Bảo mật Thiết bị trong Ứng Bảo mật Windows Thiết bị

Tính toàn vẹn của bộ nhớ, còn được gọi là Tính toàn vẹn Mã được bảo vệ bằng Hypervisor (HVCI) là một tính năng bảo mật của Windows khiến các chương trình độc hại khó sử dụng trình điều khiển mức thấp để tấn công PC của bạn.

Trình điều khiển là một phần của phần mềm cho phép hệ điều hành (Windows trong trường hợp này) và một thiết bị (như bàn phím hoặc webcam) nói chuyện với nhau. Khi thiết bị muốn Windows làm điều gì đó, thiết bị sẽ sử dụng trình điều khiển để gửi yêu cầu đó.

Tính toàn vẹn bộ nhớ hoạt động bằng cách tạo ra một môi trường cô lập bằng cách sử dụng ảo hóa phần cứng.

Hãy nghĩ về nó như một nhân viên bảo vệ bên trong một gian hàng bị khóa. Môi trường bị cô lập này (gian hàng bị khóa trong sự tương tự của chúng tôi) ngăn chặn tính năng tính toàn vẹn bộ nhớ bị giả mạo bởi một kẻ tấn công. Một chương trình muốn chạy một đoạn mã mà có thể nguy hiểm phải vượt qua mã để tính toàn vẹn bộ nhớ bên trong gian hàng ảo đó để nó có thể được xác minh. Khi bộ nhớ toàn vẹn là thoải mái rằng mã an toàn nó bàn tay mã trở lại Windows để chạy. Thông thường, điều này xảy ra rất nhanh.

Nếu không chạy tính toàn vẹn của bộ nhớ, nhân viên bảo vệ sẽ nổi bật ngay khi mở nơi kẻ tấn công dễ dàng hơn nhiều trong việc can thiệp hoặc phá hoại phần bảo vệ, giúp mã độc hại lẻn qua và gây ra sự cố dễ dàng hơn.

Bạn có thể Bật hoặc Tắt tính toànvẹn của bộ nhớ bằng cách sử dụng nút bật tắt.

Điều gì xảy ra nếu thông báo rằng tôi có trình điều khiển không tương thích?

Nếu tính toàn vẹn của bộ nhớ không bật được, tính năng này có thể cho bạn biết rằng bạn đã cài đặt trình điều khiển thiết bị không tương thích. Tham vấn nhà sản xuất thiết bị để xem họ có trình điều khiển cập nhật hay không. Nếu các ứng dụng này không có sẵn trình điều khiển tương thích, bạn có thể xóa thiết bị hoặc ứng dụng sử dụng trình điều khiển không tương thích đó.

Bảo vệ xếp chồng thực thi phần cứng là một tính năng bảo mật dựa trên phần cứng khiến chương trình độc hại khó sử dụng trình điều khiển mức thấp để tấn công PC của bạn.

Trình điều khiển là một phần của phần mềm cho phép hệ điều hành (Windows trong trường hợp này) và một thiết bị (như bàn phím hoặc webcam) nói chuyện với nhau. Khi thiết bị muốn Windows làm điều gì đó, thiết bị sẽ sử dụng trình điều khiển để gửi yêu cầu đó.

Bảo vệ ngăn xếp bắt buộc phần cứng hoạt động bằng cách ngăn chặn các cuộc tấn công sửa đổi địa chỉ trả về trong bộ nhớ chế độ nhân để khởi chạy mã độc hại. Tính năng bảo mật này yêu cầu một CPU có khả năng xác minh địa chỉ trả về của mã đang chạy.

Khi thực thi mã trong chế độ nhân, địa chỉ trả về trên ngăn xếp chế độ nhân có thể bị hỏng bởi các chương trình độc hại hoặc trình điều khiển để chuyển hướng thực thi mã bình thường đến mã độc hại. Trên CPU được hỗ trợ, CPU duy trì bản sao thứ hai của địa chỉ trả về hợp lệ trên ngăn xếp bóng chỉ đọc mà trình điều khiển không thể sửa đổi. Nếu một địa chỉ trả về trên ngăn xếp thông thường đã được sửa đổi, CPU có thể phát hiện sự khác biệt này bằng cách kiểm tra bản sao của địa chỉ trả về trên chồng bóng. Khi sự khác biệt này xảy ra, máy tính nhắc lỗi dừng, đôi khi được gọi là màn hình xanh lam, để ngăn chặn mã độc hại thực thi.

