Přihlásit se pomocí účtu Microsoft
Přihlaste se nebo si vytvořte účet.
Dobrý den,
Vyberte jiný účet.
Máte více účtů.
Zvolte účet, pomocí kterého se chcete přihlásit.

Izolace jádra je funkce zabezpečení systému Microsoft Windows, která chrání důležité základní procesy Systému Windows před škodlivým softwarem tím, že je izoluje v paměti. Dělá to spuštěním těchto základních procesů ve virtualizovaném prostředí. 

Poznámka: To, co vidíte na stránce Izolace jádra, se může trochu lišit v závislosti na tom, jakou verzi Windows používáte.

Integrita paměti

Integrita paměti, označovaná také jako HVCI (Hypervisor-protected Code Integrity) je funkce zabezpečení Windows, která škodlivým programům znesnadňuje použití ovladačů nízké úrovně k napadení počítače.

Ovladač je software, který umožňuje, aby operační systém (v tomto případě Windows) a zařízení (jako je klávesnice nebo webová kamera, ve dvou příkladech) spolu komunikují. Když zařízení chce, aby systém Windows něco udělal, použije k odeslání žádosti ovladač.

Tip: Chcete se o ovladačích dozvědět více? Viz Co je ovladač?

Integrita paměti funguje vytvořením izolovaného prostředí s využitím virtualizace hardwaru.

Představte si to jako ochranku uvnitř uzamčené kabiny. Toto izolované prostředí (v naší analogii uzamčená kabina) zabraňuje útočníkovi v manipulaci s funkcí integrity paměti. Program, který chce spustit část kódu, která může být nebezpečná, musí předat kód do integrity paměti uvnitř virtuálního stánku, aby ho bylo možné ověřit. Pokud je integrita paměti pohodlná, že je kód bezpečný, předá kód zpět systému Windows ke spuštění. Obvykle k tomu dochází velmi rychle.

Bez spuštěné integrity paměti stojí "ochrana zabezpečení" přímo na otevřeném místě, kde je pro útočníka mnohem jednodušší zasahovat do ochrany nebo ji sabotovat, což usnadňuje proniknutí škodlivého kódu kolem a způsobit problémy.

Návody spravovat integritu paměti?

Ve většině případů je integrita paměti ve výchozím nastavení v Windows 11 zapnutá a dá se zapnout pro Windows 10.

Zapnutí nebo vypnutí:

  1. Vyberte tlačítko Start a zadejte "Izolace jádra".

  2. Ve výsledcích hledání vyberte nastavení základního systému izolace a otevřete aplikaci Zabezpečení Windows.

Na stránce Izolace jádra najdete integritu paměti spolu s přepínačem pro zapnutí nebo vypnutí.

Stránka izolace jádra Zabezpečení Windows

Důležité informace: Z důvodu bezpečnosti doporučujeme zapnout integritu paměti.

Pokud chcete používat integritu paměti, musíte mít v systému UEFI nebo BIOS povolenou virtualizaci hardwaru. 

Co když se zobrazí zpráva, že mám nekompatibilní ovladač?

Pokud se integritu paměti nepodaří zapnout, může vás to informovat o tom, že už máte nainstalovaný nekompatibilní ovladač zařízení. Obraťte se na výrobce zařízení a zjistěte, jestli nemá k dispozici aktualizovaný ovladač. Pokud nemá k dispozici kompatibilní ovladač, možná budete moct odebrat zařízení nebo aplikaci, která tento nekompatibilní ovladač používá.

Funkce integrity paměti systému Windows, která ukazuje, že ovladač není kompatibilní

Poznámka: Pokud se po zapnutí integrity paměti pokusíte nainstalovat zařízení s nekompatibilním ovladačem, může se zobrazit stejná zpráva. Pokud ano, platí stejné pokyny – obraťte se na výrobce zařízení a zjistěte, jestli nemá aktualizovaný ovladač, který si můžete stáhnout, nebo toto konkrétní zařízení neinstalujte, dokud nebude k dispozici kompatibilní ovladač.

Hardwarem vynucená ochrana zásobníku v režimu jádra

Hardwarem vynucená ochrana zásobníku v režimu jádra je hardwarová funkce zabezpečení Windows, která škodlivým programům znesnadňuje použití ovladačů nízké úrovně k napadení počítače.

Ovladač je software, který umožňuje operačnímu systému (v tomto případě Windows) a zařízení, jako je klávesnice nebo webová kamera, komunikovat mezi sebou. Když zařízení chce, aby systém Windows něco udělal, použije k odeslání žádosti ovladač.

Tip: Chcete se o ovladačích dozvědět více? Viz Co je ovladač?

Hardwarově vynucená ochrana zásobníku v režimu jádra funguje tak, že brání útokům, které upravují návratové adresy v paměti režimu jádra a spouštějí škodlivý kód. Tato funkce zabezpečení vyžaduje procesor, který obsahuje možnost ověřit návratové adresy spuštěného kódu.

