Eszközbiztonság a Windows biztonság alkalmazásban

Hatókör
Windows 11 Windows 10

A Windows biztonság alkalmazás Eszközbiztonság lapja a hardveralapú és operációs rendszer biztonsági funkcióinak kezelésével segít megvédeni windowsos eszközét, beleértve a biztonságos rendszerindítást, a magelkülönítést és a processzorszintű védelmet. Ezek a funkciók együttműködve védekeznek a kártevők, a belső vezérlőprogramokat érintő támadások és a rendszer biztonságának megtörése ellen. A lap a következő szakaszokra oszlik:

  • Védett maggal ellátott PC: Ha az eszköz egy védett maggal ellátott PC, akkor a védett maggal ellátott PC funkcióival kapcsolatos információkat jeleníti meg
  • Magelkülönítés: Itt konfigurálhatja a Windows-rendszermagot védő biztonsági funkciókat
  • Biztonsági processzor: Információt nyújt a platformmegbízhatósági modulnak (TPM) nevezett biztonsági processzorról
  • Biztonságos rendszerindítás: Ha a biztonságos rendszerindítás engedélyezve van, további információkat találhat róla
  • Adattitkosítás: Itt talál egy hivatkozást a Windows Gépházhoz, ahol konfigurálhatja az eszköztitkosítást és más BitLocker-beállításokat
  • Hardveres biztonsági képesség: Felméri az eszköz hardveres biztonsági funkcióit

A számítógépén a Windows biztonság DefenderApp alkalmazásában válassza az Eszközbiztonság lehetőséget, vagy használja az alábbi parancsikont:

Képernyőkép az eszköz biztonsági képernyőjéről a Windows biztonság alkalmazásban.

Védett maggal ellátott PC

A védett maggal ellátott számítógépek úgy vannak kialakítva, hogy a használatba vétel után fejlett biztonsági funkciókat nyújtsanak. Ezek a PC-k hardvert, belső vezérlőprogramot és szoftvert integrálnak, hogy robusztus védelmet nyújtsanak a kifinomult fenyegetésekkel szemben. 

A számítógépén a Windows biztonság DefenderApp alkalmazásában válassza az Eszközbiztonság>biztonsági részletei lehetőséget.

További információ: Windows 11 Biztonságos maggal ellátott PC-k.

Magelkülönítés

A magelkülönítés olyan biztonsági funkciókat biztosít, amelyek a memóriában való elkülönítéssel védik a Windows alapvető folyamatait a kártevő szoftverektől. Ezt úgy éri el, hogy ezeket az alapvető folyamatokat virtualizált környezetben futtatja. 

A számítógépén a Windows biztonság DefenderApp alkalmazásában válassza az Eszközbiztonság>Magelkülönítés részletei lehetőséget, vagy használja az alábbi parancsikont:

Megjegyzés

A Magelkülönítés lapon látható funkciók a futtatott Windows-verziótól és a telepített hardverösszetevőktől függően változhatnak.

Memóriaintegritás

A memóriaintegritás, más néven a hipervizorral védett kódintegritás (HVCI) egy Windows biztonsági szolgáltatás, amely megnehezíti, hogy a rosszindulatú programok alacsony szintű illesztőprogramok használatával eltérítsék a számítógépet.

Az illesztőprogram egy olyan szoftver, amely lehetővé teszi, hogy az operációs rendszer (ez esetben a Windows) és az eszköz (például billentyűzet vagy webkamera) kommunikáljon egymással. Amikor az eszköz azt szeretné, hogy a Windows műveleteket hajtson végre, az illesztőprogram segítségével elküldi a kérést.

A memóriaintegritás úgy működik, hogy hardvervirtualizáció segítségével létrehoz egy elkülönített környezetet.

Gondoljon rá úgy, mint egy biztonsági őrre egy zárt fülkében. Ez az elkülönített környezet (analógiánkban a zárolt fülke) megakadályozza, hogy egy támadó illetéktelenül módosítsa a memóriaintegritási funkciót. Annak a programnak, amely veszélyes kódrészletet szeretne futtatni, át kell adnia a kódot a virtuális fülkén belüli memóriaintegritásnak, hogy ellenőrizhető legyen. Amikor a memóriaintegritás meggyőződött arról, hogy a kód biztonságos, a kódot visszaadja a Windowsnak futtatásra. Ez általában nagyon gyorsan történik.

