Enhetssäkerhet i appen Windows-säkerhet

Minnesintegritet, även kallat Hypervisor-skyddad kodintegritet (HVCI) är en Windows-säkerhetsfunktion som gör det svårt för skadliga program att använda lågnivådrivrutiner för att kapa datorn.

En drivrutin är en programvara som gör att operativsystemet (i det här fallet Windows) och en enhet (t.ex. ett tangentbord eller en webbkamera) pratar med varandra. När enheten vill att Windows ska göra något använder den drivrutinen för att skicka begäran.

Minnesintegritet fungerar genom att skapa en isolerad miljö med hjälp av maskinvaruvirtualisering.

Tänk på det som en säkerhetsvakt i ett låst bås. Denna isolerade miljö (den låsta montern i vår analogi) förhindrar att minnesintegritetsfunktionen manipuleras av en angripare. Ett program som vill köra en kod som kan vara farlig måste skicka koden till minnesintegritet inuti den virtuella montern så att den kan verifieras. När minnesintegriteten är bekväm med att koden är säker lämnar den tillbaka koden till Windows för att köras. Vanligtvis sker detta mycket snabbt.

Utan att minnesintegriteten körs sticker säkerhetsvakten ut i det öppna där det är mycket lättare för en angripare att störa eller sabotera vakten, vilket gör det lättare för skadlig kod att smyga förbi och orsaka problem.

Du kan aktivera ellerinaktivera minnesintegritet med växlingsknappen.

Vad händer om det står att jag har en inkompatibel drivrutin?

Om minnesintegritet inte kan aktiveras kan det tala om för dig att du redan har en inkompatibel drivrutin installerad. Fråga tillverkaren av enheten om de har en uppdaterad drivrutin. Om de inte har kompatibel drivrutin kan du ta bort enheten eller appen som använder den inkompatibla drivrutinen.

Maskinvarubaserat stackskydd är en maskinvarubaserad säkerhetsfunktion som gör det svårt för skadliga program att använda lågnivådrivrutiner för att kapa datorn.

En drivrutin är en programvara som gör att operativsystemet (i det här fallet Windows) och en enhet (t.ex. ett tangentbord eller en webbkamera) pratar med varandra. När enheten vill att Windows ska göra något använder den drivrutinen för att skicka begäran.

Maskinvarubaserat stackskydd fungerar genom att förhindra attacker som ändrar returadresser i kernellägesminnet för att starta skadlig kod. Den här säkerhetsfunktionen kräver en PROCESSOR som innehåller möjligheten att verifiera returadresserna för kod som körs.

När du kör kod i kernelläge kan returadresser i kernellägesstacken skadas av skadliga program eller drivrutiner för att omdirigera normal kodkörning till skadlig kod. På cpu:er som stöds behåller processorn en andra kopia av giltiga returadresser på en skrivskyddad skuggstapel som drivrutiner inte kan ändra. Om en avsändaradress i den vanliga högen har ändrats kan processorn identifiera den här avvikelsen genom att kontrollera kopian av avsändaradressen i skuggstacken. När den här avvikelsen inträffar uppmanar datorn till ett stoppfel, som ibland kallas blå skärm, för att förhindra att skadlig kod körs.

Alla drivrutiner är inte kompatibla med den här säkerhetsfunktionen eftersom ett litet antal legitima drivrutiner använder avsändaradressändringar i icke-skadliga syften. Microsoft har samarbetat med många drivrutinsutgivare för att se till att deras senaste drivrutiner är kompatibla med maskinvaruanpassat stackskydd.

Du kan aktivera och inaktivera stackskydd för maskinvara med växlingsknappen.

Om du vill använda maskinvarutillämpat stackskydd måste du ha minnesintegritet aktiverat och du måste köra en PROCESSOR som stöder Intel Control-Flow Enforcement Technology eller AMD Shadow Stack.

Vad händer om det står att jag har en inkompatibel drivrutin eller tjänst?

Om stackskyddet för maskinvara inte kan aktiveras kan det tala om för dig att du har en inkompatibel drivrutin eller tjänst som redan är installerad. Fråga tillverkaren av enheten eller programutgivaren om de har en uppdaterad drivrutin. Om det inte finns någon kompatibel drivrutin kan du ta bort enheten eller appen som använder den inkompatibla drivrutinen.