Při spouštění kódu v režimu jádra můžou být návratové adresy v zásobníku režimu jádra poškozeny škodlivými programy nebo ovladači, aby se normální spouštění kódu přesměrovalo na škodlivý kód. Na podporovaných procesorech udržuje procesor druhou kopii platných návratových adres ve stínovém zásobníku jen pro čtení, který ovladače nemohou upravovat. Pokud byla změněna zpáteční adresa v běžném zásobníku, procesor může zjistit tuto nesrovnalost tím, že zkontroluje kopii zpáteční adresy ve stínovém zásobníku. Když dojde k této nesrovnalosti, počítač zobrazí výzvu k chybě Stop, která se někdy označuje jako modrá obrazovka, aby se zabránilo spuštění škodlivého kódu.

Ne všechny ovladače jsou kompatibilní s touto funkcí zabezpečení, protože malý počet legitimních ovladačů se zabývá úpravou zpáteční adresy pro nezlými účely. Společnost Microsoft spolupracuje s řadou vydavatelů ovladačů, aby zajistila, že jejich nejnovější ovladače jsou kompatibilní s hardwarem vynucenou ochranou stacku v režimu jádra.

Návody spravovat hardwarem vynucenou ochranu zásobníku v režimu jádra?

Hardwarem vynucená ochrana zásobníku v režimu jádra je ve výchozím nastavení vypnutá.

Zapnutí nebo vypnutí:

  1. Vyberte tlačítko Start a zadejte "Izolace jádra".

  2. Ve výsledcích hledání vyberte nastavení základního systému izolace a otevřete aplikaci Zabezpečení Windows.

Na stránce Izolace jádra najdete hardwarem vynucenou ochranu zásobníku v režimu jádra spolu s přepínačem pro zapnutí nebo vypnutí.

Označuje umístění přepínače uživatelského rozhraní vynucované hardwarem v režimu jádra v režimu jádra na stránce Izolace jádra aplikace Zabezpečení Windows.

Pokud chcete používat hardwarově vynucenou ochranu zásobníku v režimu jádra, musíte mít povolenou integritu paměti a musíte mít procesor, který podporuje technologii Intel Control-Flow Enforcement Technology nebo AMD Shadow Stack.

Co když se zobrazí zpráva, že mám nekompatibilní ovladač nebo službu?

Pokud se hardwarově vynucená ochrana zásobníku v režimu jádra nezapne, může to být jasné, že už máte nainstalovaný nekompatibilní ovladač zařízení nebo službu. Obraťte se na výrobce zařízení nebo vydavatele aplikace a zjistěte, jestli není k dispozici aktualizovaný ovladač. Pokud nemají k dispozici kompatibilní ovladač, možná budete moct odebrat zařízení nebo aplikaci, které tento nekompatibilní ovladač používají.

Některé aplikace mohou nainstalovat službu místo ovladače během instalace aplikace a nainstalovat ovladač pouze při spuštění aplikace. Pro přesnější detekci nekompatibilních ovladačů se také zobrazí výčet služeb, o kterých se ví, že jsou přidružené k nekompatibilním ovladačům.

Stránka Nekompatibilních ovladačů a služeb pro hardwarem vynucenou ochranu zásobníku v režimu jádra v aplikaci Zabezpečení Windows se zobrazeným nekompatibilním ovladačem Nekompatibilní ovladač se nazývá ExampleDriver.sys a publikuje ho "Ukázková společnost".

Poznámka: Pokud se pokusíte nainstalovat zařízení nebo aplikaci s nekompatibilním ovladačem po zapnutí hardwarové ochrany Stack Protection v režimu jádra, může se zobrazit stejná zpráva. Pokud ano, platí to samé – obraťte se na výrobce zařízení nebo vydavatele aplikace a zjistěte, jestli nemá aktualizovaný ovladač, který si můžete stáhnout, nebo neinstalujte konkrétní zařízení nebo aplikaci, dokud nebude k dispozici kompatibilní ovladač.

Ochrana přístupu k paměti

Označuje se také jako ochrana jádra DMA, která chrání vaše zařízení před útoky, ke kterým může dojít, když je škodlivé zařízení zapojené do portu PCI (Peripheral Component Interconnect), jako je port Thunderbolt.

Jednoduchým příkladem jednoho z těchto útoků by bylo, kdyby někdo odešel z počítače na rychlou přestávku na kávu, a když byl pryč, útočník zasákne do počítače zařízení podobného USB a odchází s citlivými daty z počítače nebo vloží malware, který mu umožní vzdáleně ovládat počítač. 

Ochrana přístupu do paměti brání těmto druhům útoků tím, že těmto zařízením odepře přímý přístup k paměti s výjimkou zvláštních okolností, zejména pokud je počítač uzamčený nebo je uživatel odhlášený.

Doporučujeme zapnout ochranu přístupu k paměti.

Tip: Další technické podrobnosti najdete v tématu Ochrana jádra DMA.

