Zabezpečenie zariadenia v aplikácii Windows Zabezpečenie

Integrita pamäte, známa aj ako integrita kódu chránená hypervízorom (HVCI), je funkciou zabezpečenia systému Windows, ktorá sťažuje škodlivým programom používať ovládače nízkej úrovne na únos počítača.

Ovládač je softvér, ktorý umožňuje operačnému systému (v tomto prípade Windowsu) a zariadeniu (napríklad klávesnici alebo webovej kamere) navzájom komunikovať. Keď zariadenie chce, aby Windows niečo urobil, na odoslanie tejto požiadavky použije ovládač.

Integrita pamäte funguje vytvorením izolovaného prostredia pomocou hardvérovej virtualizácie.

Predstavte si to ako ochranka v zamknutej búdke. Toto izolované prostredie (uzamknutá búdka v našej analógii) zabraňuje tomu, aby útočník manipuloval s funkciou integrity pamäte. Program, ktorý chce spustiť kus kódu, ktorý môže byť nebezpečný, musí odovzdať kód na integritu pamäte vo vnútri virtuálneho stánku tak, aby bolo možné overiť. Keď je integrita pamäte pohodlná, že kód je bezpečný, odovzdá kód späť do Windowsu na spustenie. Zvyčajne sa to stáva veľmi rýchlo.

Bez spustenia integrity pamäte, ochranka vyniká priamo pod holým nebom, kde je oveľa jednoduchšie, aby útočník zasahoval alebo sabotoval stráž, čo uľahčuje škodlivému kódu prepašovať okolo a spôsobiť problémy.

Integritu pamäte môžete zapnúť alebo vypnúť pomocou prepínacieho tlačidla.

Čo ak sa v ňom píše, že mám nekompatibilný ovládač?

Ak sa integrita pamäte nepodarí zapnúť, môže sa stať, že máte nainštalovaný nekompatibilný ovládač zariadenia. Obráťte sa na výrobcu zariadenia a zistite, či je k dispozícii aktualizovaný ovládač. Ak nemajú k dispozícii kompatibilný ovládač, možno budete môcť odstrániť zariadenie alebo aplikáciu, ktorá používa tento nekompatibilný ovládač.

Hardvérová vynútená ochrana zásobníka je hardvérová funkcia zabezpečenia, ktorá škodlivým programom sťažuje používanie ovládačov nízkej úrovne na únos počítača.

Ovládač je softvér, ktorý umožňuje operačnému systému (v tomto prípade Windowsu) a zariadeniu (napríklad klávesnici alebo webovej kamere) navzájom komunikovať. Keď zariadenie chce, aby Windows niečo urobil, na odoslanie tejto požiadavky použije ovládač.

Hardvérová vynútená ochrana zásobníka funguje tak, že zabraňuje útokom, ktoré upravujú vrátené adresy v pamäti v režime jadra, aby sa spustil škodlivý kód. Táto funkcia zabezpečenia vyžaduje procesor, ktorý obsahuje možnosť overiť vrátené adresy spusteného kódu.

Pri spúšťaní kódu v režime jadra môžu byť vrátené adresy v zásobníku režimu jadra poškodené škodlivými programami alebo ovládačmi, aby sa normálne spustenie kódu presmerovalo na škodlivý kód. Pri podporovaných procesoroch procesor uchováva druhú kópiu platných návratových adries v zásobníku tieňov iba na čítanie, ktorý ovládače nemôžu upravovať. Ak bola upravená spiatočná adresa v bežnom zásobníku, procesor môže zistiť tento nesúlad kontrolou kópie spiatočnej adresy v zásobníku tieňa. Keď sa vyskytne tento nesúlad, počítač zobrazí výzvu na zastavenie chyby, niekedy nazývanej modrá obrazovka, aby sa zabránilo spusteniu škodlivého kódu.

Nie všetky ovládače sú kompatibilné s touto funkciou zabezpečenia, pretože malý počet legitímnych ovládačov sa zúčastňuje úpravy spiatočnej adresy na iné než škodlivé účely. Spoločnosť Microsoft spolupracuje s mnohými vydavateľmi ovládačov, aby zabezpečila, že ich najnovšie ovládače sú kompatibilné s hardvérom vynútenou ochranou zásobníka.

Hardvérovo vynútenú ochranu zásobníka môžete zapnúť alebo vypnúť pomocou prepínača.

Ak chcete používať hardvérovú vynútenú ochranu zásobníka, musíte mať povolenú integritu pamäte a musíte mať spustený procesor, ktorý podporuje technológiu Intel Control-Flow enforcement alebo zásobník tieňov AMD.

Čo ak sa zobrazí hlásenie, že mám nekompatibilný ovládač alebo službu?

