Varnost naprave v Varnost sistema Windows Aplikaciji

Celovitost pomnilnika, znana tudi kot Celovitost kode, zaščitena s hipervizorjem (HVCI), je varnostna funkcija sistema Windows, ki zlonamernim programom oteži uporabo gonilnikov na nizki ravni, da bi ugrabili vaš računalnik.

Gonilnik je programska oprema, ki operacijskemu sistemu (v tem primeru windows) in napravi (kot je tipkovnica ali spletna kamera) omogočata, da se pogovarjata med seboj. Ko naprava želi, da Windows kaj naredi, uporabi gonilnik za pošiljanje te zahteve.

Celovitost pomnilnika deluje tako, da ustvari izolirano okolje z virtualizacijo strojne opreme.

To si predstavljajte kot varnostnik znotraj zaklenjene govorilnice. To izolirano okolje (zaklenjena govorilnica v naši analogni) preprečuje, da bi napadalec nedovoljeno spreminjal funkcijo celovitosti pomnilnika. Program, ki želi zagnati kos kode, ki je lahko nevarna je, da prenese kodo za celovitost pomnilnika znotraj te virtualne govorilnice, tako da je mogoče preveriti. Če je integriteta pomnilnika udobna, da je koda varna, kodo posnete nazaj v sistem Windows. Običajno se to zgodi zelo hitro.

Brez celovitosti pomnilnika, ki se izvaja, varnostni stražar stoji neposredno na odprtem, kjer je veliko lažje, da napadalec ovira ali sabotažo straže, kar zlonamerni kodi olajša pretihotapiti mimo in povzročati težave.

Celovitost pomnilnika lahko s preklopnim gumbomvklopite ali izklopite.

Kaj, če se prikaže sporočilo, da imam nezdružljiv gonilnik?

Če se celovitost pomnilnika ne vklopi, lahko vidite, da imate že nameščen nezdružljiv gonilnik naprave. Pri proizvajalcu naprave preverite, ali je na voljo posodobljen gonilnik. Če ta oseba nima na voljo združljivega gonilnika, lahko morda odstranite napravo ali aplikacijo, ki uporablja ta nezdružljiv gonilnik.

Zaščita z vsilitvijo sklada je varnostna funkcija na osnovi strojne opreme, ki zlonamernim programom oteži uporabo gonilnikov nizke ravni, da bi ugrabili vaš računalnik.

Gonilnik je programska oprema, ki operacijskemu sistemu (v tem primeru windows) in napravi (kot je tipkovnica ali spletna kamera) omogočata, da se pogovarjata med seboj. Ko naprava želi, da Windows kaj naredi, uporabi gonilnik za pošiljanje te zahteve.

Zaščita s strojno vsilitvijo sklada deluje tako, da preprečuje napade, ki spremenijo vrnjene naslove v pomnilniku jedrnega načina za zagon zlonamerne kode. Ta varnostna funkcija zahteva CPE, ki vsebuje možnost preverjanja vrnjenih naslovov kode, ki se izvaja.

Pri izvajanju kode v jedrnem načinu lahko zlonamerni programi ali gonilniki poškodujejo vrnjene naslove v skladu jedrnega načina, da lahko običajno izvajanje kode preusmerijo v zlonamerno kodo. V podprtih CPE-jih CPE ohrani drugo kopijo veljavnih vrnjenih naslovov v skladu senčenja samo za branje, ki ga gonilniki ne morejo spreminjati. Če je bil naslov pošiljatelja v navadnem skladu spremenjen, lahko CPE zazna to razliko tako, da preverja kopijo naslova pošiljatelja v senčenem skladu. Ko pride do te razlike, računalnik pozove prekinitveno napako, znano tudi kot moder zaslon, da prepreči izvajanje zlonamerne kode.

Nekateri gonilniki niso združljivi s to varnostno funkcijo, saj manjše število zakonitih gonilnikov sodeluje pri spremembi naslova za vračilo za nenamenenamene namene. Microsoft sodeluje s številnimi izdajatelji gonilnikov, ki zagotavljajo, da so njihovi najnovejši gonilniki združljivi z zaščito strojno vsilitega sklada.

S preklopnim gumbom lahko vklopite ali izklopite zaščito strojno vsilitega sklada.

Če želite uporabljati zaščito s strojno opremo, morate imeti omogočeno celovitost pomnilnika in uporabljati morate CPE, ki podpira tehnologijo Intel Control-Flow Enforcement Technology ali sklad senčenja AMD.

Kaj naj naredim, če imam nezdružljiv gonilnik ali storitev?

Če se zaščita sklada s strojno opremo ne vklopi, vam bo morda povedalo, da imate že nameščen nezdružljiv gonilnik ali storitev naprave. Pri proizvajalcu naprave ali izdajatelju aplikacije preverite, ali ima na voljo posodobljen gonilnik. Če nimajo na voljo združljivega gonilnika, lahko morda odstranite napravo ali aplikacijo, ki uporablja ta nezdružljiv gonilnik.

