Osamitev jedra je varnostna funkcija sistema Microsoft Windows, ki pomembne osnovne procese sistema Windows ščiti pred zlonamerno programsko opremo tako, da jih osami v pomnilniku. To naredi tako, da te osnovne procese izvaja v virtualiziranem okolju.
Opomba: Vsebina, ki jo vidite na strani osamitev jedra, se lahko nekoliko razlikuje, odvisno od različice sistema Windows, ki jo uporabljate.
Celovitost pomnilnika
Celovitost pomnilnika, znana tudi kot Celovitost kode, zaščitena s hipervizorjem (HVCI), je varnostna funkcija sistema Windows, ki zlonamernim programom oteži uporabo gonilnikov na nizki ravni, da bi ugrabili vaš računalnik.
Gonilnik je programska oprema, ki omogoča, da se operacijski sistem (v tem primeru Windows) in naprava (na primer tipkovnica ali spletna kamera) pogovarjata med seboj. Ko naprava želi, da Windows naredi nekaj, kar uporablja gonilnik za pošiljanje te zahteve.
Namig: Želite izvedeti več o gonilnikih? Glejte Kaj je gonilnik?
Celovitost pomnilnika deluje tako, da ustvari izolirano okolje z virtualizacijo strojne opreme.
To si predstavljajte kot varnostnik znotraj zaklenjene govorilnice. To izolirano okolje (zaklenjena govorilnica v naši analogni) preprečuje, da bi napadalec nedovoljeno spreminjal funkcijo celovitosti pomnilnika. Program, ki želi zagnati kos kode, ki je lahko nevarna je, da prenese kodo za celovitost pomnilnika znotraj te virtualne govorilnice, tako da je mogoče preveriti. Če je integriteta pomnilnika udobna, da je koda varna, kodo posnete nazaj v sistem Windows. Običajno se to zgodi zelo hitro.
Brez celovitosti pomnilnika, ki se izvaja, "varnostni stražar" stoji desno na odprtem, kjer je veliko lažje za napadalca, da motijo ali sabotažo straže, tako da je lažje za zlonamerno kodo pretihotapiti mimo in povzroči težave.
Kako upravljam celovitost pomnilnika?
V večini primerov je celovitost pomnilnika v sistemu Windows 11 privzeto vklopljena in jo lahko vklopite za Windows 10.
Vklop ali izklop:
-
Izberite gumb za začetni meni in vnesite »Osamitve jedra«.
-
V rezultatih iskanja izberite nastavitve sistema za osamitve jedra, da odprete varnostno aplikacijo sistema Windows.
Na strani Osamitev jedra boste našli celovitost pomnilnika skupaj s stikalom, da ga vklopite ali izklopite.
Pomembno: Zaradi varnosti priporočamo, da vklopite celovitost pomnilnika.
Če želite uporabljati celovitost pomnilnika, morate imeti v vmesniku UEFI ali BIOS-u sistema omogočena virtualizacija strojne opreme.
Kaj, če se prikaže sporočilo, da imam nezdružljiv gonilnik?
Če se celovitost pomnilnika ne vklopi, se lahko prikaže, da imate že nameščen nezdružljiv gonilnik naprave. Pri proizvajalcu naprave preverite, ali je na voljo posodobljen gonilnik. Če ta oseba nima na voljo združljivega gonilnika, lahko morda odstranite napravo ali aplikacijo, ki uporablja ta nezdružljiv gonilnik.
Opomba: Če poskušate po vklopu celovitosti pomnilnika namestiti napravo z nezdružljivim gonilnikom, se lahko prikaže isto sporočilo. V tem primeru velja isti nasvet – pri proizvajalcu naprave preverite, ali ima posodobljen gonilnik, ki ga lahko prenesete, ali pa te naprave ne namestite, dokler ni na voljo združljiv gonilnik.
Zaščita sklada s strojno vsilitvijo v jedrnem načinu
Zaščita sklada s strojno opremo v jedrnem načinu je varnostna funkcija sistema Windows, ki zlonamernim programom oteži uporabo gonilnikov na nizki ravni, da bi ugrabili vaš računalnik.
