Windows 安全性 應用程式中的裝置安全性

記憶體完整性，也稱為 Hypervisor 保護的程式代碼完整性 (HVCI) 是 Windows 安全性功能，可讓惡意程式難以使用低階驅動程式來隱藏您的計算機。

驅動程式是一種可讓操作系統在此情況下 (Windows) 的軟體，以及鍵盤或網路攝影機等裝置 (，) 彼此對話。 當裝置想要 Windows 執行某些動作時，它會使用驅動程式來傳送該要求。

記憶體完整性運作方式是使用 硬體虛擬化建立隔離環境。

想一下它就像是鎖定攤位內的安全防護。 這個隔離環境 (類比中鎖定的攤位) 防止攻擊者竄改記憶體完整性功能。 想要執行一段可能很危險的程式，必須將程式代碼傳遞給該虛擬攤位內的記憶體完整性，以便進行驗證。 當記憶體完整性符合程式代碼的安全性時，它會將程式代碼交回 Windows 以執行。 通常這會非常快速地發生。

在不執行記憶體完整性的情況下， 安全性防護會在開放中脫穎而出，攻擊者更容易干擾或破壞防護，讓惡意代碼更容易窺過並造成問題。

您可以使用切換按鈕開啟或關閉記憶體完整性。

如果顯示我的驅動程式不相容，該怎麼辦？

如果記憶體完整性無法開啟，可能會告訴您已經安裝不相容的設備驅動器。 請洽詢裝置製造商，以了解他們是否有可用的更新驅動程式。 如果他們沒有相容的驅動程式可用，您可能可以移除使用該不相容驅動程式的裝置或應用程式。

硬體強制堆疊保護是一項硬體式安全性功能，可讓惡意程式難以使用低階驅動程式來隱藏您的電腦。

驅動程式是一種可讓操作系統在此情況下 (Windows) 的軟體，以及鍵盤或網路攝影機等裝置 (，) 彼此對話。 當裝置想要 Windows 執行某些動作時，它會使用驅動程式來傳送該要求。

硬體強制堆疊保護的運作方式是防止會修改內核模式記憶體中的傳回位址以啟動惡意代碼的攻擊。 此安全性功能需要一個 CPU，其中包含驗證執行程式碼之傳回位址的能力。

在內核模式中執行程式碼時，內核模式堆疊上的傳回位址可能會被惡意程式或驅動程式損毀，以便將一般程式代碼執行重新導向至惡意程序代碼。 在支援的 CPU 上，CPU 會在驅動程式無法修改的唯讀陰影堆疊上維護第二份有效傳回位址複本。 如果已修改一般堆疊上的寄件者位址，CPU 可以檢查陰影堆疊上的發件者位址複本，藉此偵測到此差異。 發生此差異時，計算機會提示停止錯誤，有時稱為藍色畫面，以防止惡意代碼執行。

並非所有驅動程式都相容於此安全性功能，因為少數合法驅動程式會出於非惡意目的進行退貨位址修改。 Microsoft已經與許多驅動程式發行者互動，以確保他們最新的驅動程式與硬體強制堆棧保護相容。

您可以使用切換按鈕將硬體強制堆疊保護開 啟或 關閉。

若要使用硬體強制堆疊保護，您必須啟用記憶體完整性，而且必須執行支援 Intel Control-Flow 強制執行技術 或 AMD 陰影堆疊的 CPU。

如果顯示我擁有不相容的驅動程式或服務，該怎麼辦？

如果硬體強制堆疊保護無法開啟，可能會告訴您已經安裝不相容的設備驅動器或服務。 請洽詢裝置或應用程式發行者的製造商，以了解他們是否提供更新的驅動程式。 如果他們沒有相容的驅動程式可用，您可能可以移除使用該不相容驅動程式的裝置或應用程式。

某些應用程式可能會在應用程式安裝期間安裝服務而不是驅動程式，而且只有在應用程式啟動時才安裝驅動程式。 為了更精確地偵測不相容的驅動程式，已知與不相容驅動程式相關聯的服務也會列舉。

這項安全性功能也稱為 核心 DMA 保護，可保護您的裝置免於在惡意裝置插入介面元件互連 (PCI) 埠時，如 Thunderbolt 埠等埠時可能發生的攻擊。

舉例來說，這些攻擊的其中一個簡單範例是，如果有人離開計算機去喝杯咖啡，而他們離開時，攻擊者會登入、插入類似USB的裝置，並帶著機密數據離開計算機，或是插入惡意代碼，讓他們從遠端控制計算機。 

記憶體存取保護會拒絕直接存取這些裝置的記憶體，以避免這類攻擊，除非在特殊情況下，尤其是在計算機鎖定或使用者註銷時。

每個裝置都有一些已寫入到裝置唯讀記憶體的軟體，基本上是寫入至系統面板上的晶片，用於裝置的基本功能，例如載入執行我們習慣使用之所有應用程式的操作系統。 由於該軟體很難 (但並非不可能) 修改，因此我們將它稱為 韌體。

由於韌體會先載入並在操作系統 底下執行，因此在操作系統中執行的安全性工具和功能難以偵測或抵禦韌體。 就像是一座依據良好基礎來確保安全的住宅，計算機需要有其韌體才能安全，以確保該計算機上的操作系統、應用程式和數據安全。