Nekateri programi lahko med namestitvijo aplikacije namestijo storitev namesto gonilnika, gonilnik pa se namesti le ob zagonu aplikacije. Za natančnejše zaznavanje nezdružljivih gonilnikov so oštevilčene tudi storitve, za katere je znano, da so povezane z nezdružljivimi gonilniki.

Ta varnostna funkcija ščiti vašo napravo pred napadi, do katerih lahko pride, ko je zlonamerna naprava priključena v vrata PCI (Peripheral Component Interconnect), kot so vrata Thunderbolt.

Preprost primer enega od teh napadov bi bil, če nekdo zapusti svoj računalnik za hiter premor kave, in ko so bili odsotni, napadalec koraka v, priključek v napravo, kot je USB in odide stran z občutljivimi podatki iz računalnika, ali vbrizga zlonamerno programsko opremo, ki jim omogoča, da nadzor nad računalnikom na daljavo. 

Zaščita dostopa do pomnilnika tem vrstam napadov preprečuje tako, da zavrne neposreden dostop do pomnilnika tem napravam, razen v posebnih okoliščinah, še posebej, če je računalnik zaklenjen ali ko je uporabnik izpisen.

Vsaka naprava ima programsko opremo, ki je napisana v pomnilnik naprave samo za branje - v osnovi zapisana na čipu na sistemski tabli - ki se uporablja za osnovne funkcije naprave, kot je nalaganje operacijskega sistema, v katerem so nameščene vse aplikacije, ki smo jih uporabili. Ker je ta programska oprema težko (vendar ne nemogoče) za spreminjanje jo imenujemo vdelana programska oprema.

Ker se vdelana programska oprema najprej naloži in se izvaja pod operacijskim sistemom, imajo varnostna orodja in funkcije, ki se izvajajo v operacijskem sistemu, težaven čas, da ga zaznajo ali branijo pred tem. Podobno kot hiša, ki je odvisna od dobre temelje za varnost, računalnik potrebuje svojo vdelano programsko opremo, da bi zagotovili varno delovanje operacijskega sistema, aplikacij in podatkov v tem računalniku.

System Guard je nabor funkcij, ki pomagajo zagotoviti, da napadalci ne bodo mogli pridobiti vaše naprave, da bi začeli z zlonamerno programsko opremo, ki ni zaupanja v redu.

Platforme, ki ponujajo zaščito vdelane programske opreme, običajno tudi ščitijo način za upravljanje sistema ( SMM), visoko prednostni operacijski način, v različnih stopnjah. Pričakujete lahko eno od treh vrednosti z višjim številom, ki označuje večjo stopnjo zaščite SMM:

• Vaša naprava izpolnjuje različico za zaščito vdelane programske opreme: s tem ponujamo temeljna varnostna ublažitev, s katerimi lahko SMM prepreči izkoriščanje z zlonamerno programsko opremo in prepreči exfiltracijo skrivnosti iz operacijskega sistema (vključno s VBS).

• Vaša naprava izpolnjuje dve različici zaščite vdelane programske opreme: poleg različice zaščite vdelane programske opreme različica 2 zagotavlja, da SMM ne more onemogočiti zaščite, ki temelji na virtualizacije, in zaščite DMA jedra

• Vaša naprava izpolnjuje tri različico zaščite vdelane programske opreme: poleg različice za zaščito vdelane programske opreme, različica 2 dodatno ojači SMM tako, da prepreči dostop do nekaterih registrov, ki lahko ogrozijo operacijski sistem (vključno s SBS).

Zaščita LSA (Local Security Authority) je varnostna funkcija sistema Windows, ki preprečuje krajo poverilnic, ki se uporabljajo za vpis v Sistem Windows.   

Lsa (Local Security Authority) je pomemben proces v sistemu Windows, ki je vključen v preverjanje pristnosti uporabnika. Odgovoren je za preverjanje poverilnic med postopkom prijave in upravljanje žetonov in vstopnic za preverjanje pristnosti, ki se uporabljajo za omogočanje enotne prijave za storitve. Zaščita LSA preprečuje, da bi se programska oprema, ki ni zaupanja, izvajala znotraj LSA ali dostopala do pomnilnika LSA.  

Kako upravljam zaščito lokalnega varnostnega organa?

S preklopnim gumbom lahko vklopite ali izklopite zaščito LSA.

Ko spremenite nastavitev, morate znova zagnati računalnik, da ta uveljavi. 

Kaj naj naredim, če imam nezdružljivo programsko opremo? 

Če je omogočena zaščita LSA in blokira nalaganje programske opreme v storitev LSA, obvestilo označuje blokirano datoteko. Morda boste lahko odstranili programsko opremo, ki nalaga datoteko, ali pa onemogočite prihodnja opozorila za to datoteko, ko je blokirana pred nalaganjem v LSA.  

