Безпека пристрою в програмі Безпека у Windows

Цілісність пам'яті, також відома як Цілісність коду, захищена гіпервізором (HVCI), – це функція безпеки Windows, яка ускладнює зловмисним програмам використання драйверів низького рівня для викрадення комп'ютера.

Драйвер – це програмне забезпечення, яке дає змогу операційній системі (у цьому випадку Windows) і пристрою (наприклад, клавіатурі або веб-камері) спілкуватися один з одним. Коли пристрій хоче, щоб Система Windows щось зроблю, він використовує драйвер, щоб надіслати цей запит.

Цілісність пам'яті працює, створюючи ізольоване середовище за допомогою віртуалізації обладнання.

Подумайте про це, як про охоронця всередині заблокованого стенду. Це ізольоване середовище (заблокований стенд в нашій аналогії) запобігає підробці функції цілісності пам'яті зловмисником. Програма, яка хоче запустити шматок коду, який може бути небезпечним, повинен передати код цілісності пам'яті всередині цього віртуального стенду, щоб його можна було перевірити. Коли цілісність пам'яті зручна, що код безпечний, він передає код назад у Windows для запуску. Зазвичай це відбувається дуже швидко.

Без цілісності пам'яті, що працює, охоронець виділяється прямо у відкритому місці, де зловмиснику набагато легше заважати або саботувати охоронця, що полегшує для зловмисного коду прокрастися повз і викликати проблеми.

Цілісність пам'яті можна ввімкнути або вимкнути за допомогою кнопки-перемикача.

Що робити, якщо в мене є несумісний драйвер?

Якщо цілісність пам'яті не вдається ввімкнути, це може вказувати на те, що на комп'ютері вже інстальовано несумісний драйвер пристрою. Зверніться до виробника пристрою, щоб дізнатися, чи доступний у них оновлений драйвер. Якщо сумісні драйвери недоступні, ви можете видалити пристрій або програму, яка використовує цей несумісний драйвер.

Захищений стеком апаратний захист – це апаратна функція безпеки, яка ускладнює зловмисним програмам використання драйверів низького рівня для викрадення комп'ютера.

Драйвер – це програмне забезпечення, яке дає змогу операційній системі (у цьому випадку Windows) і пристрою (наприклад, клавіатурі або веб-камері) спілкуватися один з одним. Коли пристрій хоче, щоб Система Windows щось зроблю, він використовує драйвер, щоб надіслати цей запит.

Апаратний захист стека працює, запобігаючи атакам, які змінюють зворотні адреси в пам'яті в режимі ядра для запуску зловмисного коду. Для цієї функції безпеки потрібен ЦП, який містить можливість перевіряти зворотні адреси запущеного коду.

Під час виконання коду в режимі ядра зворотні адреси в стеку в режимі ядра можуть бути пошкоджені зловмисними програмами або драйверами, щоб переспрямувати звичайне виконання коду на зловмисний код. На підтримуваних ЦП зберігає другу копію припустимих зворотних адрес у тіньовому стеку лише для читання, який драйвери не можуть змінювати. Якщо зворотну адресу в звичайному стосі змінено, ЦП може виявити цю невідповідність, перевіривши копію зворотної адреси в тіньовому стосі. Коли виникає ця невідповідність, комп'ютер пропонує STOP-помилку, іноді відому як синій екран, щоб запобігти виконанню зловмисного коду.

Не всі драйвери сумісні з цією функцією безпеки, оскільки невелика кількість законних драйверів беруть участь у зміні зворотної адреси для незасумних цілей. Корпорація Майкрософт взаємодіє з численними видавцями драйверів, щоб переконатися, що їхні найновіші драйвери сумісні з апаратним забезпеченням, що забезпечує захист стека.

За допомогою кнопки-перемикача можна ввімкнути абовимкнути апаратний захист стека.

Щоб використовувати апаратний захист стека, потрібно ввімкнути цілісність пам'яті, а також працювати з процесором, який підтримує технологію примусового застосування Intel Control-Flow або стек тіней AMD.

Що робити, якщо в мене є несумісний драйвер або служба?

Якщо апаратний захист стека не вмикається, це може вказувати на те, що на комп'ютері вже інстальовано несумісний драйвер або службу пристрою. Зверніться до виробника пристрою або видавця програми, щоб дізнатися, чи доступний у них оновлений драйвер. Якщо у них немає сумісного драйвера, ви можете видалити пристрій або програму, яка використовує цей несумісний драйвер.