A memóriaintegritás nélkül a biztonsági őr kiemelkedik, ahol a támadók sokkal könnyebben beavatkozhatnak vagy szabotálhatják az őrt, így a rosszindulatú kódok könnyebben eljutnak mellette és problémákat okoznak.

A memóriaintegritás be- és kikapcsolásához használja a váltógombot.

Megjegyzés

A memóriaintegritás használatához engedélyezni kell a hardvervirtualizálást a rendszer UEFI-ben vagy BIOS-ában.

Mi a teendő, ha azt írja ki, hogy nem kompatibilis illesztőprogrammal rendelkezem?

Ha a memóriaintegritás nem kapcsol be, az azt jelentheti, hogy már telepítve van egy nem kompatibilis eszközillesztő. Ellenőrizze az eszköz gyártójánál, hogy van-e elérhető frissített illesztőprogram. Ha nem áll rendelkezésre kompatibilis illesztőprogram, előfordulhat, hogy el tudja távolítani az adott nem kompatibilis illesztőprogramot használó eszközt vagy alkalmazást.

Megjegyzés

Ha nem kompatibilis illesztőprogrammal rendelkező eszközt próbál telepíteni a memóriaintegritás bekapcsolása után, ugyanezt az üzenetet kaphatja. Ilyen esetben ugyanaz a tanács érvényes – egyeztessen az eszköz gyártójával, hogy van-e frissített illesztőprogram, amelyet letölthet, vagy ne telepítse az adott eszközt, amíg nem áll rendelkezésre kompatibilis illesztőprogram.

Rendszermag módú hardveres kényszerítésű veremvédelem

A hardveres kényszerítésű veremvédelem egy hardveralapú biztonsági szolgáltatás, amely megnehezíti, hogy a rosszindulatú programok alacsony szintű illesztőprogramok használatával eltérítsék a számítógépet.

Az illesztőprogram egy olyan szoftver, amely lehetővé teszi, hogy az operációs rendszer (ez esetben a Windows) és az eszköz (például billentyűzet vagy webkamera) kommunikáljon egymással. Amikor az eszköz azt szeretné, hogy a Windows műveleteket hajtson végre, az illesztőprogram segítségével elküldi a kérést.

A hardveres kényszerítésű veremvédelem megakadályozza azokat a támadásokat, amelyek a kernelmódú memóriában lévő visszatérési címeket módosítva kártékony kódot indítanak el. Ehhez a biztonsági funkcióhoz olyan processzorra van szükség, amely képes ellenőrizni a futó kód visszatérési címét.

Amikor rendszermag módban hajt végre kódot, a rendszermag módú veremben található visszatérési címeket megrongálhatják a rosszindulatú programok vagy illesztőprogramok, hogy a normál kódfuttatást rosszindulatú kódba irányítsák át. A támogatott CPU-kon a processzor fenntart egy második másolatot az érvényes visszatérési címekről egy írásvédett árnyékveremben, amelyet az illesztőprogramok nem módosíthatnak. Ha a normál verem egyik feladói címe módosult, a CPU észlelheti ezt az eltérést a visszatérési cím másolatának az árnyékveremben. Ha ez az eltérés jelentkezik, a számítógép leállási hibát, más néven kék képernyőt jelenít meg, hogy megakadályozza a rosszindulatú kód végrehajtását.

Nem minden illesztőprogram kompatibilis ezzel a biztonsági szolgáltatással, mivel kevés jogszerű illesztőprogram módosítja a válaszcímet nem rosszindulatú célokból. A Microsoft számos illesztőprogram-kiadóval együttműködve próbálja biztosítani, hogy a legújabb illesztőprogramok kompatibilisek legyenek a hardveres kényszerítésű veremvédelemmel.

A hardveres kényszerített veremvédelmet a váltógombbal kapcsolhatod be vagy ki.

A hardveres kényszerítésű veremvédelem használatához engedélyeznie kell a memóriaintegritást, és olyan processzort kell futtatnia, amely támogatja az Intel Control-Flow Enforcement Technology vagy az AMD Shadow Stack technológiát.