Vissa program kan installera en tjänst i stället för en drivrutin under programmets installation och installera drivrutinen endast när programmet startas. För en mer exakt identifiering av inkompatibla drivrutiner räknas även tjänster som är kända för att associeras med inkompatibla drivrutiner upp.

Den här säkerhetsfunktionen kallas även kernel-DMA-skydd och skyddar enheten mot attacker som kan uppstå när en skadlig enhet är ansluten till en PCI-port (Peripheral Component Interconnect), till exempel en Thunderbolt-port.

Ett enkelt exempel på en av dessa attacker skulle vara om någon lämnar sin dator för en snabb kaffepaus, och medan de var borta kliver en angripare in, ansluter en USB-liknande enhet och går iväg med känsliga data från datorn eller injicerar skadlig kod som gör att de kan styra datorn på distans. 

Minnesåtkomstskydd förhindrar den här typen av attacker genom att neka direkt åtkomst till minnet till dessa enheter utom under särskilda omständigheter, särskilt när datorn är låst eller användaren loggas ut.

Varje enhet har viss programvara som har skrivits till enhetens skrivskyddade minne - i princip skrivet till ett chip på systemkortet - som används för enhetens grundläggande funktioner, till exempel läsa in operativsystemet som kör alla appar vi är vana vid att använda. Eftersom programvaran är svår (men inte omöjligt) att ändra vi hänvisar till den som inbyggd programvara.

Eftersom den inbyggda programvaran läses in först och körs under operativsystemet har säkerhetsverktyg och funktioner som körs i operativsystemet svårt att identifiera den eller försvara sig mot den. Liksom ett hus som är beroende av en bra grund för att vara säker, behöver en dator sin inbyggda programvara för att vara säker för att säkerställa att operativsystemet, programmen och data på den datorn är säkra.

System Guard är en uppsättning funktioner som hjälper till att säkerställa att angripare inte kan få din enhet att börja med opålitlig eller skadlig inbyggd programvara.

Plattformar som erbjuder skydd av inbyggd programvara skyddar vanligtvis även systemhanteringsläget (SMM), ett mycket privilegierat operativsystem, i varierande grad. Du kan förvänta dig ett av de tre värdena, med ett högre tal som anger en större grad av SMM-skydd:

• Din enhet uppfyller version ett för skydd av inbyggd programvara: detta erbjuder grundläggande säkerhetsåtgärder för att hjälpa SMM att motstå exploatering av skadlig programvara och förhindrar exfiltration av hemligheter från operativsystemet (inklusive VBS)

• Enheten uppfyller version två för skydd av inbyggd programvara: förutom den inbyggda programvarans skydd version ett ser två till att SMM inte kan inaktivera virtualiseringsbaserad säkerhet (VBS) och kernel-DMA-skydd

• Enheten uppfyller version tre för skydd av inbyggd programvara: förutom skydd av inbyggd programvara version två hårdnar den ytterligare SMM genom att förhindra åtkomst till vissa register som har möjlighet att äventyra operativsystemet (inklusive VBS)

LSA-skydd (Local Security Authority) är en Windows-säkerhetsfunktion som hjälper till att förhindra stöld av autentiseringsuppgifter som används för inloggning i Windows.   

Den lokala säkerhetsmyndigheten (LSA) är en viktig process i Windows som är involverad i användarautentisering. Den ansvarar för att verifiera autentiseringsuppgifter under inloggningsprocessen och hantera autentiseringstoken och biljetter som används för att aktivera enkel inloggning för tjänster. LSA-skydd förhindrar att icke betrodd programvara körs i LSA eller från åtkomst till LSA-minne.  

Hur gör jag för att hantera skyddet från lokala säkerhetsmyndigheterna?

Du kan aktivera ellerinaktivera LSA-skydd med växlingsknappen.

När du har ändrat inställningen måste du starta om för att den ska börja gälla. 

Vad händer om jag har inkompatibel programvara? 

Om LSA-skydd är aktiverat och det blockerar inläsning av programvara i LSA-tjänsten visas ett meddelande om den blockerade filen. Du kanske kan ta bort programvaran som läser in filen, eller så kan du inaktivera framtida varningar för filen när den blockeras från att läsas in i LSA.  

