A magelkülönítés a Microsoft Windows biztonsági funkciója, amely védelmet nyújt a Windows fontos alapvető folyamatainak a rosszindulatú szoftverektől azáltal, hogy elkülöníti őket a memóriából. Ezt úgy teszi, hogy virtualizált környezetben futtatja ezeket az alapvető folyamatokat.
Megjegyzés: A Magelkülönítés lapon megjelenő adatok a futtatott Windows-verziótól függően változhatnak.
Memóriaintegritás
A memória integritása, más néven hipervizor által védett kódintegritás (HVCI) egy Windows biztonsági funkció, amely megnehezíti a rosszindulatú programok számára, hogy alacsony szintű illesztőprogramokat használjanak a számítógép eltérítéséhez.
Az illesztőprogram olyan szoftver, amely lehetővé teszi, hogy az operációs rendszer (ebben az esetben a Windows) és egy eszköz (például billentyűzet vagy webkamera, két példa) beszéljen egymással. Amikor az eszköz azt szeretné, hogy a Windows tegyen valamit, az illesztőprogramot használja a kérés elküldéséhez.
Tipp: Szeretne többet megtudni az illesztőprogramokról? Lásd: Mi az illesztőprogram?
A memória integritása egy elkülönített környezet hardvervirtualizálással történő létrehozásával működik.
Gondolj úgy, mint egy biztonsági őrre egy zárt fülkében. Ez az izolált környezet (a hasonlatunkban a zárolt fülke) megakadályozza, hogy a támadó illetéktelenül módosítsa a memória integritási funkcióját. Egy olyan programnak, amely veszélyes kódrészletet szeretne futtatni, át kell adnia a kódot a virtuális standon belüli memóriaintegritásnak, hogy ellenőrizhető legyen. Ha a memória integritása kényelmes, hogy a kód biztonságos, a kódot visszaküldi a Windowsnak a futtatáshoz. Ez általában nagyon gyorsan történik.
A memóriaintegritás futtatása nélkül a "biztonsági őr" közvetlenül a szabadban áll, ahol a támadók sokkal egyszerűbben zavarhatják vagy szabotálhatják az őrt, így a rosszindulatú kódok könnyebben átugranak és problémákat okoznak.
Hogyan kezeli a memória integritását?
A legtöbb esetben a memória integritása alapértelmezés szerint be van kapcsolva Windows 11, és bekapcsolható Windows 10.
Be- és kikapcsolásához:
-
Válassza a Start gombot, és írja be a "Magelkülönítés" kifejezést.
-
Válassza ki a központi elkülönítési rendszer beállításait a keresési eredmények közül a Windows biztonsági alkalmazás megnyitásához.
A Magelkülönítés oldalon a Memória integritása elem mellett a kapcsolóval is be- vagy kikapcsolhatja azt.
Fontos: A biztonság érdekében javasoljuk, hogy kapcsolja be a memória integritását.
A memóriaintegritás használatához engedélyeznie kell a hardvervirtualizálást a rendszer UEFI-jében vagy BIOS-ában.
Mi van, ha azt írják, hogy nem kompatibilis illesztőprogramom van?
Ha a memóriaintegritás nem kapcsol be, előfordulhat, hogy már telepítve van egy nem kompatibilis eszközillesztő. Kérdezze meg az eszköz gyártóját, hogy elérhető-e frissített illesztőprogram. Ha nem rendelkezik elérhető kompatibilis illesztőprogramkal, előfordulhat, hogy eltávolíthatja azt az eszközt vagy alkalmazást, amely ezt a nem kompatibilis illesztőprogramot használja.
Megjegyzés: Ha a memóriaintegritás bekapcsolása után inkompatibilis illesztőprogrammal próbál telepíteni egy eszközt, ugyanez az üzenet jelenhet meg. Ha igen, ugyanez a tanács érvényes – kérdezze meg az eszköz gyártóját, hogy rendelkezik-e frissített illesztőprogrammal, amelyet letölthet, vagy nem telepítheti az adott eszközt, amíg el nem érhető egy kompatibilis illesztőprogram.
Memóriahozzáférés elleni védelem
Ez a "Kernel DMA-védelem" néven is ismert, védelmet nyújt az eszköznek az olyan támadások ellen, amelyek akkor fordulhatnak elő, ha egy rosszindulatú eszközt egy PCI-porthoz (perifériaösszetevő-összekapcsoláshoz) csatlakoztatnak, például egy Thunderbolt-porthoz.
Az ilyen támadások egyik egyszerű példája az lenne, ha valaki elhagyja a számítógépét egy gyors kávészünetre, és amíg távol volt, a támadó belép, csatlakoztat egy USB-szerű eszközt, és elsétál a gépről származó bizalmas adatokkal, vagy olyan kártevőket szúr be, amelyek lehetővé teszik a számítógép távoli vezérlését.
A memóriahozzáférés elleni védelem megakadályozza az ilyen típusú támadásokat azáltal, hogy megtagadja a memóriához való közvetlen hozzáférést ezekhez az eszközökhöz, kivéve különleges körülmények között, különösen akkor, ha a számítógép zárolva van , vagy a felhasználó kijelentkezett.
Javasoljuk, hogy kapcsolja be a memóriahozzáférés elleni védelmet.
