Bejelentkezés Microsoft-fiókkal
Jelentkezzen be, vagy hozzon létre egy fiókot.
Üdvözöljük!
Válasszon másik fiókot.
Több fiókja van
Válassza ki a bejelentkezéshez használni kívánt fiókot.

A magelkülönítés a Microsoft Windows biztonsági funkciója, amely védelmet nyújt a Windows fontos alapvető folyamatainak a rosszindulatú szoftverektől azáltal, hogy elkülöníti őket a memóriából. Ezt úgy teszi, hogy virtualizált környezetben futtatja ezeket az alapvető folyamatokat. 

Megjegyzés: A Magelkülönítés lapon megjelenő adatok a futtatott Windows-verziótól függően változhatnak.

Memóriaintegritás

A memória integritása, más néven hipervizor által védett kódintegritás (HVCI) egy Windows biztonsági funkció, amely megnehezíti a rosszindulatú programok számára, hogy alacsony szintű illesztőprogramokat használjanak a számítógép eltérítéséhez.

Az illesztőprogram olyan szoftver, amely lehetővé teszi, hogy az operációs rendszer (ebben az esetben a Windows) és egy eszköz (például billentyűzet vagy webkamera, két példa) beszéljen egymással. Amikor az eszköz azt szeretné, hogy a Windows tegyen valamit, az illesztőprogramot használja a kérés elküldéséhez.

Tipp: Szeretne többet megtudni az illesztőprogramokról? Lásd: Mi az illesztőprogram?

A memória integritása egy elkülönített környezet hardvervirtualizálással történő létrehozásával működik.

Gondolj úgy, mint egy biztonsági őrre egy zárt fülkében. Ez az izolált környezet (a hasonlatunkban a zárolt fülke) megakadályozza, hogy a támadó illetéktelenül módosítsa a memória integritási funkcióját. Egy olyan programnak, amely veszélyes kódrészletet szeretne futtatni, át kell adnia a kódot a virtuális standon belüli memóriaintegritásnak, hogy ellenőrizhető legyen. Ha a memória integritása kényelmes, hogy a kód biztonságos, a kódot visszaküldi a Windowsnak a futtatáshoz. Ez általában nagyon gyorsan történik.

A memóriaintegritás futtatása nélkül a "biztonsági őr" közvetlenül a szabadban áll, ahol a támadók sokkal egyszerűbben zavarhatják vagy szabotálhatják az őrt, így a rosszindulatú kódok könnyebben átugranak és problémákat okoznak.

Hogyan kezeli a memória integritását?

A legtöbb esetben a memória integritása alapértelmezés szerint be van kapcsolva Windows 11, és bekapcsolható Windows 10.

Be- és kikapcsolásához:

  1. Válassza a Start gombot, és írja be a "Magelkülönítés" kifejezést.

  2. Válassza ki a központi elkülönítési rendszer beállításait a keresési eredmények közül a Windows biztonsági alkalmazás megnyitásához.

A Magelkülönítés oldalon a Memória integritása elem mellett a kapcsolóval is be- vagy kikapcsolhatja azt.

A Windows biztonság alapvető elkülönítési oldala

Fontos: A biztonság érdekében javasoljuk, hogy kapcsolja be a memória integritását.

A memóriaintegritás használatához engedélyeznie kell a hardvervirtualizálást a rendszer UEFI-jében vagy BIOS-ában. 

Mi van, ha azt írják, hogy nem kompatibilis illesztőprogramom van?

Ha a memóriaintegritás nem kapcsol be, előfordulhat, hogy már telepítve van egy nem kompatibilis eszközillesztő. Kérdezze meg az eszköz gyártóját, hogy elérhető-e frissített illesztőprogram. Ha nem rendelkezik elérhető kompatibilis illesztőprogramkal, előfordulhat, hogy eltávolíthatja azt az eszközt vagy alkalmazást, amely ezt a nem kompatibilis illesztőprogramot használja.