Ak sa hardvérová vynútená ochrana zásobníka nezapne, môže sa stať, že máte nainštalovaný nekompatibilný ovládač zariadenia alebo službu. Obráťte sa na výrobcu zariadenia alebo vydavateľa aplikácie a zistite, či má aktualizovaný ovládač k dispozícii. Ak nemajú k dispozícii kompatibilný ovládač, pravdepodobne budete môcť odstrániť zariadenie alebo aplikáciu, ktorá používa tento nekompatibilný ovládač.

Niektoré aplikácie môžu počas inštalácie aplikácie nainštalovať službu namiesto ovládača a nainštalovať ovládač len vtedy, keď je aplikácia spustená. Na presnejšie zisťovanie nekompatibilných ovládačov sa vyčíslia aj služby, o ktorých je známe, že sú priradené k nekompatibilným ovládačom.

Táto funkcia zabezpečenia sa označuje aj ako ochrana jadra DMA, ktorá chráni vaše zariadenie pred útokmi, ktoré sa môžu vyskytnúť, keď je škodlivé zariadenie zapojené do portu Peripheral Component Interconnect (PCI), ako je napríklad port Thunderbolt.

Jednoduchým príkladom jedného z týchto útokov by bolo, keby niekto opustil svoj počítač na rýchlu prestávku na kávu, a keď bol preč, útočník kroky, pripojí USB-ako zariadenie a odíde s citlivými údajmi zo zariadenia, alebo vstrekuje malware, ktorý im umožňuje ovládať PC na diaľku. 

Ochrana prístupu k pamäti zabraňuje týmto typom útokov tým, že zamietne priamy prístup k pamäti k týmto zariadeniam s výnimkou osobitných okolností, najmä keď je počítač uzamknutý alebo je používateľ odhlásený.

Každé zariadenie má nejaký softvér, ktorý bol napísaný na čítanie-len pamäte zariadenia - v podstate napísané na čip na systémovej doske - ktorý sa používa pre základné funkcie zariadenia, ako je načítanie operačného systému, ktorý spúšťa všetky aplikácie sme zvyknutí používať. Vzhľadom k tomu, že softvér je ťažké (ale nie je nemožné), aby upravili sme odkazovať na to ako firmware.

Keďže firmvér sa najprv načíta a spustí sa v rámci operačného systému, bezpečnostné nástroje a funkcie, ktoré sa spúšťajú v operačnom systéme, majú problém zistiť ho alebo sa brániť proti nemu. Rovnako ako dom, ktorý závisí na dobré základy, ktoré majú byť bezpečné, počítač potrebuje jeho firmware byť bezpečný, aby sa zabezpečilo, že operačný systém, aplikácie a dáta na tomto počítači sú bezpečné.

System Guard je množina funkcií, ktorá pomáha zabezpečiť, aby útočníci nemohli naštartovať vaše zariadenie s nedôveryhodným alebo škodlivým firmvérom.

Platformy, ktoré ponúkajú ochranu firmvéru, zvyčajne tiež v rôznej miere chránia režim správy systému (SMM), vysoko privilegovaný operačný režim. Môžete očakávať jednu z troch hodnôt s vyšším číslom označujúcim väčší stupeň ochrany SMM:

• Vaše zariadenie spĺňa verziu 1 s ochranou firmvéru: toto ponúka základné bezpečnostné zmiernenia, ktoré pomáhajú SMM odolávať zneužívaniu malvérom a zabraňuje exfiltrácii tajomstiev z operačného systému (vrátane VBS)

• Vaše zariadenie spĺňa ochranu firmvéru verzie 2: okrem verzie 1 na ochranu firmvéru, verzia 2 zabezpečuje, že SMM nemôže zakázať Virtualization-based Security (VBS) a jadro DMA ochrany

• Vaše zariadenie spĺňa verziu 3 s ochranou firmvéru: okrem verzie 2 s ochranou firmvéru ešte stvrdne SMM tým, že zabráni prístupu k určitým registrom, ktoré majú schopnosť ohroziť operačný systém (vrátane VBS).

Lokálna ochrana bezpečnostných orgánov (LSA) je funkciou zabezpečenia systému Windows, ktorá pomáha zabrániť krádeži poverení používaných na prihlásenie do Windowsu.   

Lokálny bezpečnostný úrad (LSA) je kľúčovým procesom v systéme Windows, ktorý sa podieľa na overovaní používateľa. Je zodpovedná za overovanie poverení počas procesu prihlasovania a spravovanie overovacích tokenov a lístkov používaných na povolenie jediného prihlásenia pre služby. Ochrana LSA pomáha zabrániť spusteniu nedôveryhodného softvéru v rámci LSA alebo prístupu k pamäti LSA.  

Ako môžem spravovať ochranu miestnych bezpečnostných orgánov?

Ochranu LSA môžete zapnúť alebo vypnúť pomocou prepínača.

Po zmene nastavenia sa toto nastavenie prejaví až po reštartovaní. 

Čo robiť, ak mám nekompatibilný softvér? 

Ak je zapnutá ochrana LSA a blokuje načítanie softvéru do služby LSA, oznámenie označuje zablokovaný súbor. Možno budete môcť odstrániť softvér načítavaný súbor alebo môžete vypnúť budúce upozornenia pre daný súbor, keď sa zablokuje načítanie do LSA.  