Không phải tất cả các trình điều khiển đều tương thích với tính năng bảo mật này, vì một số ít trình điều khiển hợp pháp tham gia sửa đổi địa chỉ trả lại cho các mục đích không độc hại. Microsoft đã tham gia với nhiều nhà xuất bản trình điều khiển để đảm bảo rằng trình điều khiển mới nhất của họ tương thích với tính năng bảo vệ xếp chồng thực thi phần cứng.

Bạn có thể Bật hoặc Tắt tính năng bảo vệ ngăn xếp bắt buộc phần cứng bằng cách sử dụng nút bật tắt.

Để sử dụng tính năng bảo vệ xếp chồng bắt buộc phần cứng, bạn phải bật tính toàn vẹn của bộ nhớ và bạn phải chạy CPU hỗ trợ Công nghệ Thực thi Intel Control-Flow hoặc Công cụ Đổ bóng AMD.

Điều gì xảy ra nếu thông báo rằng tôi có trình điều khiển hoặc dịch vụ không tương thích?

Nếu tính năng bảo vệ xếp chồng bắt buộc phần cứng không bật được, phần cứng có thể cho bạn biết rằng bạn đã cài đặt trình điều khiển hoặc dịch vụ của thiết bị không tương thích. Tham vấn nhà sản xuất thiết bị hoặc nhà xuất bản ứng dụng để xem họ có sẵn trình điều khiển cập nhật hay không. Nếu không có sẵn trình điều khiển tương thích, bạn có thể xóa thiết bị hoặc ứng dụng sử dụng trình điều khiển không tương thích đó.

Một số ứng dụng có thể cài đặt một dịch vụ thay vì trình điều khiển trong quá trình cài đặt của ứng dụng và cài đặt trình điều khiển chỉ khi ứng dụng được khởi chạy. Để phát hiện trình điều khiển không tương thích chính xác hơn, các dịch vụ được xác định là có liên quan đến trình điều khiển không tương thích cũng được liệt kê.

Còn được gọi là bảo vệ Kernel DMA Tính năng bảo mật này bảo vệ thiết bị của bạn chống lại các cuộc tấn công có thể xảy ra khi thiết bị độc hại được cắm vào cổng Peripheral Component Interconnect (PCI) như cổng Thunderbolt.

Một ví dụ đơn giản của một trong những cuộc tấn công này sẽ là nếu ai đó rời khỏi MÁY tính của họ để uống cà phê giải lao nhanh chóng, và trong khi họ đi vắng, kẻ tấn công bước vào, cắm vào một thiết bị giống như USB và đi với dữ liệu nhạy cảm từ máy tính, hoặc tiêm phần mềm độc hại cho phép họ điều khiển máy tính từ xa. 

Bảo vệ truy cập bộ nhớ ngăn chặn các loại cuộc tấn công bằng cách từ chối truy cập trực tiếp vào bộ nhớ đến các thiết bị đó ngoại trừ trong trường hợp đặc biệt, đặc biệt là khi PC bị khóa hoặc người dùng bị đăng xuất.

Mỗi thiết bị đều có một số phần mềm được viết vào bộ nhớ chỉ đọc của thiết bị - về cơ bản được viết vào chip trên bảng hệ thống - được sử dụng cho các chức năng cơ bản của thiết bị, chẳng hạn như tải hệ điều hành chạy tất cả các ứng dụng mà chúng tôi sử dụng để sử dụng. Kể từ khi phần mềm đó là khó khăn (nhưng không thể) để sửa đổi chúng ta gọi nó như là phần vững.

Vì vi chương trình tải đầu tiên và chạy theo hệ điều hành, các công cụ bảo mật và các tính năng chạy trong hệ điều hành có một thời gian khó khăn phát hiện nó hoặc bảo vệ chống lại nó. Giống như một ngôi nhà phụ thuộc vào một nền tảng tốt để được an toàn, một máy tính cần phần mềm của nó để được an toàn để đảm bảo rằng hệ điều hành, các ứng dụng, và dữ liệu trên máy tính đó là an toàn.