A Windows memóriaintegritási funkciója, amely azt mutatja, hogy az illesztőprogram nem kompatibilis

Megjegyzés: Ha a memóriaintegritás bekapcsolása után inkompatibilis illesztőprogrammal próbál telepíteni egy eszközt, ugyanez az üzenet jelenhet meg. Ha igen, ugyanez a tanács érvényes – kérdezze meg az eszköz gyártóját, hogy rendelkezik-e frissített illesztőprogrammal, amelyet letölthet, vagy nem telepítheti az adott eszközt, amíg el nem érhető egy kompatibilis illesztőprogram.

Memóriahozzáférés elleni védelem

Ez a "Kernel DMA-védelem" néven is ismert, védelmet nyújt az eszköznek az olyan támadások ellen, amelyek akkor fordulhatnak elő, ha egy rosszindulatú eszközt egy PCI-porthoz (perifériaösszetevő-összekapcsoláshoz) csatlakoztatnak, például egy Thunderbolt-porthoz.

Az ilyen támadások egyik egyszerű példája az lenne, ha valaki elhagyja a számítógépét egy gyors kávészünetre, és amíg távol volt, a támadó belép, csatlakoztat egy USB-szerű eszközt, és elsétál a gépről származó bizalmas adatokkal, vagy olyan kártevőket szúr be, amelyek lehetővé teszik a számítógép távoli vezérlését. 

A memóriahozzáférés elleni védelem megakadályozza az ilyen típusú támadásokat azáltal, hogy megtagadja a memóriához való közvetlen hozzáférést ezekhez az eszközökhöz, kivéve különleges körülmények között, különösen akkor, ha a számítógép zárolva van , vagy a felhasználó kijelentkezett.

Javasoljuk, hogy kapcsolja be a memóriahozzáférés elleni védelmet.

Tipp: Ha további technikai részletekre van szüksége ezzel kapcsolatban, tekintse meg a Kernel DMA Protection című cikket.

Belső vezérlőprogram-védelem

Minden eszköz rendelkezik olyan szoftverrel, amelyet az eszköz írásvédett memóriájára írtak – alapvetően a rendszertáblán lévő chipre – az eszköz alapvető funkcióihoz, például az összes használt alkalmazást futtató operációs rendszer betöltéséhez. Mivel ez a szoftver nehéz (de nem lehetetlen) módosítani azt nevezzük , mint belső vezérlőprogram.

Mivel a belső vezérlőprogram először betöltődik, és az operációs rendszer alatt fut, az operációs rendszerben futó biztonsági eszközöknek és funkcióknak nehéz észlelni vagy védeniük kell azt. A megfelelő alaptól függő házhoz hasonlóan a számítógépnek is szüksége van a belső vezérlőprogramjának biztonságára annak érdekében, hogy az adott számítógépen található operációs rendszer, alkalmazások és ügyféladatok biztonságban legyenek.

Windows Defender Rendszerőr olyan funkciók készlete, amelyek segítenek biztosítani, hogy a támadók ne tudják az eszközt nem megbízható vagy rosszindulatú belső vezérlőprogramokkal kezdeni.

Javasoljuk, hogy kapcsolja be, ha az eszköz támogatja.

A belső vezérlőprogram-védelmet biztosító platformok általában eltérő mértékben védik a rendszerfelügyeleti módot (SMM), a magas szintű jogosultsági szintű üzemmódot. A három érték közül az egyikre számíthat, nagyobb számmal, amely nagyobb fokú SMM-védelmet jelez:

  • Az eszköz megfelel a belső vezérlőprogram-védelem első verziójának: ez biztosítja az alapvető biztonsági kockázatcsökkentéseket, amelyek segítenek az SMM-nek ellenállni a kártevők általi kizsákmányolásnak, és megakadályozza a titkos kódok kiszivárgását az operációs rendszerből (beleértve a VBS-t is)

  • Az eszköz megfelel a belsővezérlőprogram-védelem második verziójának: az első verziójú belsővezérlőprogram-védelem mellett a második verzió biztosítja, hogy az SMM ne tiltsa le a Virtualization-alapú biztonság (VBS) és a kernel DMA-védelmét

  • Az eszköz megfelel a belsővezérlőprogram-védelem harmadik verziójának: a belsővezérlőprogram-védelem második verzióján kívül tovább fokozza az SMM-et azáltal, hogy megakadályozza az operációs rendszert veszélyeztető bizonyos regiszterekhez való hozzáférést (beleértve a VBS-t is)

Tipp: Ha további technikai részletekre van szüksége ezzel kapcsolatban, tekintse meg a Windows Defender Rendszerőr: Hogyan segít a Windows védelmében egy hardveralapú megbízhatósági gyöker?