Počas používania pracovného alebo školského zariadenia sa bude ticho prihlasovať a získavať prístup k rôznym funkciám, ako sú súbory, tlačiarne, aplikácie a ďalšie zdroje vo vašej organizácii. Zabezpečenie tohto procesu pre používateľa znamená, že počítač má v danom čase k dispozícii niekoľko overovacích tokenov.

Ak útočník môže získať prístup k jednému alebo viacerým z týchto tokenov, môže ho použiť na získanie prístupu k prostriedku organizácie (citlivé súbory atď.), pre ktorý je token určený. Credential Guard pomáha chrániť tieto tokeny tak, že ich vloží do chráneného, virtualizovaného prostredia, v ktorom k nim budú mať prístup len niektoré služby v prípade potreby.

Ovládač je softvér, ktorý umožňuje operačnému systému (v tomto prípade Windowsu) a zariadeniu (napríklad klávesnici alebo webovej kamere) navzájom komunikovať. Keď zariadenie chce, aby Windows niečo urobil, na odoslanie tejto požiadavky použije ovládač. Z tohto dôvodu majú ovládače vo vašom systéme veľa citlivých prístupov.

Windows 11 obsahuje zoznam ovládačov, ktoré majú známe chyby zabezpečenia, boli podpísané certifikátmi používanými na podpísanie malvéru alebo obchádzajúci model Windows Zabezpečenie.

Ak máte zapnutú integritu pamäte, ovládací prvok smart aplikácií alebo režim Windows S, bude zapnutý aj blokovaný zoznam zraniteľných ovládačov.

Tu nájdete informácie o výrobcovi a číslach verzií procesora zabezpečenia, ako aj informácie o stave procesora zabezpečenia.

V aplikácii Windows Zabezpečenie v počítači vyberte položku Zabezpečenie  zariadenia> podrobnosti procesora zabezpečenia alebo použite nasledujúci odkaz:

Podrobnosti procesora zabezpečenia

Ak váš procesor zabezpečenia nefunguje správne, môžete vybrať prepojenie na riešenie problémov s procesorom zabezpečenia a zobraziť chybové hlásenia a rozšírené možnosti alebo použiť nasledujúci odkaz:

Riešenie problémov s procesorom zabezpečenia

Stránka riešenia problémov s procesorom zabezpečenia poskytuje všetky relevantné chybové hlásenia týkajúce sa modulu TPM. Tu je zoznam chybových hlásení a podrobností:

Správa	Podrobnosti
Procesor zabezpečenia (modul TPM) vyžaduje aktualizáciu firmvéru.	Zdá sa, že základná doska zariadenia v súčasnosti nepodporuje modul TPM, problém však môže vyriešiť aktualizácia firmvéru. Obráťte sa na výrobcu zariadenia a zistite, či je k dispozícii aktualizácia firmvéru a ako ju nainštalovať. Aktualizácie firmvéru sú zvyčajne bezplatné.
Modul TPM je zakázaný a vyžaduje si pozornosť.	Modul dôveryhodnej platformy je pravdepodobne vypnutý v systéme BIOS (Základný vstupný/výstupný systém) alebo UEFI (Unified Extensible Firmware Interface). Pokyny na jeho zapnutie nájdete v dokumentácii k technickej podpore výrobcu zariadenia alebo sa obráťte na oddelenie technickej podpory.
Ukladací priestor modulu TPM nie je k dispozícii. Vymažte modul TPM.	Tlačidlo Vymazať modul TPM sa nachádza na tejto stránke. Skôr než budete pokračovať, uistite sa, že máte dobrú zálohu údajov.
Osvedčenie o stave zariadenia nie je k dispozícii. Vymažte modul TPM.	Tlačidlo Vymazať modul TPM sa nachádza na tejto stránke. Skôr než budete pokračovať, uistite sa, že máte dobrú zálohu údajov.
Overenie stavu zariadenia nie je v tomto zariadení podporované.	Znamená to, že zariadenie nám neposkytuje dostatok informácií na určenie toho, prečo modul TPM nemusí vo vašom zariadení správne fungovať.
Modul TPM nie je kompatibilný s firmvérom a pravdepodobne nefunguje správne.	Obráťte sa na výrobcu zariadenia a zistite, či je k dispozícii aktualizácia firmvéru a ako ju získať a nainštalovať. Aktualizácie firmvéru sú zvyčajne bezplatné.
Chýba denník meraných spúšťaní modulu TPM. Skúste reštartovať zariadenie.
Vyskytol sa problém s modulom TPM. Skúste reštartovať zariadenie.

Ak problémy pretrvávajú aj po vykonaní kroku uvedenom v chybovom hlásení, obráťte sa na výrobcu zariadenia.

Výberom možnosti Vymazať modul TPM obnovíte predvolené nastavenia procesora zabezpečenia.