系統防護 是一組可協助確保攻擊者無法讓您的裝置從不受信任或惡意韌體開始使用的功能。

提供韌體保護的平臺通常也會在不同程度上保護 系統管理模式 (SMM) ，這是高度許可權的操作模式。 您可以預期三個值的其中之一，其中一個較高的數位表示 SMM 保護程度較高：

• 您的裝置符合韌體保護版本 1：這會提供基礎安全防護功能，以協助 SMM 抵禦惡意代碼的開發，並防止從包括 VBS (在內的操作系統 (外流機密)

• 您的裝置符合韌體保護版本 2：除了 韌體保護版本 1，第 2 版可確保 SMM 無法停用虛擬化型安全性 (VBS) 和核心 DMA 保護

• 您的裝置符合韌體保護版本 3：除了 韌體保護版本 2 之外，還會防止存取能夠入侵操作系統 (包括 VBS) 的特定登錄，進一步強化 SMM

當地安全域 (LSA) 保護是一項 Windows 安全性功能，可協助防止用於登入 Windows 的認證遭竊。   

本地安全域 (LSA) 是涉及使用者驗證的 Windows 重要程式。 它負責在登入程式期間驗證認證，以及管理用來啟用單一登錄服務的驗證令牌和票證。 LSA 保護有助於防止不受信任的軟體在 LSA 內執行或存取 LSA 記憶體。  

如何? 管理當地安全域保護？

您可以使用切換按鈕開啟或關閉 LSA 保護。

變更設定之後，您必須重新啟動，設定才會生效。 

如果我的軟體不相容，該怎麼辦？ 

如果已啟用 LSA 保護，且會封鎖軟體載入到 LSA 服務，則會收到通知指出封鎖的檔案。 您或許可以移除載入檔案的軟體，也可以在該檔案遭到封鎖而無法載入 LSA 時，停用該檔案未來的警告。  

當您使用公司或學校裝置時，它會安靜地登入並存取各種專案，例如檔案、印表機、應用程式，以及組織中的其他資源。 讓該程式安全，但對用戶來說也更容易，這表示您的計算機在任何指定時間都有一些驗證令牌。

如果攻擊者可以存取其中一個或多個令牌，他們也許可以使用這些令牌來存取組織資源 (機密檔案等，) 令牌的用途。 Credential Guard 可協助保護這些令牌，方法是將令牌置於受保護的虛擬環境中，以便在必要時只有特定服務可以存取這些令牌。

驅動程式是一種可讓操作系統在此情況下 (Windows) 的軟體，以及鍵盤或網路攝影機等裝置 (，) 彼此對話。 當裝置想要 Windows 執行某些動作時，它會使用驅動程式來傳送該要求。 因此，驅動程式在您的系統中有許多敏感性存取權。

Windows 11 包含具有已知安全性弱點、已使用用來簽署惡意代碼的憑證簽署或規避 Windows 安全性 模型的驅動程序封鎖清單。

如果您已開啟記憶體完整性、 Smart App 控制件或 Windows S 模式，也會開啟易受攻擊的驅動程式封鎖清單。

您可在這裡找到有關安全處理器製造商和版本號碼的資訊，以及安全處理器狀態的相關資訊。

在電腦上的 [Windows 安全性] 應用程式 中， 選取 [裝置安全  性]> 安全處理器詳細數據 或使用下列快捷鍵：

安全處理器詳細數據

如果您的安全處理器無法正常運作，您可以選取 安全處理器疑難解答連結來查看任何錯誤訊息和進階選項，或使用下列快捷鍵：

安全處理器疑難解答

安全處理器疑難解答頁面會提供關於 TPM 的任何相關錯誤訊息。 以下是錯誤訊息與詳細資料清單：

訊息	詳細資料
您的安全處理器 (TPM) 需要韌體更新。	您裝置的主機板目前似乎不支援 TPM，但韌體更新可能會解決此問題。 請洽詢裝置製造商，以瞭解是否有可用的韌體更新，以及如何安裝它。 韌體更新通常是免費的。
TPM 已停用，而且需要注意。	系統 BIOS (Basic Input/Output System) 或 UEFI (整合可擴展固件介面) 中，信任的平臺模組可能已關閉。 如需如何開啟裝置的指示，請參閱裝置製造商的支援檔，或連絡他們的技術支援。
無法使用 TPM 儲存體。 請清除您的 TPM。	[清除 TPM] 按鈕在此頁面上。 在繼續進行之前，您必須先確認您的數據有良好的備份。
裝置健康情況證明無法使用。 請清除您的 TPM。	[清除 TPM] 按鈕在此頁面上。 在繼續進行之前，您必須先確認您的數據有良好的備份。
這個裝置不支援裝置健康情況證明。	這表示裝置沒有提供足夠的資訊給我們，無法判斷為什麼 TPM 在您的裝置上無法正常運作。
您的 TPM 與韌體不相容，可能無法正常運作。	請洽詢裝置製造商，以瞭解是否有可用的韌體更新，以及如何取得及安裝它。 韌體更新通常是免費的。
TPM 測量開機記錄遺失。 請嘗試將您的裝置重新開機。
您的 TPM 發生問題。 請嘗試將您的裝置重新開機。

如果在處理錯誤訊息後仍然遇到問題，請連絡裝置製造商以尋求協助。

選取 [清除 TPM]，將安全處理器重設為預設設定。