Mi a teendő, ha azt írja ki, hogy nem kompatibilis illesztőprogrammal vagy szolgáltatással rendelkezem?

Ha a hardveres kényszerítésű veremvédelem nem kapcsol be, előfordulhat, hogy már telepítve van egy nem kompatibilis eszközillesztő vagy szolgáltatás. Érdeklődjön az eszköz gyártójánál vagy az alkalmazás kiadójánál, hogy van-e elérhető frissített illesztőprogram. Ha nem áll rendelkezésre kompatibilis illesztőprogram, előfordulhat, hogy el tudja távolítani az adott illesztőprogramot használó eszközt vagy alkalmazást.

Előfordulhat, hogy egyes alkalmazások az illesztőprogram helyett szolgáltatást telepítenek az alkalmazás telepítése során, és csak az alkalmazás elindításakor telepítik az illesztőprogramot. A nem kompatibilis illesztőprogramok pontosabb észlelése érdekében a rendszer felsorolja azokat a szolgáltatásokat is, amelyekről ismert, hogy nem kompatibilis illesztőprogramokkal társíthatók.

Megjegyzés

Ha nem kompatibilis illesztőprogrammal rendelkező eszközt vagy alkalmazást próbál telepíteni a hardveres kényszerítésű veremvédelem bekapcsolása után, ugyanez az üzenet jelenhet meg. Ilyen esetben ugyanaz a tanács érvényes: forduljon az eszköz gyártójához vagy az alkalmazás kiadójához, hogy van-e friss illesztőprogram, amelyet letölthet, vagy ne telepítse az adott eszközt vagy alkalmazást, amíg nem áll rendelkezésre kompatibilis illesztőprogram.

Memória-hozzáférés védelme

A kernel DMA-védelme néven is ismert biztonsági szolgáltatás megvédi az eszközt azoktól a támadásoktól, amelyek akkor fordulhatnak elő, ha egy rosszindulatú eszköz csatlakozik egy Peripheral Component Interconnect (PCI) porthoz, például egy Thunderbolt-porthoz.

Egyszerű példa az ilyen támadásokra, amikor valaki otthagyja a számítógépét egy kávészünetre, és amíg a támadó távol van, közbelép, csatlakoztat egy USB-szerű eszközt, és a gépről származó bizalmas adatokkal elsétál, vagy kártevőt injektál, amely lehetővé teszi számára, hogy távolról irányítsa a számítógépet. 

A memória-hozzáférés elleni védelem megakadályozza az ilyen típusú támadásokat azáltal, hogy megtagadja a memóriához való közvetlen hozzáférést az érintett eszközök számára, kivéve különleges körülmények esetén, különösen amikor a számítógép zárolva van, vagy a felhasználó ki van jelentkezve.

Tipp:

További információ: Kernel DMA-védelem.

Belső vezérlőprogram védelme

Minden eszközön van valamilyen szoftver, amelyet az eszköz írásvédett memóriájába – alapvetően az alaplapon lévő lapkára írtak –, amely az eszköz alapvető funkcióihoz használható, ilyen például az általunk használt összes alkalmazást futtató operációs rendszer betöltése. Mivel ezt a szoftvert nehéz (de nem lehetetlen) módosítani, belső vezérlőprogramnak nevezzük.

Mivel a belső vezérlőprogram töltődik be először, és az operációs rendszer alatt fut, az abban futó biztonsági eszközök és funkciók nehezen tudják észlelni és megvédeni az operációs rendszert. Mint egy háznak, amelynek biztonsága jó alapoktól függ, a számítógépnek is szüksége van a belső vezérlőprogramra, hogy biztonságos legyen, hogy a számítógépen lévő operációs rendszer, alkalmazások és adatok biztonságban legyenek.

A Rendszerőr egy olyan szolgáltatáskészlet, amely segít biztosítani, hogy a támadók ne tudják az eszközt elindítani nem megbízható vagy kártékony belső vezérlőprogrammal.