Деякі програми можуть інсталювати службу замість драйвера під час інсталяції програми та інсталювати драйвер, лише коли програму запущено. Для точнішого виявлення несумісних драйверів перелічено служби, які, як відомо, пов'язані з несумісними драйверами.

Також відомий як Kernel DMA protection this security feature protects your device against attacks that can occur when a malicious device is plugged into a Peripheral Component Interconnect (PCI) port like a Thunderbolt port.

Простим прикладом однієї з цих атак було б, якщо хтось залишає свій ПК для швидкої перерви на каву, і поки вони були відсутні, зловмисник крокує, підключає USB-пристрій і йде з конфіденційними даними з комп'ютера або вводить шкідливе програмне забезпечення, яке дозволяє їм керувати ПК віддалено. 

Захист доступу до пам'яті запобігає цим видам атак, забороняючи прямий доступ до пам'яті на ці пристрої, за винятком особливих обставин, особливо коли ПК заблоковано, або користувач вийшов із системи.

Кожен пристрій має деяке програмне забезпечення, яке було написано лише для читання пам'яті пристрою - в основному написано на чіп на системній дошці - що використовується для основних функцій пристрою, таких як завантаження операційної системи, яка запускає всі програми, які ми звикли використовувати. Оскільки це програмне забезпечення важко (але не неможливо) змінити ми називаємо його мікропрограмою.

Оскільки мікропрограма спочатку завантажується та працює під операційною системою, засоби безпеки та функції, які працюють в операційній системі, важко виявити або захиститися від неї. Як будинок, який залежить від хорошого фундаменту, щоб бути безпечним, комп'ютер потребує його прошивки, щоб забезпечити безпеку операційної системи, програм і даних на цьому комп'ютері.

System Guard – це набір функцій, який допомагає гарантувати, що зловмисники не зможуть змусити ваш пристрій почати роботу з ненадійною або зловмисною мікропрограмою.

Платформи, які пропонують захист мікропрограм, зазвичай також захищають режим керування системою (SMM), привілейований режим роботи, до різних ступенів. Ви можете очікувати одне з трьох значень із більшим числом, яке вказує на вищий ступінь захисту SMM:

• Ваш пристрій відповідає версії захисту мікропрограми: вона пропонує засоби захисту системи безпеки, які допомагають SMM протистояти експлуатації зловмисним програмам і запобігає ексфільтруванню секретів з ОС (включно з VBS)

• Ваш пристрій відповідає захисту мікропрограми версії 2: на додаток до захисту мікропрограми версії 1, версія 2 гарантує, що SMM не може вимкнути захист на основі віртуалізації (VBS) і Ядра DMA захисту

• Ваш пристрій відповідає захисту мікропрограм версії 3: на додаток до захисту мікропрограми версії 2, він ще більше загартує SMM шляхом запобігання доступу до деяких реєстрів, які мають можливість поставити під загрозу ОС (в тому числі VBS)

Захист місцевого центру безпеки (LSA) – це функція безпеки Windows, яка допомагає запобігти викраденню облікових даних, які використовуються для входу у Windows.   

Локальне управління безпеки (LSA) – це важливий процес у Windows, який бере участь у автентифікації користувачів. Вона несе відповідальність за перевірку облікових даних під час процесу входу та керування маркерами автентифікації та квитками, які використовуються для ввімкнення єдиного входу в служби. Захист LSA запобігає запуску ненадійного програмного забезпечення в LSA або доступу до пам'яті LSA.  

Як керувати захистом локального центру безпеки?

За допомогою кнопки-перемикача можна ввімкнути абовимкнути захист LSA.

Змінивши настройку, перезавантажте її, щоб вона набула сили. 

Що робити, якщо у мене є несумісне програмне забезпечення? 

Якщо ввімкнуто захист LSA і він блокує завантаження програмного забезпечення в службу LSA, сповіщення вказує на заблокований файл. Ви можете видалити програмне забезпечення, яке завантажує файл, або вимкнути майбутні попередження для цього файлу, коли його заблоковано для завантаження в LSA.  