Tipp: Ha további technikai részletekre van szüksége ezzel kapcsolatban, tekintse meg a Kernel DMA Protection című cikket.
Belső vezérlőprogram-védelem
Minden eszköz rendelkezik olyan szoftverrel, amelyet az eszköz írásvédett memóriájára írtak – alapvetően a rendszertáblán lévő chipre – az eszköz alapvető funkcióihoz, például az összes használt alkalmazást futtató operációs rendszer betöltéséhez. Mivel ez a szoftver nehéz (de nem lehetetlen) módosítani azt nevezzük , mint belső vezérlőprogram.
Mivel a belső vezérlőprogram először betöltődik, és az operációs rendszer alatt fut, az operációs rendszerben futó biztonsági eszközöknek és funkcióknak nehéz észlelni vagy védeniük kell azt. A megfelelő alaptól függő házhoz hasonlóan a számítógépnek is szüksége van a belső vezérlőprogramjának biztonságára annak érdekében, hogy az adott számítógépen található operációs rendszer, alkalmazások és ügyféladatok biztonságban legyenek.
Windows Defender Rendszerőr olyan funkciók készlete, amelyek segítenek biztosítani, hogy a támadók ne tudják az eszközt nem megbízható vagy rosszindulatú belső vezérlőprogramokkal kezdeni.
Javasoljuk, hogy kapcsolja be, ha az eszköz támogatja.
A belső vezérlőprogram-védelmet biztosító platformok általában eltérő mértékben védik a rendszerfelügyeleti módot (SMM), a magas szintű jogosultsági szintű üzemmódot. A három érték közül az egyikre számíthat, nagyobb számmal, amely nagyobb fokú SMM-védelmet jelez:
-
Az eszköz megfelel a belső vezérlőprogram-védelem első verziójának: ez biztosítja az alapvető biztonsági kockázatcsökkentéseket, amelyek segítenek az SMM-nek ellenállni a kártevők általi kizsákmányolásnak, és megakadályozza a titkos kódok kiszivárgását az operációs rendszerből (beleértve a VBS-t is)
-
Az eszköz megfelel a belsővezérlőprogram-védelem második verziójának: az első verziójú belsővezérlőprogram-védelem mellett a második verzió biztosítja, hogy az SMM ne tiltsa le a Virtualization-alapú biztonság (VBS) és a kernel DMA-védelmét
-
Az eszköz megfelel a belsővezérlőprogram-védelem harmadik verziójának: a belsővezérlőprogram-védelem második verzióján kívül tovább fokozza az SMM-et azáltal, hogy megakadályozza az operációs rendszert veszélyeztető bizonyos regiszterekhez való hozzáférést (beleértve a VBS-t is)
Tipp: Ha további technikai részletekre van szüksége ezzel kapcsolatban, tekintse meg a Windows Defender Rendszerőr: Hogyan segít a Windows védelmében egy hardveralapú megbízhatósági gyöker?
Microsoft Defender Credential Guard
Megjegyzés: Microsoft Defender Credential Guard csak a Windows 10 enterprise vagy 11 verzióját futtató eszközökön jelenik meg.
Miközben a munkahelyi vagy iskolai számítógépét használja, a rendszer csendesen bejelentkezik, és hozzáférést kap a szervezet különböző fájljaihoz, nyomtatóihoz, alkalmazásaihoz és egyéb erőforrásaihoz. A folyamat biztonságossá tétele, de a felhasználó számára is egyszerűvé tétele azt jelenti, hogy a számítógépen számos hitelesítési jogkivonat (más néven "titkos kód") található.
Ha egy támadó hozzáférhet egy vagy több ilyen titkos kulcshoz, azzal hozzáférhet ahhoz a szervezeti erőforráshoz (bizalmas fájlokhoz stb.), amelyhez a titkos kulcs tartozik. Microsoft Defender Credential Guard védett, virtualizált környezetbe helyezi őket, ahol szükség esetén csak bizonyos szolgáltatások férhetnek hozzá.
Javasoljuk, hogy kapcsolja be, ha az eszköz támogatja.
Tipp: Ha további technikai részletekre van szüksége erről, tekintse meg a Defender Credential Guard működését ismertető cikket.
A Microsoft sebezhető illesztőprogram-tiltólistája
Az illesztőprogram olyan szoftver, amely lehetővé teszi, hogy az operációs rendszer (ebben az esetben a Windows) és egy eszköz (például billentyűzet vagy webkamera, két példa) beszéljen egymással. Amikor az eszköz azt szeretné, hogy a Windows tegyen valamit, az illesztőprogramot használja a kérés elküldéséhez. Emiatt az illesztőprogramok sok bizalmas hozzáféréssel rendelkeznek a rendszerben.
A 2022-Windows 11 frissítéstől kezdve már rendelkezünk egy tiltólistával azokról az illesztőprogramokról, amelyek ismert biztonsági résekkel rendelkeznek, olyan tanúsítványokkal vannak aláírva, amelyeket kártevők aláírására használtak, vagy amelyek megkerülik a Windows biztonsági modelljét.
Ha a memória integritása, az intelligens alkalmazásvezérlés vagy a Windows S mód be van kapcsolva, a sebezhető illesztőprogram-tiltólista is be lesz kapcsolva.
Lásd még
Védelem a Windows biztonság alkalmazással
A Microsoft biztonsággal kapcsolatos súgója és tanulási lehetőségei