Med uporabo službene ali šolske naprave se neopazno vpisujete in pridobite dostop do številnih vsebin, kot so datoteke, tiskalniki, aplikacije in drugi viri v vaši organizaciji. Če ta postopek zaščitite, vendar je za uporabnika preprost, to pomeni, da ima vaš računalnik v vsakem danem trenutku na voljo številne žetone za preverjanje pristnosti.

Če lahko napadalec pridobi dostop do enega ali več od teh žetonov, jih bo morda lahko uporabil za dostop do virov organizacije (občutljivih datotek itd.), za katere je žeton namenjen. Funkcija Credential Guard pomaga zaščititi te žetone tako, da jih da v zaščiteno, virtualizirano okolje, v katerem lahko do njih dostopajo le določene storitve, ko je to potrebno.

Gonilnik je programska oprema, ki operacijskemu sistemu (v tem primeru windows) in napravi (kot je tipkovnica ali spletna kamera) omogočata, da se pogovarjata med seboj. Ko naprava želi, da Windows kaj naredi, uporabi gonilnik za pošiljanje te zahteve. Zaradi tega imajo gonilniki veliko občutljivega dostopa v vašem sistemu.

Windows 11 vključuje seznam blokiranih gonilnikov, ki imajo znane varnostne ranljivosti, so bili podpisani s potrdili, ki se uporabljajo za podpis zlonamerne programske opreme ali zaobidejo Varnost sistema Windows model.

Če imate vklopljeno celovitost pomnilnika, funkcijo Smart App Control ali način Windows S, bo vklopljen tudi seznam ranljivih gonilnikov.

Tukaj boste našli informacije o proizvajalcu procesorja varnosti, številkah različic in o stanju procesorja varnosti.

V aplikaciji Varnost sistema Windowsv računalniku, izberite Varnost naprave> podrobnosti procesorja varnosti ali uporabite to bližnjico:

Podrobnosti procesorja varnosti

Če procesor varnosti ne deluje pravilno, lahko izberete povezavo Odpravljanje težav s procesorjem varnosti, da si ogledate sporočila o napakah in dodatne možnosti, ali pa uporabite to bližnjico:

Odpravljanje težav s procesorjem varnosti

Na strani za odpravljanje težav s procesorjem varnosti so vsa pomembna sporočila o napakah za modul zaupanja TPM. Tukaj je seznam sporočil o napakah in podrobnosti:

Sporočilo	Podrobnosti
Treba je posodobiti vdelano programsko opremo za vaš procesor varnosti (modul zaupanja TPM).	Videti je, da matične plošče v vaši napravi trenutno ne podpirajo modula zaupanja TPM, vendar lahko to reši posodobitev vdelane programske opreme. Pri proizvajalcu naprave preverite, ali je na voljo posodobitev vdelane programske opreme, in kako jo namestite. Posodobitve vdelane programske opreme so običajno brezplačne.
Modul zaupanja TPM je onemogočen in zahteva ukrepanje.	Modul zaupanja V SISTEMU BIOS (Basic Input/Output System) ali UEFI (Unified Extensible Firmware Interface) je verjetno izklopljen. Če želite navodila o tem, kako jo vklopite, glejte dokumentacijo za podporo proizvajalca naprave ali se obrnite na njihovo tehnično podporo.
Prostor za shranjevanje modula zaupanja TPM ni na voljo. Počistite modul zaupanja TPM.	Gumb za čiščenje modula zaupanja TPM je na tej strani. Preden nadaljujete, se prepričajte, da imate dobro varnostno kopijo podatkov.
Potrditev ustreznosti stanja naprave ni na voljo. Počistite modul zaupanja TPM.	Gumb za čiščenje modula zaupanja TPM je na tej strani. Preden nadaljujete, se prepričajte, da imate dobro varnostno kopijo podatkov.
Potrditev ustreznosti stanja naprave ni podprta v tej napravi.	To pomeni, da nam naprava ne daje dovolj podatkov, da bi lahko določili, zakaj modul zaupanja TPM v vaši napravi morda ne deluje pravilno.
Vaš modul zaupanja TPM ni združljiv z vašo vdelano programsko opremo in morda ne deluje pravilno.	Pri proizvajalcu naprave preverite, ali je na voljo posodobitev vdelane programske opreme ter kako jo pridobite in namestite. Posodobitve vdelane programske opreme so običajno brezplačne.
Dnevnik merjenega zagona modula zaupanja TPM manjka. Poskusite znova zagnati napravo.
Prišlo je do težave z modulom zaupanja TPM. Poskusite znova zagnati napravo.

Če imate po obravnavi sporočila o napaki še vedno težave, se za pomoč obrnite na proizvajalca naprave.

Izberite Počisti modul zaupanja TPM, da ponastavite procesor varnosti na privzete nastavitve.