A belső vezérlőprogram-védelmet kínáló platformok általában a Rendszerkezelési módot (SMM) is védik, amely egy magas szintű jogosultságokkal rendelkező működési mód, különböző mértékben. A következő három érték egyikére számíthat, ahol a magasabb szám magasabb SMM-védelmet jelez:

  • Az eszköz megfelel az első verziójú belső vezérlőprogram-védelemnek: ez alapvető biztonsági megoldásokat kínál, amelyek segítenek az SMM-nek ellenállni a kártevők általi kihasználásnak, és megakadályozza a titkok kiszivárgását az operációs rendszerből (beleértve a VBS-t is)
  • Az eszköz megfelel a belső vezérlőprogram-védelem második verziójának: a belső vezérlőprogram-védelem első verzióján túl a második verzió biztosítja, hogy az SMM ne tudja letiltani a virtualizálásalapú biztonságot (VBS) és a kernel DMA-védelmét
  • Az eszköz megfelel a harmadik verziójú belső vezérlőprogram-védelemnek: a második verziójú belső vezérlőprogram-védelem mellett tovább szigorítja az SMM-et azáltal, hogy megakadályozza a hozzáférést bizonyos regiszterekhez, amelyek képesek feltörni az operációs rendszert (beleértve a VBS-t is)

A helyi biztonsági szervezet védelme

A helyi biztonsági szervezet (LSA) védelme a Windows egy biztonsági funkciója, amely segít megelőzni a Windowsba való bejelentkezéshez használt hitelesítő adatok ellopását.   

A helyi biztonsági szervezet (LSA) kulcsfontosságú folyamat a Windowsban, amely szerepet játszik a felhasználóhitelesítésben. Felelős a hitelesítő adatok ellenőrzéséért a bejelentkezési folyamat során, valamint a szolgáltatásokba való egyszeri bejelentkezés engedélyezéséhez használt hitelesítési jogkivonatok és jegyek kezeléséért. Az LSA-védelem segít megakadályozni, hogy nem megbízható szoftverek fussanak az LSA-n belül, vagy hozzáférjenek az LSA-memóriához.  

Hogyan kezelhetem a helyi biztonsági szervezet védelmét?

Az LSA-védelmet a váltógombbal kapcsolhatja be vagy ki.

A beállítás módosítása után az érvénybe léptetéshez újra kell indítania a rendszert. 

Megjegyzés

A hitelesítő adatok biztonságának megőrzése érdekében az LSA-védelem alapértelmezés szerint engedélyezve van az összes eszközön. Új telepítések esetén azonnal engedélyezve lesz. A frissítések az újraindítás után, öt napos próbaidőszak elteltével engedélyezettek.

Mi a teendő, ha nem kompatibilis szoftverrel rendelkezem?

Ha az LSA-védelem engedélyezve van, és az blokkolja a szoftverek LSA-szolgáltatásba való betöltését, értesítés jelzi a letiltott fájlt. Lehet, hogy el tudja távolítani a fájlt betöltő szoftvert, vagy le is tilthatja a fájl jövőbeli figyelmeztetéseit, amikor a fájl LSA-ba való betöltése le van tiltva.  

Credential Guard

Megjegyzés

A Credential Guard a Windows Enterprise vagy Education verzióit futtató eszközökön érhető el.

Miközben a munkahelyi vagy iskolai eszközét használja, az csendben bejelentkezik és hozzáfér a szervezeten belüli különféle dolgokhoz, például fájlokhoz, nyomtatókhoz, appokhoz és más erőforrásokhoz. Ez a folyamat biztonságos, ugyanakkor egyszerű a felhasználó számára, ami azt jelenti, hogy a számítógépen bármikor számos hitelesítési jogkivonat található.

Ha a támadó hozzá tud férni egy vagy több tokenhez, akkor előfordulhat, hogy arra használhatja azokat, hogy hozzáférést szerezzen ahhoz a szervezeti erőforráshoz (bizalmas fájlok stb.), amelyekhez a jogkivonat tartozik. A Credential Guard úgy segít megvédeni ezeket a tokeneket, hogy egy védett, virtualizált környezetbe helyezi őket, ahol csak bizonyos szolgáltatások férhetnek hozzájuk, ha szükséges.

Tipp:

További információért lásd: Hogyan működik a Credential Guard.

A Microsoft sebezhető illesztőprogram-tiltólistája

Az illesztőprogram egy olyan szoftver, amely lehetővé teszi, hogy az operációs rendszer (ez esetben a Windows) és az eszköz (például billentyűzet vagy webkamera) kommunikáljon egymással. Amikor az eszköz azt szeretné, hogy a Windows műveleteket hajtson végre, az illesztőprogram segítségével elküldi a kérést. Emiatt az illesztőprogramok sok bizalmas hozzáféréssel rendelkeznek a rendszerben.