Bảo vệ hệ thống là một tập hợp các tính năng giúp đảm bảo rằng những kẻ tấn công không thể khởi động thiết bị của bạn bằng vi chương trình không đáng tin cậy hoặc độc hại.

Các nền tảng cung cấp bảo vệ vi chương trình thường cũng bảo vệ Chế độ Quản lý Hệ thống ( SMM), một chế độ điều hành đặc quyền cao, ở các mức độ khác nhau. Bạn có thể mong đợi một trong ba giá trị này, với số cao hơn cho biết mức độ bảo vệ SMM cao hơn:

• Thiết bị của bạn đáp ứng phiên bản bảo vệ vi chương trình một: điều này cung cấp các biện pháp giảm thiểu bảo mật nền tảng để giúp SMM chống khai thác bởi phần mềm độc hại và ngăn chặn sự xâm nhập của các bí mật từ HĐH (bao gồm VBS)

• Thiết bị của bạn đáp ứng phiên bản bảo vệ vi chương trình hai: ngoài phiên bản bảo vệ vi chương trình một, phiên bản hai đảm bảo rằng SMM không thể vô hiệu hóa bảo vệ Bảo mật dựa trên Ảo hóa (VBS) và bảo vệ DMA nhân

• Thiết bị của bạn đáp ứng phiên bản bảo vệ vi chương trình phiên bản 3: ngoài phiên bản bảo vệ vi chương trình hai, thiết bị còn làm cứng SMM hơn nữa bằng cách ngăn quyền truy cập vào một số đăng ký nhất định có khả năng xâm phạm HĐH (bao gồm VBS)

Bảo vệ của Local Security Authority (LSA) là một tính năng bảo mật của Windows nhằm giúp ngăn chặn hành vi trộm cắp thông tin xác thực được sử dụng để đăng nhập vào Windows.   

Local Security Authority (LSA) là một quy trình quan trọng trong Windows liên quan đến xác thực người dùng. Nó có trách nhiệm xác minh thông tin xác thực trong quá trình đăng nhập và quản lý các mã thông báo xác thực và vé được sử dụng để bật đăng nhập một lần cho các dịch vụ. Bảo vệ LSA giúp ngăn chặn phần mềm không đáng tin cậy chạy bên trong LSA hoặc truy cập bộ nhớ LSA.  

Làm cách nào để quản lý tính năng bảo vệ của Local Security Authority?

Bạn có thể Bật hoặc Tắt bảo vệ LSA bằng cách sử dụng nút bật tắt.

Sau khi bạn đã thay đổi cài đặt, bạn phải khởi động lại để cài đặt có hiệu lực. 

Điều gì sẽ xảy ra nếu tôi có phần mềm không tương thích? 

Nếu tính năng bảo vệ LSA được bật và nó chặn việc tải phần mềm vào dịch vụ LSA, một thông báo sẽ cho biết tệp bị chặn. Bạn có thể xóa phần mềm đang tải tệp hoặc bạn có thể tắt các cảnh báo trong tương lai đối với tệp đó khi tệp bị chặn tải vào LSA.  

Trong khi bạn đang sử dụng thiết bị cơ quan hoặc trường học, tính năng này sẽ âm thầm đăng nhập và nhận quyền truy cập vào nhiều thứ khác nhau như tệp, máy in, ứng dụng và các tài nguyên khác trong tổ chức của bạn. Làm cho quy trình đó an toàn nhưng vẫn dễ dàng cho người dùng, có nghĩa là PC của bạn có một số mã thông báo xác thực trên đó vào bất kỳ thời điểm nhất định nào.

Nếu kẻ tấn công có thể có quyền truy nhập vào một hoặc nhiều mã thông báo đó, họ có thể sử dụng chúng để có quyền truy nhập vào tài nguyên của tổ chức (các tệp nhạy cảm, v.v...) mà mã thông báo dành cho. Credential Guard giúp bảo vệ các mã thông báo đó bằng cách đưa chúng vào một môi trường được bảo vệ, ảo hóa, trong đó chỉ một số dịch vụ nhất định mới có thể truy cập chúng khi cần thiết.

Trình điều khiển là một phần của phần mềm cho phép hệ điều hành (Windows trong trường hợp này) và một thiết bị (như bàn phím hoặc webcam) nói chuyện với nhau. Khi thiết bị muốn Windows làm điều gì đó, thiết bị sẽ sử dụng trình điều khiển để gửi yêu cầu đó. Vì điều này, trình điều khiển có rất nhiều truy cập nhạy cảm trong hệ thống của bạn.

