Applies ToWindows 11 Windows 10

Stranica za bezbednost uređaja aplikacije Windows bezbednost dizajnirana je za upravljanje bezbednosnim funkcijama ugrađenim u Vaš Windows uređaj. Stranica je podeljena u sledeće odeljke:

  • Osnovna izolacija: Ovde možete da konfigurišete bezbednosne funkcije koje štite Windows jezgro

  • Bezbednosni procesor: Pruža informacije o bezbednosnom procesoru, koji se zove modul pouzdane platforme (TPM)

  • Bezbedno pokretanje: Ako je omogućeno bezbedno pokretanje, možete da pronađete više informacija o njemu

  • Šifrovanje podataka: Ovde možete da pronađete vezu ka Postavkama operativnog sistema Windows, gde možete da konfigurišete šifrovanje uređaja i druge BitLocker postavke

  • Bezbednosne mogućnosti hardvera: Procenjuje bezbednosne funkcije uređaja

U aplikaciji Windows bezbednost na računaru, bezbednost uređaja ili  koristite sledeću prečicu:

Bezbednost uređaja

Snimak ekrana bezbednosti uređaja u Windows bezbednost aplikaciji.

Osnovna izolacija

Osnovna izolacija pruža bezbednosne funkcije dizajnirane da zaštite osnovne procese operativnog sistema Windows od zlonamernog softvera tako što ih izoluje u memoriji. To radi tako što pokreće te osnovne procese u virtuelizovanom okruženju. 

U aplikaciji Windows bezbednost na računaru, stavku Bezbednost uređaja> detalje izolacije jezgra ili koristite sledeću prečicu:

Osnovna izolacija

Napomena: funkcije izložene na stranici osnovne izolacije razlikuju se u zavisnosti od verzije operativnog sistema Windows koju koristite i hardverskih komponenti koje su instalirane.

Integritet memorije, poznat i kao Integritet koda zaštićen od hipervizora (HVCI) je Windows bezbednosna funkcija koja otežava zlonamernim programima da koriste upravljačke programe nižeg nivoa za otmu računar.

Upravljački program je softver koji omogućava operativnom sistemu (u ovom slučaju Windows) i uređaj (kao što je tastatura ili veb kamere) da razgovaraju jedan sa drugim. Kada uređaj želi da Windows uradi nešto, on koristi upravljački program za slanje tog zahteva.

Integritet memorije funkcioniše tako što kreira izolovano okruženje pomoću hardverske virtuelizacije.

Misli o tome kao o čuvaru unutar zaključane štande. Ovo izolovano okruženje (zaključana kabina u analogiji) sprečava funkciju integriteta memorije da bude neometana od strane napadača. Program koji želi da pokrene deo koda koji može biti opasan mora da doda kôd u integritet memorije unutar te virtuelne štandove kako bi bio verifikovan. Kada se integritet memorije ugodi da je kôd bezbedan, on će vratiti kôd u Windows da bi ga pokrenuti. Ovo se obično dešava veoma brzo.

Bez pokrenutog integriteta memorije, čuvar je ističe na otvorenom gde je mnogo lakše da se napadač umeša ili sabotira čuvaru, što olakšava zlonamernom kodu da se iskrada i izazove probleme.

Možete da uključite ili isključite integritet memorije pomoću preklopnog dugmeta.

Napomena: Da biste koristili integritet memorije, morate da imate omogućenu hardversku virtuelizaciju u UEFI ili BIOS sistemu.

Šta ako piše da imam nekompatibilan upravljački program?

Ako se integritet memorije ne uključi, on vam može reći da imate već instaliran kompatibilni upravljački program uređaja. Obratite se proizvođaču uređaja da biste proverili da li je dostupan ažurirani upravljački program. Ako nemaju dostupan kompatibilan upravljački program, možda ćete moći da uklonite uređaj ili aplikaciju koja koristi taj kompatibilni upravljački program.

Napomena: Ako pokušate da instalirate uređaj sa kompatibilnim upravljačkim programom nakon uključivanja integriteta memorije, možda ćete dobiti istu poruku. Ako je tako, primenjuju se isti saveti – obratite se proizvođaču uređaja da biste proverili da li ima ažuriran upravljački program koji možete da preuzmete ili nemojte da instalirate taj određeni uređaj dok ne bude dostupan kompatibilan upravljački program.