A Windows 11 tartalmazza az ismert biztonsági résekkel rendelkező illesztőprogramok tiltólistáját, amelyeket kártevők aláírására használt tanúsítványokkal írtak alá, vagy amelyek megkerülik a Windows biztonsági modellt.

Ha be van kapcsolva a memóriaintegritás, az intelligens alkalmazáskezelés vagy a Windows S mód, a sebezhető illesztőprogram-tiltólista is be lesz kapcsolva.

Megjegyzés

Ha megjelenik a Programkompatibilitási segéd szalagcíme, amely azt jelzi, hogy az illesztőprogram nem tölthető be, vagy hogy egy biztonsági beállítás megakadályozza az illesztőprogram betöltését, akkor keressen friss illesztőprogramokat a Windows Update vagy az Eszközkezelő webhelyen keresztül. Ha nem állnak rendelkezésre frissítések, frissített illesztőprogramért lépjen kapcsolatba a hardver gyártójával.

Biztonsági processzor

A biztonsági processzor beállításai a Windows biztonság alkalmazás Eszközbiztonság lapján találhatók, és részletesen ismertetik az eszközön található platformmegbízhatósági modult (TPM). A TPM egy hardverösszetevő, amely titkosítási műveletek végrehajtásával fokozza a biztonságot.

Megjegyzés

Ha nem jelenik meg a biztonsági processzor bejegyzés ezen a képernyőn, akkor valószínű, hogy az eszköz nem rendelkezik a TPM (platformmegbízhatósági modul) hardverrel a szolgáltatáshoz, vagy az nincs engedélyezve az UEFI (Unified Extensible Firmware Interface) felületen. Az eszköz gyártójával egyeztesse, hogy az eszköz támogatja-e a TPM-et, és ha igen, az engedélyezésének lépéseit is.

A biztonsági processzor részletei

Itt találja a biztonsági processzor gyártójával és verziószámával kapcsolatos adatokat, illetve a biztonsági processzor állapotával kapcsolatos információkat.

A számítógépén a Windows biztonság DefenderApp alkalmazásában válassza az Eszközbiztonság>A biztonsági processzor részletei lehetőséget, vagy használja az alábbi parancsikont:

Biztonsági processzor hibaelhárítása

Ha a biztonsági processzor nem működik megfelelően, válassza a biztonsági processzor hibaelhárítási hivatkozását a hibaüzenetek és a speciális beállítások megtekintéséhez, vagy használja az alábbi parancsikont:

A biztonsági processzor hibaelhárítási lapja a TPM-mel kapcsolatos hibaüzeneteket tartalmazza. Az alábbi lista tartalmazza a hibaüzeneteket és a részleteket:

Message (Üzenet) Részletek
Frissíteni kell a biztonsági processzor (TPM) belső vezérlőprogramját. Úgy tűnik, hogy az eszköz alaplapja jelenleg nem támogatja a TPM-et, de egy belső vezérlőprogram frissítése megoldhatja a problémát. Ellenőrizze az eszköz gyártójánál, hogy elérhető-e a belső vezérlőprogram frissítése, és hogy hogyan kell azt telepíteni. A vezérlőprogramok frissítése általában ingyenes.
A TPM-eszköz le van tiltva és beavatkozást igényel. A platformmegbízhatósági modul valószínűleg ki van kapcsolva a rendszer-BIOS-ban (Basic Input/Output System) vagy az UEFI-ben (Unified Extensible Firmware Interface). A funkció bekapcsolására vonatkozó utasításokért tekintse meg az eszköz gyártójának támogatási dokumentációját, vagy forduljon a gyártó technikai támogatási szolgálatához.
A TPM-tárterület nem érhető el. Kérjük, törölje a TPM-et. A TPM törlése gomb ezen a lapon található. A folytatás előtt érdemes gondoskodnia arról, hogy biztonsági másolatot készítsen adatairól.
Az Eszközállapot-igazolás nem érhető el. Kérjük, törölje a TPM-et. A TPM törlése gomb ezen a lapon található. A folytatás előtt érdemes gondoskodnia arról, hogy biztonsági másolatot készítsen adatairól.
Az Eszközállapot-igazolás nem támogatott ezen az eszközön. Ez azt jelenti, hogy az eszköz nem ad elegendő információt annak megállapításához, hogy miért nem működik megfelelően a TPM az eszközön.
A TPM-eszköz nem kompatibilis a belső vezérlőprogrammal, és előfordulhat, hogy nem működik megfelelően. Ellenőrizze az eszköz gyártójával, hogy elérhető-e a belső vezérlőprogram frissítése, és hogy hogyan szerezheti be és telepítheti. A vezérlőprogramok frissítése általában ingyenes.
Hiányzik a TPM mért rendszerindítási naplója. Próbálja meg újraindítani az eszközt.
Probléma merült fel a TPM-mel kapcsolatban. Próbálja meg újraindítani az eszközt.