Gonilnik je programska oprema, ki na primer omogoča, da se operacijski sistem (v tem primeru Windows) in naprava, kot je tipkovnica ali spletna kamera, pogovarjata med seboj. Ko naprava želi, da Windows naredi nekaj, kar uporablja gonilnik za pošiljanje te zahteve.
Namig: Želite izvedeti več o gonilnikih? Glejte Kaj je gonilnik?
Zaščita sklada, ki vsili strojno opremo v jedrnem načinu, deluje tako, da preprečuje napade, ki spremenijo vrnjene naslove v pomnilniku jedrnega načina za zagon zlonamerne kode. Ta varnostna funkcija zahteva CPE, ki vsebuje možnost preverjanja vrnjenih naslovov kode, ki se izvaja.
Pri izvajanju kode v jedrnem načinu lahko zlonamerni programi ali gonilniki poškodujejo vrnjene naslove v skladu jedrnega načina, da lahko običajno izvajanje kode preusmerijo v zlonamerno kodo. V podprtih CPE-jih CPE ohrani drugo kopijo veljavnih vrnjenih naslovov v skladu senčenja samo za branje, ki ga gonilniki ne morejo spreminjati. Če je bil naslov pošiljatelja v navadnem skladu spremenjen, lahko CPE zazna to razliko tako, da preverja kopijo naslova pošiljatelja v senčenem skladu. Ko pride do te razlike, računalnik pozove prekinitveno napako, znano tudi kot moder zaslon, da prepreči izvajanje zlonamerne kode.
Nekateri gonilniki niso združljivi s to varnostno funkcijo, saj manjše število zakonitih gonilnikov sodeluje pri spremembi naslova za vračilo za nenamenenamene namene. Microsoft sodeluje s številnimi izdajatelji gonilnikov, ki zagotavljajo, da so njihovi najnovejši gonilniki združljivi s strojno opremo v jedrnem načinu, ki jo vsili zaščita sklada.
Kako upravljam zaščito sklada Hardware-enforced Stack v jedrnem načinu?
Zaščita s strojno opremo v jedrnem načinu je privzeto izklopljena.
Vklop ali izklop:
-
Izberite gumb za začetni meni in vnesite »Osamitve jedra«.
-
V rezultatih iskanja izberite nastavitve sistema za osamitve jedra, da odprete varnostno aplikacijo sistema Windows.
Na strani Osamitev jedra boste našli strojno vsilite zaščito sklada v jedrnem načinu skupaj s stikalom za vklop ali izklop.
Če želite uporabljati zaščito sklada Hardware-enforced Hardware-enforced v jedrnem načinu, morate imeti omogočeno integriteto pomnilnika in uporabljati morate CPE, ki podpira tehnologijo Intel Control-Flow Enforcement Technology ali sklad senčenja AMD.
Kaj naj naredim, če imam nezdružljiv gonilnik ali storitev?
Če se zaščita sklada s strojno opremo, ki jo vsili jedrni način, ne vklopi, vam bo morda povedala, da imate že nameščen nezdružljiv gonilnik ali storitev naprave. Pri proizvajalcu naprave ali izdajatelju aplikacije preverite, ali ima na voljo posodobljen gonilnik. Če nimajo na voljo združljivega gonilnika, lahko morda odstranite napravo ali aplikacijo, ki uporablja ta nezdružljiv gonilnik.
Nekateri programi lahko med namestitvijo aplikacije namestijo storitev namesto gonilnika, gonilnik pa se namesti le ob zagonu aplikacije. Za natančnejše zaznavanje nezdružljivih gonilnikov so oštevilčene tudi storitve, za katere je znano, da so povezane z nezdružljivimi gonilniki.
Opomba: Če poskušate namestiti napravo ali aplikacijo z nezdružljivim gonilnikom, ko vklopite strojno vsilite zaščito sklada v jedrnem načinu, se lahko prikaže isto sporočilo. V tem primeru velja isti nasvet – pri proizvajalcu naprave ali izdajatelju aplikacije preverite, ali ima posodobljen gonilnik, ki ga lahko prenesete, ali pa te naprave ali aplikacije ne namestite, dokler ni na voljo združljiv gonilnik.