Zaštita steka nametnuta hardverom je bezbednosna funkcija zasnovana na hardveru koja otežava zlonamernim programima da koriste upravljačke programe nižeg nivoa za otmu računar.

Upravljački program je softver koji omogućava operativnom sistemu (u ovom slučaju Windows) i uređaj (kao što je tastatura ili veb kamere) da razgovaraju jedan sa drugim. Kada uređaj želi da Windows uradi nešto, on koristi upravljački program za slanje tog zahteva.

Zaštita steka nametnuta hardverom funkcioniše tako što sprečava napade koji menjaju povratne adrese u memoriji u režimu jezgra da bi pokrenuli zlonamerni kôd. Ova bezbednosna funkcija zahteva CPU koji sadrži mogućnost verifikacije povratnih adresa pokrenutog koda.

Prilikom izvršavanja koda u međuslovnom režimu, zlonamerni programi ili upravljački programi mogu da oštete povratne adrese na naslaganom jezgru režima kako bi preusmerili izvršavanje normalnog koda na zlonamerni kôd. Na podržanim CPU-ovima, CPU održava drugu kopiju važećih povratnih adresa na steku senki samo za čitanje koji upravljački programi ne mogu da izmene. Ako je povratna adresa u redovnom nizu izmenjena, CPU može da otkrije ovo neslaganje tako što će proveriti kopiju povratne adrese u steku senke. Kada dođe do ovog neusklađivanja, računar traži grešku zaustavljanja, koja se ponekad naziva plavi ekran, da bi sprečio izvršavanje zlonamernog koda.

Nisu svi upravljački programi kompatibilni sa ovom bezbednosnom funkcijom, jer mali broj legitimnih upravljačkih programa učestvuje u izmenama povratne adrese u nenamerne svrhe. Microsoft je angažovao brojne izdavače upravljačkih programa da bi se uverio da su najnoviji upravljački programi kompatibilni sa zaštitom steka nametnutom hardverom.

Zaštitu steka nametnutu hardverom možete da uključite ili isključite pomoću preklopnog dugmeta.

Da biste koristili zaštitu steka nametnut hardver, morate imati omogućen integritet memorije i morate da pokrenete CPU koji podržava Intel Control-Flow tehnologiju sprovođenja ili AMD stek senke.

Šta ako piše da imam kompatibilni upravljački program ili uslugu?

Ako se zaštita steka nametnuta hardverom ne uključi, to može da vam kaže da imate već instaliran kompatibilni upravljački program uređaja ili uslugu. Obratite se proizvođaču uređaja ili izdavaču aplikacije da biste proverili da li je dostupan ažurirani upravljački program. Ako nemaju dostupan kompatibilan upravljački program, možda ćete moći da uklonite uređaj ili aplikaciju koja koristi taj kompatibilni upravljački program.

Neke aplikacije mogu da instaliraju uslugu umesto upravljačkog programa tokom instalacije aplikacije i instaliraju upravljački program samo kada se aplikacija pokrene. Za preciznije otkrivanje nekih kompatibilnih upravljačkih programa nabrajaju se i usluge za koje je poznato da su povezane sa nekimpatibilnim upravljačkim programima.

Napomena: Ako pokušate da instalirate uređaj ili aplikaciju sa nekompatibilnim upravljačkim programom nakon uključivanja zaštite steka nametnutog hardverom, možda ćete videti istu poruku. Ako je tako, primenjuju se isti saveti – obratite se proizvođaču uređaja ili izdavaču aplikacije da biste proverili da li ima ažuriran upravljački program koji možete da preuzmete ili da ne instalirate taj određeni uređaj ili aplikaciju dok ne bude dostupan kompatibilan upravljački program.

Poznat i kao Kernel DMA zaštita Ova bezbednosna funkcija štiti vaš uređaj od napada do kojih može doći kada je zlonamerni uređaj priključen u Peripheral Component Interconnect (PCI) port kao što je Thunderbolt port.

