Ydineristys on Microsoft Windowsin suojausominaisuus, joka suojaa Tärkeitä Windowsin prosesseja haittaohjelmilta eristämällä ne muistiin. Se tekee tämän suorittamalla nämä ydinprosessit virtualisoidussa ympäristössä.
Huomautus: Se, mitä näet ytimen eristyssivulla, voi vaihdella hieman sen mukaan, mikä Windows-versio sinulla on käytössä.
Muistin eheys
Muistin eheys, joka tunnetaan myös nimellä Hypervisor-suojattu koodin eheys (HVCI), on Windowsin suojausominaisuus, jonka vuoksi haittaohjelmien on vaikea käyttää matalan tason ohjaimia tietokoneen kaappaamiseen.
Ohjain on ohjelmisto, jonka avulla käyttöjärjestelmä (tässä tapauksessa Windows) ja laite (esimerkiksi näppäimistö tai verkkokamera) voivat keskustella keskenään. Kun laite haluaa Windowsin tekevän jotain, se käyttää ohjainta pyynnön lähettämiseen.
Vihje: Haluatko lisätietoja ohjaimista? Katso Mikä on ohjain?
Muistin eheys toimii luomalla eristetyn ympäristön laitteiston virtualisoinnin avulla.
Ajattele sitä kuin vartijaa lukitussa kopissa. Tämä eristetty ympäristö (analogiamme lukittu koppi) estää hyökkääjää peukaloimasta muistin eheysominaisuutta. Ohjelman, joka haluaa suorittaa koodin, joka voi olla vaarallinen, on välitettävä koodi muistin eheyteen kyseisessä virtuaalikopissa, jotta se voidaan vahvistaa. Kun muistin eheys on varma siitä, että koodi on turvallinen, se palauttaa koodin Windowsiin suoritettavaksi. Tämä tapahtuu yleensä hyvin nopeasti.
Ilman muistin eheyden suorittamista "vartija" erottuu suoraan avoimesta, jossa hyökkääjän on paljon helpompi häiritä tai sabotoida vartijaa, mikä helpottaa haitallisen koodin hiipimistä ohi ja aiheuttaa ongelmia.
Ohjevalikko hallita muistin eheyttä?
Useimmissa tapauksissa muistin eheys on oletusarvoisesti käytössä Windows 11, ja se voidaan ottaa käyttöön Windows 10.
Voit ottaa sen käyttöön tai poistaa sen käytöstä seuraavasti:
-
Valitse aloituspainike ja kirjoita "Ytimen eristys".
-
Avaa Windowsin suojaussovellus valitsemalla ytimen eristysjärjestelmän asetukset hakutuloksista.
Ytimen eristyssivulla on muistin eheys sekä vaihtopainike, jolla se otetaan käyttöön tai poistetaan käytöstä.
Tärkeää: Turvallisuuden vuoksi suosittelemme, että muistin eheys on käytössä.
Jotta voit käyttää muistin eheyttä, järjestelmän UEFI- tai BIOS-laitteissa on oltava käytössä laitteiston virtualisointi.
Entä jos siinä lukee, että minulla on yhteensopimaton ohjain?
Jos muistin eheys ei käynnisty, se saattaa kertoa, että sinulla on jo asennettuna yhteensopimaton laiteohjain. Tarkista laitteen valmistajalta, onko saatavilla päivitettyä ohjainta. Jos heillä ei ole yhteensopivaa ohjainta käytettävissä, voit ehkä poistaa laitteen tai sovelluksen, joka käyttää kyseistä yhteensopimatonta ohjainta.
Huomautus: Jos yrität asentaa laitteen, jossa on yhteensopimaton ohjain, otettuasi käyttöön muistin eheyden, saatat nähdä saman viestin. Jos näin on, samat neuvot koskevat : tarkista laitteen valmistajalta, onko heillä päivitettyä ohjainta, jonka voit ladata, tai älä asenna kyseistä laitetta, ennen kuin yhteensopiva ohjain on saatavilla.
Muistin käytön suojaus
Ytimen DMA-suojaus suojaa laitetta hyökkäyksiltä, joita voi ilmetä, kun haitallinen laite on kytketty PCI (Peripheral Component Interconnect) -porttiin, kuten Thunderbolt-porttiin.
Yksinkertainen esimerkki näistä hyökkäyksistä olisi, jos joku lähtee tietokoneestaan pikakahvitauolle, ja kun hän oli poissa, hyökkääjä astuu sisään, kytkee USB:n kaltaisen laitteen ja kävelee pois laitteen arkaluontoisten tietojen kanssa tai lisää haittaohjelmia, joiden avulla hän voi hallita tietokonetta etäyhteyden kautta.
Muistin käytön suojaus estää tällaiset hyökkäykset estämällä suoran pääsyn muistiin kyseisissä laitteissa, paitsi erityisissä olosuhteissa, erityisesti silloin, kun tietokone on lukittu tai käyttäjä on kirjautunut ulos.
Suosittelemme, että muistin käytön suojaus on käytössä.
Vihje: Lisätietoja tästä on ohjeaiheessa Ytimen DMA-suojaus.