När du använder din arbets- eller skolenhet loggar den tyst in på och får åtkomst till en mängd olika saker, till exempel filer, skrivare, appar och andra resurser i organisationen. Att göra processen säker, men ändå enkel för användaren, innebär att datorn har ett antal autentiseringstoken på sig vid en given tidpunkt.

Om en angripare kan få åtkomst till en eller flera av dessa token kan de kanske använda dem för att få åtkomst till organisationsresursen (känsliga filer osv.) som token är avsedd för. Credential Guard hjälper till att skydda dessa token genom att placera dem i en skyddad, virtualiserad miljö där endast vissa tjänster kan komma åt dem när det behövs.

En drivrutin är en programvara som gör att operativsystemet (i det här fallet Windows) och en enhet (t.ex. ett tangentbord eller en webbkamera) pratar med varandra. När enheten vill att Windows ska göra något använder den drivrutinen för att skicka begäran. På grund av detta har drivrutinerna mycket känslig åtkomst i systemet.

Windows 11 innehåller en blockeringslista över drivrutiner som har kända säkerhetsrisker, har signerats med certifikat som används för att signera skadlig kod eller som kringgår Windows-säkerhet-modellen.

Om du har minnesintegritet, Smart App Control eller Windows S-läge aktiverat är även blockeringslistan för sårbara drivrutiner aktiverad.

Här hittar du information om säkerhetsprocessorns tillverkare och versionsnummer samt om säkerhetsprocessorns status.

I appen Windows-säkerhet på datorn välja Information om enhetssäkerhet > säkerhetsprocessor eller använd följande genväg:

Information om säkerhetsprocessor

Om säkerhetsprocessorn inte fungerar som den ska kan du välja felsökningslänken för säkerhetsprocessorn för att se eventuella felmeddelanden och avancerade alternativ, eller använda följande genväg:

Felsökning av säkerhetsprocessor

Felsökningssidan för säkerhetsprocessorn innehåller alla relevanta felmeddelanden om TPM. Här är en lista över felmeddelanden och information:

Meddelande	Detaljer
En uppdatering för inbyggd programvara krävs för din säkerhetsprocessor (TPM).	Enhetens moderkort verkar inte ha stöd för TPM för närvarande, men en uppdatering av den inbyggda programvaran kan lösa detta. Kontrollera med enhetens tillverkare om det finns en uppdatering av den inbyggda programvaran och hur du installerar den. Uppdateringar av inbyggd programvara är vanligtvis kostnadsfria.
TPM är inaktiverad och åtgärd krävs.	Den betrodda plattformsmodulen är förmodligen inaktiverad i systemet BIOS (Basic Input/Output System) eller UEFI (Unified Extensible Firmware Interface). Gå till enhetstillverkarens supportdokumentation eller kontakta deras tekniska support om du vill ha anvisningar om hur du aktiverar den.
TPM-lagring är inte tillgängligt. Rensa din TPM.	Knappen Rensa TPM finns på den här sidan. Kontrollera att du har en bra säkerhetskopia av dina data innan du fortsätter.
Enhetshälsointyg är inte tillgängligt. Rensa din TPM.	Knappen Rensa TPM finns på den här sidan. Kontrollera att du har en bra säkerhetskopia av dina data innan du fortsätter.
Hälsoattestering för enhet stöds inte på den här enheten.	Det innebär att enheten inte ger oss tillräckligt med information för att avgöra varför TPM kanske inte fungerar korrekt på din enhet.
Din TPM är inte kompatibel med den inbyggda programvaran och kanske inte fungerar som den ska.	Kontrollera med enhetens tillverkare om det finns en uppdatering av den inbyggda programvaran och hur du hämtar och installerar den. Uppdateringar av inbyggd programvara är vanligtvis kostnadsfria.
TPM-uppmätt startlogg saknas. Försök att starta om enheten.
Det finns ett problem med din TPM. Försök att starta om enheten.

Om du fortfarande har problem efter att ha försökt åtgärda ett felmeddelande kontaktar du enhetstillverkaren för hjälp.

Välj rensa TPM om du vill återställa säkerhetsprocessorn till standardinställningarna.