Jednostavan primer jednog od ovih napada bio bi ako neko ostavi računar na kratkom pauzi za kafu, a dok je bio odsutni, napadač se priključi, priključi USB uređaj i odšeta sa osetljivim podacima sa računara ili ubrizgava malver koji im omogućava da daljinski kontrolišu računar. 

Zaštita pristupa memoriji sprečava ove vrste napada tako što uskraćuje direktan pristup memoriji tim uređajima osim u posebnim okolnostima, naročito kada je računar zaključan ili je korisnik odjavljen.

Savet: Više informacija potražite u članku Zaštita DMA jezgra.

Svaki uređaj ima neki softver koji je napisan u memoriju uređaja samo za čitanje – koji je u osnovi napisan u čip na sistemskoj tabli – koji se koristi za osnovne funkcije uređaja, kao što je učitavanje operativnog sistema koji pokreće sve aplikacije koje smo navikli da koristimo. Pošto je taj softver težak (ali ne nemoguć) za izmenu, mi ga nazivamo firmverom.

Pošto se firmver učitava prvi i pokreće u okviru operativnog sistema, bezbednosne alatke i funkcije koje se pokreću u operativnom sistemu teško ga je otkriti ili se braniti od njega. Kao kuća koja zavisi od dobrog osnova kako bi bio bezbedan, računaru je potreban firmver da bi bio bezbedan kako bi operativni sistem, aplikacije i podaci na tom računaru bili bezbedni.

System Guard je skup funkcija koje pomažu da se osigura da napadači ne mogu da dopre do uređaja da počnu od nepouzdanog ili zlonamernog firmvera.

Platforme koje nude zaštitu firmvera obično štite i režim upravljanja sistemom ( SMM), izuzetno privilegovan operativni režim, da bi menjale stepene. Možete da očekujete jednu od tri vrednosti, sa većim brojem koji ukazuje na veći stepen SMM zaštite:

  • Vaš uređaj ispunjava verziju zaštite firmvera 1: ovo nudi temeljna bezbednosna umanjivanja koja pomažu usluzi SMM da se odupre iskorišćavanju malvera i sprečava izuzimanje tajni iz operativnog sistema (uključujući VBS)

  • Vaš uređaj ispunjava dve verzije zaštite od firmvera: pored verzije zaštite od firmvera jedan, verzija 2 osigurava da SMM ne može da onemogući bezbednost zasnovanu na virtuelizacijama (VBS) i kernel DMA zaštitu

  • Vaš uređaj ispunjava tri verzije zaštite od firmvera: pored verzije zaštite od firmvera, on dodatno očvrsće SMM tako što sprečava pristup određenim registrima koji imaju mogućnost da ugrožavaju operativni sistem (uključujući VBS)

Savet: Više informacija potražite u članku System Guard: Kako osnovni direktori pouzdanosti zasnovani na hardveru doprinose zaštiti operativnog sistema Windows

Zaštita lokalnog bezbednosnog autoriteta (LSA) je Windows bezbednosna funkcija koja sprečava krađu akreditiva koji se koriste za prijavljivanje u Windows.   

Lokalni bezbednosni autoritet (LSA) je ključni proces u operativnom sistemu Windows koji se bavi potvrdom identiteta korisnika. Ona je odgovorna za verifikaciju akreditiva tokom procesa prijavljivanja i upravljanje tokenima potvrde identiteta i tiketima koji se koriste za omogućavanje jedinstvenog prijavljivanja za usluge. LSA zaštita sprečava pokretanje nepouzdanog softvera u LSA ili pristup LSA memoriji.  

Kako da upravljam zaštitom lokalnog bezbednosnog autoriteta?

LSA zaštitu možete da uključite iliisključite pomoću preklopnog dugmeta.

Kada promenite postavku, morate ponovo pokrenuti računar da bi ona primenila. 

Napomena: Da bi akreditivi držali bezbedne, LSA zaštita je podrazumevano omogućena na svim uređajima. Za nove instalacije, one su odmah omogućene. Za nadogradnje, ona je omogućena nakon ponovnog pokretanja nakon perioda procene od 10 dana.

Šta ako imam kompatibilni softver? 

