranou firmvéru ešte stvrdne SMM tým, že zabráni prístupu k určitým registrom, ktoré majú schopnosť ohroziť operačný systém (vrátane VBS).

Tip: Ďalšie technické podrobnosti nájdete v téme Windows Defender System Guard: Ako koreňový adresár dôveryhodnosti založený na hardvéri pomáha chrániť Windows

Ochrana miestnych bezpečnostných orgánov

Lokálna ochrana bezpečnostných orgánov (LSA) je funkciou zabezpečenia systému Windows, ktorá pomáha zabrániť krádeži poverení používaných na prihlásenie do Windowsu.   

Lokálny bezpečnostný úrad (LSA) je kľúčovým procesom v systéme Windows, ktorý sa podieľa na overovaní používateľa. Je zodpovedná za overovanie poverení počas procesu prihlasovania a spravovanie overovacích tokenov a lístkov používaných na povolenie jediného prihlásenia pre služby. Ochrana LSA pomáha zabrániť spusteniu nedôveryhodného softvéru v rámci LSA alebo prístupu k pamäti LSA.  

Ako môžem spravovať ochranu miestnych bezpečnostných orgánov

Ochrana LSA je predvolene zapnutá v nových inštaláciách Windowsu 11 verzie 22H2 a 23H2 v podnikových spravovaných zariadeniach. Predvolene je zapnutá vo všetkých nových inštaláciách Windowsu 11 verzie 24H2 a novšej. 

Ak inovujete na Windows 11 24H2 a ochrana LSA ešte nie je povolená, zabezpečenie LSA sa pokúsi zapnúť po inovácii. Zabezpečenie LSA prejde po inovácii do režimu vyhodnocovania a počas 5 dní skontroluje problémy s kompatibilitou. Ak sa nezistili žiadne problémy, ochrana LSA sa automaticky zapne pri ďalšom reštarte po ukončení okna vyhodnotenia.  

Zapnutie alebo vypnutie: 

  1. Vyberte položku Štart na paneli úloh a zadajte "Core isolation" (Izolácia jadra).

  2. Vo výsledkoch hľadania vyberte nastavenia systému Core Isolation a otvorte aplikáciu zabezpečenia systému Windows.

Na stránke izolácie Core nájdete ochranu miestneho bezpečnostného úradu spolu s prepínačom, ktorý ho zapína alebo vypína. Po zmene nastavenia sa toto nastavenie prejaví až po reštartovaní. 

Control for LSA protection on the Core Isolation page of the Windows Security App

Čo robiť, ak mám nekompatibilný softvér? 

Ak je zapnutá ochrana LSA a blokuje načítanie softvéru do služby LSA, zobrazí sa oznámenie s informáciou o zablokovanom súbore. Možno budete môcť odstrániť softvér načítavaný súbor, alebo môžete vypnúť budúce upozornenia pre daný súbor, keď sa zablokuje načítanie do LSA.  

Upozornenie sa spustilo, keď ochrana LSA blokuje načítanie súboru.

Microsoft Defender Credential Guard

Poznámka: Microsoft Defender Credential Guard sa zobrazuje len v zariadeniach s podnikovými verziami Windowsu 10 alebo 11.

Pri používaní pracovného alebo školského počítača sa bude ticho prihlasovať a získavať prístup k rôznym veciach, ako sú súbory, tlačiarne, aplikácie a ďalšie zdroje vo vašej organizácii. Zabezpečenie tohto procesu pre používateľa znamená, že počítač má v danom čase množstvo overovacích tokenov (často označovaných ako tajné kódy).

Ak útočník môže získať prístup k jednému alebo viacerým z týchto tajných kódov, môže ho použiť na získanie prístupu k prostriedku organizácie (citlivé súbory atď.), pre ktorý je tajný kľúč určený. Microsoft Defender Credential Guard pomáha chrániť tieto tajomstvá tak, že ich vloží do chráneného virtualizovaného prostredia, v ktorom k nim budú mať v prípade potreby prístup iba určité služby.

Ak to vaše zariadenie podporuje, odporúčame, aby ste ho zapli.

Tip: Ak chcete podrobnejšie informácie o tejto téme, pozrite si tému Fungovanie funkcie Defender Credential Guard.

Zoznam blokovaných ovládačov microsoft zraniteľných faktorov

Ovládač je softvér, ktorý umožňuje operačnému systému (v tomto prípade Windowsu) a zariadeniu (ako je klávesnica alebo webová kamera, pre dva príklady) navzájom komunikovať. Keď zariadenie chce, aby Windows urobil niečo, čo na odoslanie tejto žiadosti používa ovládač. Z tohto dôvodu majú ovládače vo vašom systéme veľa citlivých prístupov.

Od aktualizácie windowsu 11 2022 máme teraz blokovaný zoznam ovládačov, ktoré majú známe chyby zabezpečenia, boli podpísané certifikátmi, ktoré sa použili na podpisovanie malvéru alebo obchádzajú model zabezpečenia systému Windows.

Ak máte zapnutú integritu pamäte, ovládací prvok smart aplikácií alebo režim Windows S, bude zapnutý aj blokovaný zoznam zraniteľných ovládačov.

Pozrite tiež

Neustála ochrana s programom Windows Zabezpečenie

Pomocník a školenia pre zabezpečenie od spoločnosti Microsoft

Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Ponuka funkcií Komunita

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.

Opýtať sa na lokalite Microsoft Community

Microsoft Tech Community

Insideri pre Windows

Insideri pre Microsoft 365