Tuumiku isoleerimine on Microsoft Windowsi turbefunktsioon, mis kaitseb Windowsi olulisi põhiprotsesse ründetarkvara eest, eraldades need mälus. Selleks käivitatakse need põhiprotsessid virtualiseeritud keskkonnas.
Märkus.: Tuumiku isoleerimise lehel kuvatav sisu võib veidi erineda olenevalt sellest, millist Windowsi versiooni te kasutate.
Mälu terviklus
Mälu terviklus ehk hüperviisoriga kaitstud kooditerviklus (HVCI) on Windowsi turbefunktsioon, mis raskendab pahatahtlikel programmidel kasutada arvuti kaaperdamiseks madala taseme draivereid.
Draiver on tarkvara, mis võimaldab operatsioonisüsteemil (windowsil käesoleval juhul) ja seadmel (nagu klaviatuur või veebikaamera, kaks näidet) üksteisega rääkida. Kui seade soovib, et Windows teeks midagi, kasutab see selle taotluse saatmiseks draiverit.
Näpunäide.: Kas soovite draiverite kohta rohkem teada? Lugege artiklit Mis on draiver?
Mälu terviklus töötab, luues riistvara virtualiseerimise abil isoleeritud keskkonna.
Mõtle sellest nagu turvamees lukustatud boksis. See isoleeritud keskkond (lukus kabiin meie analoogias) takistab mälu tervikluse funktsiooni ründaja omavoliliselt. Programm, mis soovib käitada koodilõiku, mis võib olla ohtlik, peab edastama koodi mälu terviklusse selles virtuaalboksis, et seda saaks kontrollida. Kui mälu terviklus on mugav, et kood on ohutu, suunab see koodi Windowsi tagasi käivituma. Tavaliselt juhtub see väga kiiresti.
Ilma mälu tervikluse käivitamiseta seisab "turvamees" otse avatus, kus ründajal on palju lihtsam valvurit segada või saboteerida, mis muudab pahatahtliku koodi mineviku hiilimise ja probleemide põhjustamise lihtsamaks.
Kuidas hallata mälu terviklus?
Enamasti on mälu terviklus Windows 11 vaikimisi sisse lülitatud ja selle saab Windows 10 jaoks sisse lülitada.
Selle sisse- või väljalülitamiseks tehke järgmist.
-
Valige nupp Start ja tippige "Core isolation".
-
Windowsi turberakenduse avamiseks valige otsingutulemite hulgast Süsteemi tuumiku isoleerimise sätted.
Lehel Core isolation (Tuumiku isoleerimine) leiate mälu tervikluse koos tumblerlülitiga selle sisse- või väljalülitamiseks.
NB!: Turvalisuse tagamiseks soovitame mälu tervikluse sisse lülitada.
Mälu tervikluse kasutamiseks peab teie süsteemi UEFI-s või BIOS-is olema riistvara virtualiseerimine lubatud.
Mis siis, kui on kirjas, et mul on ühildumatu draiver?
Kui mälu terviklus ei lülitu sisse, võib see teile öelda, et teil on ühildumatu seadmedraiver juba installitud. Küsige seadme tootjalt, kas neil on saadaval värskendatud draiver. Kui neil pole ühilduvat draiverit saadaval, võite selle ühildumatut draiverit kasutava seadme või rakenduse eemaldada.
Märkus.: Kui proovite pärast mälu tervikluse sisselülitamist installida ühildumatu draiveriga seadet, võidakse kuvada sama teade. Sel juhul kehtib sama nõuanne . Küsige seadme tootjalt, kas neil on värskendatud draiver, mille saate alla laadida, või ärge installige seda seadet enne, kui ühilduv draiver on saadaval.
Mälupääsu kaitse
Tuuma DMA kaitse kaitseb teie seadet rünnakute eest, mis võivad ilmneda, kui ründeseade on ühendatud PCI (väliskomponendi Interconnect) porti nagu Thunderbolt port.
Lihtne näide sellisest rünnakust oleks see, kui keegi lahkub arvutist kiire kohvipausi tegemiseks, ja kui ta eemal oli, ründaja astus sisse, ühendab USB-taolise seadme ja kõnnib arvutist tundlike andmetega eemale või sisestab ründevara, mis võimaldab neil arvutit kaugjuhtimises juhtida.
Mälujuurdepääsu kaitse takistab selliseid rünnakuid, keelates otsest juurdepääsu mälule nendele seadmetele, välja arvatud erijuhtudel, eriti juhul, kui arvuti on lukustatud või kasutaja on välja logitud.
Soovitame mälule juurdepääsu kaitse sisse lülitada.