Під час використання робочого або навчального пристрою ви спокійно входитимете та отримуватимете доступ до різноманітних елементів, як-от файлів, принтерів, програм та інших ресурсів у вашій організації. Щоб зробити цей процес безпечним, але простим для користувача, це означає, що ваш комп'ютер має ряд маркерів автентифікації на ньому в будь-який момент часу.

Якщо зловмисник може отримати доступ до одного або кількох маркерів, він може використовувати їх для отримання доступу до ресурсів організації (конфіденційних файлів тощо), для яких призначено маркер. Credential Guard допомагає захистити ці маркери, помістивши їх у захищене віртуалізоване середовище, у якому тільки певні служби можуть отримати до них доступ за потреби.

Драйвер – це програмне забезпечення, яке дає змогу операційній системі (у цьому випадку Windows) і пристрою (наприклад, клавіатурі або веб-камері) спілкуватися один з одним. Коли пристрій хоче, щоб Система Windows щось зроблю, він використовує драйвер, щоб надіслати цей запит. Через це драйвери мають великий конфіденційний доступ у вашій системі.

Windows 11 містить список драйверів, які мають відомі вразливості системи безпеки, підписані за допомогою сертифікатів, що використовуються для підписання зловмисного програмного забезпечення, або які обходять модель Безпека у Windows.

Якщо у вас увімкнуто цілісність пам'яті, режим Smart App Control або Windows S, вразливий список заблокованих драйверів також буде ввімкнуто.

У цьому розділі можна знайти відомості про виробника процесора безпеки та номер версії, а також відомості про стан процесора безпеки.

У програмі "Безпека у Windows"  на ПК, виберіть елемент Безпека пристрою > Відомості про процесор безпеки або скористайтеся наведеним нижче сполученням клавіш.

Відомості про процесор безпеки

Якщо процесор безпеки працює неправильно, можна вибрати посилання Виправлення неполадок процесора безпеки, щоб переглянути всі повідомлення про помилки та додаткові параметри, або скористайтеся наведеним нижче сполученням клавіш.

Виправлення неполадок із процесором безпеки

На сторінці виправлення неполадок процесора безпеки наведено всі відповідні повідомлення про помилки модуля TPM. Ось список повідомлень про помилки та відомостей:

Повідомлення	Відомості
Для процесора безпеки (модуля TPM) потрібне оновлення мікропрограми.	Системна плата вашого пристрою зараз не підтримує TPM, але оновлення мікропрограми може вирішити цю проблему. Зверніться до виробника пристрою, щоб дізнатися, чи доступне оновлення мікропрограми та як її інсталювати. Оновлення мікропрограм зазвичай безкоштовні.
Модуль TPM вимкнуто, зверніть на нього увагу.	Імовірно, модуль надійної платформи вимкнуто в системі BIOS (Базова система вводу/виводу) або UEFI (інтерфейс мікропрограми уніфікованого розширюваного). Перегляньте документацію виробника пристрою або зверніться до його служби технічної підтримки, щоб дізнатися, як увімкнути її.
Сховище TPM недоступне. Очистьте TPM.	Кнопка очищення модуля TPM розташована на цій сторінці. Перш ніж продовжити, переконайтеся, що у вас є гарна резервна копія даних.
Атестація справності пристрою недоступна. Очистьте TPM.	Кнопка очищення модуля TPM розташована на цій сторінці. Перш ніж продовжити, переконайтеся, що у вас є гарна резервна копія даних.
Засвідчення справності пристрою не підтримується на цьому пристрої.	Це означає, що пристрій не надає нам достатньо інформації, щоб визначити, чому TPM може не працювати належним чином на вашому пристрої.
Ваш TPM несумісний із мікропрограмою та може працювати неправильно.	Зверніться до виробника пристрою, щоб дізнатися, чи доступне оновлення мікропрограми та як отримати та інсталювати його. Оновлення мікропрограм зазвичай безкоштовні.
Відсутній журнал вимірюваного завантаження TPM. Спробуйте перезавантажити пристрій.
Виникла проблема з модуля TPM. Спробуйте перезавантажити пристрій.

Якщо у вас ще виникають проблеми навіть після виконання кроків відповідно до повідомлення про помилку, зверніться по допомогу до виробника пристрою.

Виберіть Очистити модуль TPM, щоб скинути процесор безпеки до настройок за замовчуванням.