Ako je LSA zaštita omogućena i blokira učitavanje softvera u LSA uslugu, obaveštenje ukazuje na blokiranu datoteku. Možda ćete moći da uklonite softver koji učitava datoteku ili možete da onemogućite buduća upozorenja za tu datoteku kada bude blokirano učitavanje u LSA.  

Napomena: Guard akreditiva je dostupan na uređajima koji koriste Enterprise ili Education verzije operativnog sistema Windows.

Dok koristite poslovni ili školski uređaj, on će se tiho prijavljivati i dobiti pristup raznim stvarima kao što su datoteke, štampači, aplikacije i drugi resursi u organizaciji. Pravljenje tog procesa bezbednim, a ipak lakim za korisnika, znači da računar na sebi ima više tokena potvrde identiteta u bilo kom trenutku.

Ako napadač može da dobije pristup jednom ili više tokena, možda će moći da ih koristi za dobijanje pristupa resursu organizacije (osetljivim datotekama itd.) za koje je token upotrebljiv. Akreditive Guard pomaže u zaštiti tih tokena tako što ih stavlja u zaštićeno, virtuelizovano okruženje gde samo određene usluge mogu da im pristupe po potrebi.

Savet: Da biste saznali više, pogledajte članak Kako funkcioniše čuvar akreditiva.

Upravljački program je softver koji omogućava operativnom sistemu (u ovom slučaju Windows) i uređaj (kao što je tastatura ili veb kamere) da razgovaraju jedan sa drugim. Kada uređaj želi da Windows uradi nešto, on koristi upravljački program za slanje tog zahteva. Zbog toga upravljački programi imaju mnogo osetljivog pristupa u sistemu.

Windows 11 sadrži listu upravljačkih programa koji imaju poznate bezbednosne ranjivosti, potpisane su certifikatima koji se koriste za potpisivanje malvera ili koji zaobilazi Windows bezbednost model.

Ako imate uključen memorijski integritet, Smart App Control ili Windows S režim, uključiće se i ranjiva lista blokiranih upravljačkih programa.

Procesor bezbednosti

Postavke bezbednosnog procesora u okviru stranice "Bezbednost uređaja" u Windows bezbednost obezbeđuju detalje o modulu pouzdane platforme (TPM) na uređaju. TPM je hardverska komponenta dizajnirana da poboljša bezbednost izvršavanjem kriptografskih operacija.

Napomena: Ako ne vidite stavku Bezbednosni procesor na ovom ekranu, verovatno vaš uređaj nema TPM (modul pouzdane platforme) neophodan za ovu funkciju ili da nije omogućen u UEFI-u (objedinjeni proširivi interfejs firmvera). Obratite se proizvođaču uređaja da biste proverili da li vaš uređaj podržava TPM i, ako je tako, korake za omogućavanje.

Ovde ćete pronaći informacije o proizvođaču procesora bezbednosti i brojevima verzija, kao i o statusu procesora bezbednosti.

U aplikaciji Windows bezbednost na računaru, stavku Bezbednost uređaja> detalji o procesoru bezbednosti ili koristite sledeću prečicu:

Detalji o bezbednosnom procesoru

Ako procesor bezbednosti ne radi ispravno, možete da izaberete vezu Rešavanje problema sa bezbednosnim procesorom da biste videli poruke o grešci i napredne opcije ili da koristite sledeću prečicu:

Rešavanje problema sa bezbednosnim procesorom

Stranica za rešavanje problema sa bezbednosnim procesorom pruža sve relevantne poruke o grešci o TPM-u. Evo liste poruka o grešci i detalja:

Poruka

Detalji

Ispravka firmvera je potrebna za bezbednosni procesor (TPM).

Izgleda da maternja tabla uređaja trenutno ne podržava TPM, ali ispravka firmvera može da reši ovo. Obratite se proizvođaču uređaja da biste proverili da li je dostupna ispravka firmvera i kako da je instalirate. Ispravke firmvera su obično besplatne.

TPM je onemogućen i zahteva pažnju.