Laiteohjelmistosuojaus
Jokaisessa laitteessa on ohjelmistoja, jotka on kirjoitettu laitteen vain luku -muistiin - joka on periaatteessa kirjoitettu piirille järjestelmätaulussa - jota käytetään laitteen perustoimintoihin, kuten käyttöjärjestelmän lataamiseen, joka käyttää kaikkia sovelluksia, joita olemme tottuneet käyttämään. Koska ohjelmiston muokkaaminen on vaikeaa (mutta ei mahdotonta), kutsumme sitä laiteohjelmistoksi.
Koska laiteohjelmisto latautuu ensin ja toimii käyttöjärjestelmässä, käyttöjärjestelmän suojaustyökalujen ja -ominaisuuksien on vaikea havaita sitä tai puolustautua sitä vastaan. Kuten talo, joka on riippuvainen hyvästä suojauksesta, tietokone tarvitsee laiteohjelmistonsa suojauksen varmistaakseen, että tietokoneen käyttöjärjestelmä, sovellukset ja asiakastiedot ovat turvassa.
Windows Defender Järjestelmäsuoja on joukko ominaisuuksia, joiden avulla voidaan varmistaa, että hyökkääjät eivät saa laitettasi käynnistymään epäluotetettavalla tai haitallisella laiteohjelmistolla.
Suosittelemme, että otat sen käyttöön, jos laitteesi tukee sitä.
Laiteohjelmistosuojausta tarjoavat ympäristöt suojaavat yleensä myös järjestelmänhallintatilaa (SMM), joka on erittäin etuoikeutettu käyttötila, vaihtelevilla asteilla. Voit odottaa jompaakumpaa kolmesta arvosta, ja suurempi luku ilmaisee suuremman SMM-suojauksen:
-
Laitteesi täyttää laiteohjelmistosuojausversion 1: tämä tarjoaa perustavan suojauksen lieventämisen, joka auttaa SMM:ää vastustamaan haittaohjelmien hyödyntämistä ja estää käyttöjärjestelmän (mukaan lukien VBS) salaisuuksien suodatuksen.
-
Laitteesi täyttää laiteohjelmistosuojauksen version 2: laiteohjelmistosuojausversion 1 lisäksi versio 2 varmistaa, että SMM ei voi poistaa virtualisointipohjaista suojausta (VBS) ja ydin-DMA-suojausta käytöstä
-
Laitteesi täyttää laiteohjelmistosuojauksen version 3: laiteohjelmistosuojauksen version 2 lisäksi se koventaa SMM:ää entisestään estämällä pääsyn tiettyihin rekistereihin, jotka voivat vaarantaa käyttöjärjestelmän (mukaan lukien VBS)
Vihje: Jos haluat lisätietoja tästä, katso Windows Defender Järjestelmäsuoja: Miten laitteistopohjainen luottamuksen pää auttaa suojaamaan Windowsia
Microsoft Defender Credential Guard
Huomautus: Microsoft Defender Credential Guard näkyy vain laitteissa, joissa on Windows 10 tai 11 enterprise-versio.
Kun käytät työpaikan tai oppilaitoksen tietokonetta, se kirjautuvat hiljaisesti sisään ja pääsevät käsiksi erilaisiin asioihin, kuten tiedostoihin, tulostimiin, sovelluksiin ja muihin organisaation resursseihin. Tämän prosessin suojaaminen tarkoittaa, että tietokoneessasi on useita todennustunnuksia (kutsutaan usein "salaisuuksiksi") milloin tahansa.
Jos hyökkääjä voi käyttää yhtä tai useampaa näistä salaisuuksista, hän voi ehkä käyttää niitä saadakseen käyttöönsä organisaation resurssin (luottamukselliset tiedostot jne.), jota varten salaisuus on. Microsoft Defender Credential Guard auttaa suojaamaan näitä salaisuuksia sijoittamalla ne suojattuun, virtualisoituun ympäristöön, jossa vain tietyt palvelut voivat käyttää niitä tarvittaessa.
Suosittelemme, että otat sen käyttöön, jos laitteesi tukee sitä.
Vihje: Lisätietoja tästä on ohjeaiheessa Defender Credential Guardin toiminta.
Microsoft Vulnerable Driver Blocklist
Ohjain on ohjelmisto, jonka avulla käyttöjärjestelmä (tässä tapauksessa Windows) ja laite (esimerkiksi näppäimistö tai verkkokamera) voivat keskustella keskenään. Kun laite haluaa Windowsin tekevän jotain, se käyttää ohjainta pyynnön lähettämiseen. Tämän vuoksi ohjaimilla on paljon luottamuksellisia käyttöoikeuksia järjestelmässäsi.
Windows 11 2022 -päivityksestä alkaen meillä on nyt estetty luettelo ohjaimista, joilla on tunnettuja tietoturva-aukkoja, jotka on allekirjoitettu haittaohjelmien allekirjoittamiseen käytetyillä varmenteilla tai jotka kiertävät Windowsin suojaus-mallia.
Jos sinulla on muistin eheys, Smart App Control tai Windows S mode käytössä, myös haavoittuvan ohjaimen estoluettelo on käytössä.