Windows 11 bao gồm một danh sách chặn các trình điều khiển đã biết lỗ hổng bảo mật, đã được ký bằng chứng chỉ dùng để ký phần mềm có hại hoặc phá vỡ Mô hình Bảo mật Windows.

Nếu bạn có tính toàn vẹn của bộ nhớ, Điều khiển Ứng dụng Thông minh hoặc chế độ Windows S, danh sách chặn trình điều khiển dễ bị tấn công cũng sẽ được bật.

Đây là nơi bạn sẽ tìm thấy thông tin về nhà sản xuất bộ xử lý bảo mật và số phiên bản, cũng như thông tin về trạng thái của bộ xử lý bảo mật.

Trong ứng dụng Bảo mật Windows trên PC của bạn, Chi tiết về bộ xử lý bảo > Thiết bị hoặc sử dụng phím tắt sau:

Chi tiết về bộ xử lý bảo mật

Nếu bộ xử lý bảo mật của bạn không hoạt động đúng cách, bạn có thể chọn liên kết Khắc phục sự cố bộ xử lý bảo mật để xem mọi thông báo lỗi và tùy chọn nâng cao hoặc sử dụng phím tắt sau:

Khắc phục sự cố bộ xử lý bảo mật

Trang khắc phục sự cố bộ xử lý bảo mật cung cấp mọi thông báo lỗi liên quan về TPM. Dưới đây là danh sách các thông báo lỗi và chi tiết:

Thư	Chi tiết
Bạn cần cập nhật vi chương trình cho bộ xử lý bảo mật (TPM).	Bo mạch chủ của thiết bị hiện không hỗ trợ TPM nhưng bản cập nhật vi chương trình có thể khắc phục sự cố này. Kiểm tra với nhà sản xuất thiết bị của bạn để xem đã có bản cập nhật vi chương trình hay chưa và cách cài đặt bản cập nhật đó. Các bản cập nhật vi chương trình thường miễn phí.
TPM đã tắt và yêu cầu bạn chú ý.	Mô-đun nền tảng đáng tin cậy có thể đã bị tắt trong HỆ THỐNG BIOS (Hệ thống Nhập/Đầu ra Cơ bản) hoặc UEFI (Unified Extensible Firmware Interface). Tham khảo tài liệu hỗ trợ của nhà sản xuất thiết bị hoặc liên hệ với bộ phận hỗ trợ kỹ thuật của họ để biết hướng dẫn về cách bật.
Dung lượng lưu trữ TPM không khả dụng. Vui lòng xóa TPM của bạn.	Nút xóa TPM nằm trên trang này. Bạn sẽ muốn đảm bảo rằng bạn có bản sao lưu dữ liệu tốt trước khi tiến hành.
Không thể kiểm định tình trạng thiết bị. Vui lòng xóa TPM của bạn.	Nút xóa TPM nằm trên trang này. Bạn sẽ muốn đảm bảo rằng bạn có bản sao lưu dữ liệu tốt trước khi tiến hành.
Chứng thực tình trạng thiết bị không được hỗ trợ trên thiết bị này.	Điều này có nghĩa là thiết bị không cung cấp cho chúng tôi đủ thông tin để xác định lý do tại sao TPM có thể không hoạt động đúng cách trên thiết bị của bạn.
TPM của bạn không tương thích với vi chương trình và có thể không hoạt động bình thường.	Kiểm tra với nhà sản xuất thiết bị của bạn để xem đã có bản cập nhật vi chương trình hay chưa cũng như cách tải và cài đặt bản cập nhật đó. Các bản cập nhật vi chương trình thường miễn phí.
Nhật ký khởi động đã đo TPM bị thiếu. Thử khởi động lại thiết bị của bạn.
Đã xảy ra sự cố với TPM của bạn. Thử khởi động lại thiết bị của bạn.

Nếu bạn vẫn gặp sự cố sau khi xử lý thông báo lỗi, hãy liên hệ với nhà sản xuất thiết bị của bạn để được trợ giúp.

Chọn Xóa TPM để đặt lại bộ xử lý bảo mật về cài đặt mặc định.