Ochrana firmwaru

Každé zařízení má nějaký software, který je zapsán do paměti zařízení jen pro čtení (v podstatě zapsaný na čip na systémové desce), který se používá pro základní funkce zařízení, jako je načítání operačního systému, který spouští všechny aplikace, které jsme zvyklí používat. Vzhledem k tomu, že tento software je obtížné (ale není nemožné) upravit, označujeme ho jako firmware.

Vzhledem k tomu, že se firmware nejprve načte a běží pod operačním systémem, mají nástroje a funkce zabezpečení, které běží v operačním systému, obtížné ho rozpoznat nebo se proti němu bránit. Podobně jako dům, který závisí na dobrém základu zabezpečení, potřebuje počítač svůj firmware, aby byl zabezpečený, aby se zajistilo, že operační systém, aplikace a zákaznická data na tomto počítači budou v bezpečí.

Windows Defender Ochrana System Guard je sada funkcí, které pomáhají zajistit, aby útočníci nemohli vaše zařízení začít používat nedůvěryhodný nebo škodlivý firmware.

Pokud ho vaše zařízení podporuje, doporučujeme, abyste ho zapnuli.

Platformy, které nabízejí ochranu firmwaru, obvykle také v různé míře chrání režim správy systému (SMM), což je vysoce privilegovaný provozní režim. Můžete očekávat jednu ze tří hodnot, přičemž vyšší číslo značí vyšší stupeň ochrany SMM:

  • Vaše zařízení splňuje ochranu firmwaru verze 1: nabízí základní omezení zabezpečení, která pomáhají SMM odolat zneužití malwarem, a brání exfiltraci tajných kódů z operačního systému (včetně VBS).

  • Vaše zařízení splňuje ochranu firmwaru verze 2: kromě ochrany firmwaru verze 1 zajišťuje, že SMM nemůže zakázat zabezpečení založené na virtualizaci (VBS) a ochranu jádra DMA.

  • Vaše zařízení splňuje ochranu firmwaru verze 3: kromě ochrany firmwaru verze 2 ještě více zpevňuje SMM tím, že zabraňuje přístupu k určitým registrům, které mají schopnost ohrozit operační systém (včetně VBS).

Tip: Další technické podrobnosti najdete v tématu Windows Defender Ochrana System Guard: Jak hardwarový kořenový adresář důvěryhodnosti pomáhá chránit Windows.

Microsoft Defender Credential Guard

Poznámka: Microsoft Defender Credential Guard se zobrazuje jenom na zařízeních s verzemi Enterprise Windows 10 nebo 11.

Když používáte pracovní nebo školní počítač, bude se k němu v klidu přihlašovat a získávat přístup k nejrůznějším věcem, jako jsou soubory, tiskárny, aplikace a další prostředky ve vaší organizaci. Pokud chcete, aby byl tento proces pro uživatele zabezpečený, ale zároveň snadný, znamená to, že váš počítač má v každém okamžiku řadu ověřovacích tokenů (často označovaných jako "tajné kódy").

Pokud útočník může získat přístup k jednomu nebo více tajným kódům, může je použít k získání přístupu k prostředkům organizace (citlivým souborům atd.), pro které je tajný kód určený. Microsoft Defender Credential Guard pomáhá chránit tyto tajné kódy tím, že je umístí do chráněného, virtualizovaného prostředí, kde k nim mají v případě potřeby přístup jenom některé služby.

Pokud ho vaše zařízení podporuje, doporučujeme, abyste ho zapnuli.

Tip: Pokud byste o tom chtěli získat další technické podrobnosti, přečtěte si článek Jak funguje ochrana Credential Guard v Defenderu.

Microsoft Vulnerable Driver Blocklist

Ovladač je software, který umožňuje, aby operační systém (v tomto případě Windows) a zařízení (jako je klávesnice nebo webová kamera, ve dvou příkladech) spolu komunikují. Když zařízení chce, aby systém Windows něco udělal, použije k odeslání žádosti ovladač. Z tohoto důvodu mají ovladače ve vašem systému hodně citlivého přístupu.

Od aktualizace Windows 11 2022 teď máme seznam blokovaných ovladačů, které mají známé chyby zabezpečení, jsou podepsané certifikáty, které byly použity k podepsání malwaru nebo obcházejí model Zabezpečení Windows.

Pokud máte zapnutou integritu paměti, inteligentní řízení aplikací nebo režim Windows S, bude zapnutý také seznam blokovaných ovladačů s chybou zabezpečení.

Viz také

Zůstaňte chráněni pomocí Zabezpečení Windows

Nápověda k zabezpečení Microsoft

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Zjišťování Komunita

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoftu 365

Školení k Microsoftu 365

Zabezpečení od Microsoftu

Centrum přístupnosti

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.

Zeptejte se v komunitě Microsoftu

Technická komunita Microsoftu

Účastníci programu Windows Insider

Účastníci programu Microsoft 365 Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?
Po stisknutí tlačítka pro odeslání se vaše zpětná vazba použije k vylepšování produktů a služeb Microsoftu. Váš správce IT bude moci tato data shromažďovat. Prohlášení o zásadách ochrany osobních údajů.

Děkujeme vám za zpětnou vazbu.

×