Microsoft Defender Credential Guard

Megjegyzés: Microsoft Defender Credential Guard csak a Windows 10 enterprise vagy 11 verzióját futtató eszközökön jelenik meg.

Miközben a munkahelyi vagy iskolai számítógépét használja, a rendszer csendesen bejelentkezik, és hozzáférést kap a szervezet különböző fájljaihoz, nyomtatóihoz, alkalmazásaihoz és egyéb erőforrásaihoz. A folyamat biztonságossá tétele, de a felhasználó számára is egyszerűvé tétele azt jelenti, hogy a számítógépen számos hitelesítési jogkivonat (más néven "titkos kód") található.

Ha egy támadó hozzáférhet egy vagy több ilyen titkos kulcshoz, azzal hozzáférhet ahhoz a szervezeti erőforráshoz (bizalmas fájlokhoz stb.), amelyhez a titkos kulcs tartozik. Microsoft Defender Credential Guard védett, virtualizált környezetbe helyezi őket, ahol szükség esetén csak bizonyos szolgáltatások férhetnek hozzá.

Javasoljuk, hogy kapcsolja be, ha az eszköz támogatja.

Tipp: Ha további technikai részletekre van szüksége erről, tekintse meg a Defender Credential Guard működését ismertető cikket.

A Microsoft sebezhető illesztőprogram-tiltólistája

Az illesztőprogram olyan szoftver, amely lehetővé teszi, hogy az operációs rendszer (ebben az esetben a Windows) és egy eszköz (például billentyűzet vagy webkamera, két példa) beszéljen egymással. Amikor az eszköz azt szeretné, hogy a Windows tegyen valamit, az illesztőprogramot használja a kérés elküldéséhez. Emiatt az illesztőprogramok sok bizalmas hozzáféréssel rendelkeznek a rendszerben.

A 2022-Windows 11 frissítéstől kezdve már rendelkezünk egy tiltólistával azokról az illesztőprogramokról, amelyek ismert biztonsági résekkel rendelkeznek, olyan tanúsítványokkal vannak aláírva, amelyeket kártevők aláírására használtak, vagy amelyek megkerülik a Windows biztonsági modelljét.

Ha a memória integritása, az intelligens alkalmazásvezérlés vagy a Windows S mód be van kapcsolva, a sebezhető illesztőprogram-tiltólista is be lesz kapcsolva.

Lásd még

Védelem a Windows biztonság alkalmazással

A Microsoft biztonsággal kapcsolatos súgója és tanulási lehetőségei

Facebook LinkedIn E-mail
FELIRATKOZÁS RSS-HÍRCSATORNÁKRA

További segítségre van szüksége?

További lehetőségeket szeretne?

Felfedezés Közösség

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A Microsoft 365-előfizetés előnyei

Microsoft 365-képzés

Microsoft Biztonság

Akadálymentességi központ

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.

Kérdezze meg a Microsoft-közösséget

Microsoft technikai közösség

Windows Insider-résztvevők

Microsoft 365 Insider-résztvevők

Hasznos volt ez az információ?

Mennyire elégedett a fordítás minőségével?
Mi volt hatással a felhasználói élményére?
Ha elküldi a visszajelzést, a Microsoft felhasználja azt a termékei és szolgáltatásai továbbfejlesztéséhez. Az informatikai rendszergazda képes lesz ezeket az adatokat összegyűjteni. Adatvédelmi nyilatkozat.

Köszönjük a visszajelzését!

×