Ha egy hiba kijavítását követően továbbra is problémákat tapasztal, forduljon az eszköz gyártójához segítségért.

A TPM törlése lehetőség kiválasztásával visszaállíthatja a biztonsági processzor alapértelmezett beállításait.

Figyelem

Gondoskodjon az adatok mentéséről, mielőtt törli a TPM-et.

Biztonságos rendszerindítás

A biztonságos rendszerindítás megakadályozza, hogy a legkifinomultabb és veszélyes típusú kártevők, a rootkitek – betöltődjenek az eszköz indításakor. A rootkitek azonos szintű engedélyekkel rendelkeznek, mint az operációs rendszer, és mivel annak elindulása előtt indulnak el, így teljes mértékben képesek elrejteni magukat. A rootkitek általában egy kártékony szoftvercsomag részeként vannak jelen, így képesek megkerülni a bejelentkezést, rögzíthetik a jelszavakat és a billentyűleütéseket, továbbíthatják a személyes fájlokat, illetve kriptográfiai adatokat is rögzíthetnek.

Bizonyos videokártyák, hardverek vagy operációs rendszerek, például a Linux vagy a Windows korábbi verzióinak futtatásához le kell tiltania a biztonságos rendszerindítást.

További információ: Biztonságos rendszerindítás.

Hardveres biztonsági képességek

Az eszközbiztonság lap utolsó szakasza az eszköz biztonsági képességeire utaló információkat tartalmazza. Az üzenetek listája és részletei az alábbi:

Message (Üzenet) Részletek
Az eszköz megfelel a szabványos hardverbiztonsági követelményeknek. Ez azt jelenti, hogy az eszköz támogatja a memóriaintegritást és a magelkülönítést, illetve rendelkezik a következőkkel:
  • TPM 2.0 (más néven biztonsági processzor)
  • A biztonságos rendszerindítás engedélyezve van
  • DEP
  • UEFI MAT
Az eszköz megfelel a fokozott hardverbiztonsági követelményeknek. Ez azt jelenti, hogy azon túl, hogy az eszköz megfelel a szabványos hardverbiztonsági követelményeknek, a memóriaintegritás is be van kapcsolva rajta.
Az eszközön engedélyezve van minden Secured-core PC-funkció. Ez azt jelenti, hogy azon túl, hogy az eszköz megfelel a fokozott hardverbiztonsági követelményeknek, a Rendszerkezelési üzemmód (SMM) is be van rajta kapcsolva.
A szabványos hardverbiztonság nem támogatott. Ez azt jelenti, hogy az eszköz legalább egy szabványos hardverbiztonsági követelménynek nem felel meg.

Megjegyzés

  • A hardveres biztonság javítása
  • Ha nincs megelégedve az eszköz biztonsági képességeivel, előfordulhat, hogy be kell kapcsolnia bizonyos hardverfunkciókat (például a biztonságos rendszerindítást, ha támogatott), vagy módosítania kell a beállításokat a rendszer BIOS-ában. Érdeklődje meg a hardver gyártójától, hogy a hardvere mely funkciókat támogatja, és ezeket hogyan tudja aktiválni.

PC-kezelő

A PC-kezelő logója Ebben a forgatókönyvben az PC-kezelő alkalmazás is hasznos lehet. További információért lásd: Microsoft PC-kezelő.
Megjegyzés: A Microsoft PC-kezelő nem érhető el minden területen.