Modul pouzdane platforme je verovatno isključen u sistemskom BIOS-u (Basic Input/Output System) ili UEFI (Unified Extensible Firmware Interface). Pogledajte dokumentaciju podrške proizvođača uređaja ili se obratite tehničkoj podršci za uputstva o tome kako da je uključite.

TPM skladište nije dostupno. Obrišite TPM.

Na ovoj stranici je dugme "Obriši TPM". Trebalo bi da proverite da li imate dobru rezervnu kopiju podataka pre nego što nastavite.

Atelitacija ispravnosti uređaja nije dostupna. Obrišite TPM.

Na ovoj stranici je dugme "Obriši TPM". Trebalo bi da proverite da li imate dobru rezervnu kopiju podataka pre nego što nastavite.

Atitestacija ispravnosti uređaja nije podržana na ovom uređaju.

To znači da nam uređaj ne pruža dovoljno informacija da bismo utvrdili zašto TPM možda ne radi ispravno na vašem uređaju.

TPM nije kompatibilan sa firmverom i možda ne radi ispravno.

Obratite se proizvođaču uređaja da biste proverili da li je dostupna ispravka firmvera i kako da je preuzmete i instalirate. Ispravke firmvera su obično besplatne.

Nedostaje evidencija pokretanja merenog TPM-a. Pokušajte da ponovo pokrenete uređaj.

Postoji problem sa vašim TPM-om. Pokušajte da ponovo pokrenete uređaj.

Ako i dalje naiđete na probleme nakon što ste rešili poruku o grešci, obratite se proizvođaču uređaja za pomoć.

Izaberite stavku Obriši TPM da biste poništili procesor bezbednosti na podrazumevane postavke.

Oprez: Obavezno napravite rezervnu kopiju podataka pre nego što obrišete TPM.

Bezbedno pokretanje

Bezbedno pokretanje sprečava sofisticirani i opasan tip malvera – rut - da se učita kada se uređaj pokrene. Rutkiti koriste iste dozvole kao i operativni sistem i počinju pre njega, što znači da mogu potpuno da se sakriju. Rutkiti su često deo celog paketa malvera koji može da zaobiđi lokalna prijavljivanja, snimi lozinke i pritiske na taster, prenese privatne datoteke i zabeleži kriptografske podatke.

Možda ćete morati da onemogućite bezbedno pokretanje da biste pokrenuli neke grafičke kartice, hardver ili operativne sisteme kao što su Linux ili starije verzije operativnog sistema Windows.

Da biste saznali više, pogledajte članak Bezbedno pokretanje sistema.

Hardverska bezbednosna mogućnost

Poslednji odeljak stranice za bezbednost uređaja prikazuje informacije koje ukazuju na bezbednosnu mogućnost uređaja. Evo liste poruka i detalja:

Poruka

Detalji

Vaš uređaj ispunjava zahteve za standardnu hardversku bezbednost.

To znači da vaš uređaj podržava integritet memorije i osnovnu izolaciju, kao i:

  • TPM 2.0 (naziva se i bezbednosni procesor)

  • Omogućeno bezbedno pokretanje

  • DEP

  • UEFI MAT

Uređaj ispunjava zahteve za poboljšanu bezbednost hardvera.

To znači da pored ispunjavanja svih zahteva standardne hardverske bezbednosti, uređaj ima uključen i integritet memorije.

Na uređaju su omogućene sve funkcije secured-core računara.

To znači da pored ispunjavanja svih zahteva poboljšane bezbednosti hardvera, uređaj ima i uključenu zaštitu u režimu upravljanja sistemom (SMM).

Standard bezbednost hardvera nije podržana.

To znači da uređaj ne ispunjava bar jedan od zahteva standardne hardverske bezbednosti.

Poboljšanje bezbednosti hardvera

Ako bezbednosna mogućnost uređaja nije onakav kakav želite, možda ćete morati da uključite određene hardverske funkcije (kao što je bezbedno pokretanje, ako je podržano) ili da promenite postavke u BIOS-u sistema. Obratite se proizvođaču hardvera da biste videli koje funkcije podržava hardver i kako da ih aktivirate.

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

OtkrivanjeZajednica

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.

Pitajte Microsoft zajednicu

Microsoft Tech zajednica

Windows insajderi

Microsoft 365 insajderi