Zaščita dostopa do pomnilnika
Z možnostjo »Zaščita jedra DMA« zaščitite svojo napravo pred napadi, do katerih lahko pride, ko je zlonamerna naprava priključena v vrata PCI (Peripheral Component Interconnect), kot so vrata Thunderbolt.
Preprost primer enega od teh napadov bi bil, če nekdo zapusti svoj računalnik za hiter premor kave, in ko so bili odsotni, napadalec koraka v, priključek v napravo, kot je USB in odide stran z občutljivimi podatki iz računalnika, ali vbrizga zlonamerno programsko opremo, ki jim omogoča, da nadzor nad računalnikom na daljavo.
Zaščita dostopa do pomnilnika tem vrstam napadov preprečuje tako, da zavrne neposreden dostop do pomnilnika tem napravam, razen v posebnih okoliščinah, še posebej, če je računalnik zaklenjen ali če je uporabnik izpisen.
Priporočamo, da vklopite zaščito dostopa do pomnilnika.
Namig: Če želite več tehničnih podrobnosti o tem, glejte Kernel DMA Protection.
Zaščita vdelane programske opreme
Vsaka naprava ima programsko opremo, ki je napisana v pomnilnik naprave samo za branje - v osnovi zapisana na čipu na sistemski tabli - ki se uporablja za osnovne funkcije naprave, kot je nalaganje operacijskega sistema, v katerem so nameščene vse aplikacije, ki smo jih uporabili. Ker je ta programska oprema težko (vendar ne nemogoče) za spreminjanje jo imenujemo vdelana programska oprema.
Ker se vdelana programska oprema najprej naloži in se izvaja pod operacijskim sistemom, imajo varnostna orodja in funkcije, ki se izvajajo v operacijskem sistemu, težaven čas, da ga zaznajo ali branijo pred tem. Tako kot hiša, ki je odvisna od dobre temelje za varnost, računalnik potrebuje svojo vdelano programsko opremo, da bi zagotovili varno delovanje operacijskega sistema, aplikacij in podatkov o strankah v tem računalniku.
Windows Defender System Guard je nabor funkcij, ki pomagajo zagotoviti, da napadalci ne bodo mogli pridobiti vaše naprave za začetek z zlonamerno programsko opremo ali vdelano programsko opremo, ki ni zaupanja vreden.
Če vaša naprava to podpira, priporočamo, da jo imate vklopljeno.
Platforme, ki ponujajo zaščito vdelane programske opreme, običajno tudi ščitijo način za upravljanje sistema ( SMM), visoko prednostni operacijski način, v različnih stopnjah. Pričakujete lahko eno od treh vrednosti z višjim številom, ki označuje večjo stopnjo zaščite SMM:
-
Vaša naprava izpolnjuje različico za zaščito vdelane programske opreme: s tem ponujamo temeljna varnostna ublažitev, s katerimi lahko SMM prepreči izkoriščanje z zlonamerno programsko opremo in prepreči exfiltracijo skrivnosti iz operacijskega sistema (vključno s VBS).
-
Vaša naprava izpolnjuje dve različici zaščite vdelane programske opreme: poleg različice zaščite vdelane programske opreme različica 2 zagotavlja, da SMM ne more onemogočiti zaščite, ki temelji na virtualizacije, in zaščite DMA jedra
-
Vaša naprava izpolnjuje tri različico zaščite vdelane programske opreme: poleg različice za zaščito vdelane programske opreme, različica 2 dodatno ojači SMM tako, da prepreči dostop do nekaterih registrov, ki lahko ogrozijo operacijski sistem (vključno s SBS).
Namig: Če želite več tehničnih podrobnosti o tem, glejte Windows Defender System Guard: kako koren zaupanja strojne opreme ščiti sistem Windows
Zaščita lokalnega varnostnega organa
Zaščita LSA (Local Security Authority) je varnostna funkcija sistema Windows, ki preprečuje krajo poverilnic, ki se uporabljajo za vpis v Sistem Windows.