Näpunäide.: Lisateavet selle kohta leiate teemast Tuuma DMA kaitse.
Püsivarakaitse
Igal seadmel on teatud tarkvara, mis on kirjutatud seadme kirjutuskaitstud mällu - põhimõtteliselt kirjutatud kiibile süsteemitahvlil -, mida kasutatakse seadme põhifunktsioonide jaoks, näiteks operatsioonisüsteemi laadimine, mis käitab kõiki rakendusi, millega oleme harjunud. Kuna seda tarkvara on raske (kuid mitte võimatu) muuta, nimetame seda püsivaraks.
Kuna püsivara laaditakse esimest korda ja see töötab operatsioonisüsteemi all, on operatsioonisüsteemis töötavatel turbetööriistadel ja -funktsioonidel keeruline seda tuvastada või selle eest kaitsta. Nagu maja, mis sõltub heast vundamendist, et olla turvaline, peab ka arvuti olema turvaline, et tagada selles arvutis olevate operatsioonisüsteemide, rakenduste ja kliendiandmete turvalisus.
Windows Defender System Guard on funktsioonide kogum, mis aitab tagada, et ründajad ei saaks teie seadet ebausaldusväärse või pahatahtliku püsivaraga käivitada.
Soovitame selle sisse lülitada, kui teie seade seda toetab.
Püsivarakaitset pakkuvad platvormid kaitsevad tavaliselt ka süsteemihaldusrežiimi (SMM), mis on väga privileegidega töörežiim, erineval määral. Võite oodata ühte kolmest väärtusest, suurem arv näitab suuremat SMM-kaitse taset.
-
Teie seade vastab püsivara kaitse versioonile üks: see pakub vundamentaalturbe leevendusi, et aidata SMM-il vastu seista ründevara kasutamisele ja takistab operatsioonisüsteemi saladuste (sh VBS) aegumist
-
Teie seade vastab püsivara kaitse versioonile kaks: lisaks püsivarakaitse versioonile üks tagab teine versioon, et SMM ei saa keelata Virtualization-based Security (VBS) ja tuuma DMA kaitset
-
Teie seade vastab püsivara kaitse versioonile kolm: lisaks püsivarakaitse versioonile kaks, muudab see SMM-i veelgi vastupidavamaks, takistades juurdepääsu teatud registritele, mis on võimelised operatsioonisüsteemi ohustama (sh VBS)
Näpunäide.: Kui soovite selle kohta tehnilisi üksikasju, lugege teemat Windows Defender System Guard: kuidas riistvarapõhine usalduse juur aitab Windowsi kaitsta
Microsoft Defender Credential Guard
Märkus.: Microsoft Defender Credential Guard kuvatakse ainult seadmetes, kus töötab Windows 10 või 11 Enterprise'i versioon.
Kui kasutate töö- või kooliarvutit, logib see vaikselt sisse ja pääseb juurde mitmesugustele asjadele( nt failidele, printeritele, rakendustele ja muudele teie ettevõtte ressurssidele). Kui muudate selle protsessi kasutaja jaoks turvaliseks, tähendab see, et teie arvutis on igal ajal mitu autentimisluba (mida nimetatakse sageli ka saladuseks).
Kui ründaja saab juurdepääsu ühele või mitmele saladusele, võib ta saada juurdepääsu salajase asutuse ressursile (tundlikud failid jne). Microsoft Defender Credential Guard aitab kaitsta neid saladusi, paigutades need kaitstud virtualiseeritud keskkonda, kus neile pääsevad vajaduse korral juurde ainult teatud teenused.
Soovitame selle sisse lülitada, kui teie seade seda toetab.
Näpunäide.: Kui soovite selle kohta tehnilisi üksikasju, lugege teemat Kuidas Defender Credential Guard töötab.
Microsofti haavatavate draiverite blokeerimisloend
Draiver on tarkvara, mis võimaldab operatsioonisüsteemil (windowsil käesoleval juhul) ja seadmel (nagu klaviatuur või veebikaamera, kaks näidet) üksteisega rääkida. Kui seade soovib, et Windows teeks midagi, kasutab see selle taotluse saatmiseks draiverit. Seetõttu on draiveritel teie süsteemis palju tundlikku juurdepääsu.
Alates Windows 11 2022 värskendusest on meil nüüd blokeeritud loend draiveritest, millel on teadaolevad turbenõrkused, mis on allkirjastatud sertidega, mida on kasutatud ründevara allkirjastamiseks või mis väldivad Windowsi turve mudelit.
Kui teil on mälu terviklus, nutikate rakenduste juhtelement või Windows S-režiim sisse lülitatud, on haavatavate draiverite blokeerimisloend samuti sisse lülitatud.