Lsa (Local Security Authority) je pomemben proces v sistemu Windows, ki je vključen v preverjanje pristnosti uporabnika. Odgovoren je za preverjanje poverilnic med postopkom prijave in upravljanje žetonov in vstopnic za preverjanje pristnosti, ki se uporabljajo za omogočanje enotne prijave za storitve. Zaščita LSA preprečuje, da bi se programska oprema, ki ni zaupanja, izvajala znotraj LSA ali dostopala do pomnilnika LSA.
Kako upravljam zaščito lokalnega varnostnega organa
Zaščita LSA je privzeto vklopljena za nove namestitve sistema Windows 11 različica 22H2 in 23H2 v napravah, ki jih upravljajo podjetja. Privzeto je vklopljena za vse nove namestitve sistema Windows 11 različica 24H2 in novejše.
Če želite nadgraditi na Windows 11 24H2 in zaščita LSA še ni omogočena, bo zaščita LSA poskusila omogočiti po nadgradnji. Zaščita LSA bo po nadgradnji prešla v način ocenjevanja in bo preverjala težave z združljivostjo v 5-dnevnem obdobju. Če ni zaznane nobene težave, bo zaščita LSA samodejno vklopljena ob naslednjem ponovnem zagonu po koncu okna za vrednotenje.
Vklop ali izklop:
-
V opravilni vrstici izberite začetni meni in vnesite »Osamitev jedra«.
-
V rezultatih iskanja izberite nastavitve sistema za osamitve jedra, da odprete varnostno aplikacijo sistema Windows.
Na strani Osamitev jedra boste našli zaščito lokalnega varnostnega organa skupaj s stikalom za vklop ali izklop. Ko spremenite nastavitev, morate znova zagnati računalnik, da ta uveljavi.
Kaj naj naredim, če imam nezdružljivo programsko opremo?
Če je omogočena zaščita LSA in blokira nalaganje programske opreme v storitev LSA, se prikaže obvestilo, ki označuje, da je bila datoteka blokirana. Morda boste lahko odstranili programsko opremo, ki nalaga datoteko, ali pa onemogočite prihodnja opozorila za to datoteko, ko je blokirana pred nalaganjem v LSA.
Microsoft Defender Credential Guard
Opomba: Microsoft Defender Credential Guard je prikazan le v napravah z različicami Enterprise sistema Windows 10 ali 11.
Med uporabo službenega ali šolskega računalnika se neopazno vpisujete in pridobite dostop do številnih vsebin, kot so datoteke, tiskalniki, aplikacije in drugi viri v vaši organizaciji. Če ta postopek zaščitite, vendar je ta preprost za uporabnika, to pomeni, da ima vaš računalnik v vsakem danem trenutku več žetonov za preverjanje pristnosti (ki jih pogosto imenujemo tudi »skrivnosti«).
Če lahko napadalec pridobi dostop do ene ali več teh skrivnosti, jih lahko uporabi za pridobitev dostopa do virov organizacije (občutljivih datotek itd.), za katere je skrivnost. Microsoft Defender Credential Guard zaščiti te skrivnosti tako, da jih postavlja v zaščiteno, virtualizirano okolje, v katerem lahko do njih po potrebi dostopajo le določene storitve.
Če vaša naprava to podpira, priporočamo, da jo imate vklopljeno.
Namig: Če želite več tehničnih podrobnosti o tem, glejte Kako deluje Defender Credential Guard.
Seznam blokiranih Microsoftovih ranljivih gonilnikov
Gonilnik je programska oprema, ki omogoča, da se operacijski sistem (v tem primeru Windows) in naprava (na primer tipkovnica ali spletna kamera) pogovarjata med seboj. Ko naprava želi, da Windows naredi nekaj, kar uporablja gonilnik za pošiljanje te zahteve. Zaradi tega imajo gonilniki veliko občutljivega dostopa v vašem sistemu.
S posodobitvijo sistema Windows 11 2022 imamo zdaj seznam blokiranih gonilnikov, ki imajo znane varnostne ranljivosti, so bili podpisani s potrdili, ki so bila uporabljena za podpis zlonamerne programske opreme ali zaobidejo varnostni model sistema Windows.
Če imate vklopljeno celovitost pomnilnika, funkcijo Smart App Control ali način Windows S, bo vklopljen tudi seznam ranljivih gonilnikov.