Prisijunkite prie „Microsoft“
Prisijunkite arba sukurkite paskyrą.
Sveiki,
Pasirinkti kitą paskyrą.
Turite kelias paskyras
Pasirinkite paskyrą, kurią naudodami norite prisijungti.

Branduolio atskyrimas yra "Microsoft Windows" saugos funkcija, apsauganti svarbius pagrindinius "Windows" procesus nuo kenkėjiškos programinės įrangos juos atskiriant atmintyje. Tai daroma vykdant šiuos pagrindinius procesus virtualioje aplinkoje. 

Pastaba: Tai, ką matote puslapyje Branduolio atskyrimas, gali šiek tiek skirtis, atsižvelgiant į tai, kokią "Windows" versiją naudojate.

Atminties vientisumas

Atminties vientisumas, taip pat žinomas kaip hipervizoriaus apsaugotas kodo vientisumas (HVCI) yra "Windows" saugos funkcija, dėl kurios kenkėjiškoms programoms sunku naudoti žemo lygio tvarkykles užgrobti kompiuterį.

Tvarkyklė yra programinė įranga, leidžianti operacinei sistemai (šiuo atveju "Windows") ir įrenginiui (pvz., klaviatūrai arba žiniatinklio kamerai, dviem pavyzdžiais) kalbėtis tarpusavyje. Kai įrenginys nori, kad "Windows" ką nors padarytų, naudodamas tvarkyklę užklausai siųsti.

Patarimas: Norite sužinoti daugiau apie tvarkykles? Žr. Kas yra tvarkyklė?

Atminties vientisumas veikia kuriant izoliuotą aplinką naudojant aparatūros virtualizaciją.

Pagalvokite apie tai kaip apsaugos viduje užrakinta parduotuvė. Ši izoliuota aplinka (mūsų analogijoje užrakinta parduotuvė) neleidžia atminties vientisumo funkcijai piktavališkai piktavališkai pakeisti. Programa, kuri nori paleisti kodo dalį, kuri gali būti pavojinga, turi perduoti kodą į atminties vientisumą toje virtualiojoje parduotuvėnoje, kad ją būtų galima patikrinti. Kai atminties vientisumas yra patogus, kad kodas yra saugus jis rankas kodas atgal į Windows paleisti. Paprastai taip nutinka labai greitai.

Be atminties vientisumo veikia, "apsaugos" išsiskiria tiesiai iš atvirai, kur tai daug lengviau užpuolikas trukdo arba sukabinti apsaugos, kad būtų lengviau kenkėjiškas kodas nukniaukti praeities ir sukelti problemų.

Kaip valdyti atminties vientisumą?

Daugeliu atvejų atminties vientisumas pagal numatytuosius nustatymus yra įjungtas Windows 11 ir gali būti įjungtas Windows 10.

Norėdami ją įjungti arba išjungti:

  1. Pasirinkite pradžios mygtuką ir įveskite "Branduolio atskyrimas".

  2. Ieškos rezultatuose pasirinkite branduolio atskyrimo sistemos parametrus, kad atidarytumėte "Windows" saugos programėlę.

Puslapyje Branduolio atskyrimas rasite Atminties vientisumą kartu su jungikliu, kad jį įjungtumėte arba išjungtumėte.

"Windows" sauga branduolio atskyrimo puslapis

Svarbu: Saugos sumetimais rekomenduojame įjungti atminties vientisumą.

Jei norite naudoti atminties vientisumą, jūsų sistemos UEFI arba BIOS turi būti įgalintas aparatūros virtualizavimas. 

Ką daryti, jei sakoma, kad turiu nesuderinamą tvarkyklę?

Jei nepavyksta įjungti atminties vientisumo, gali būti nurodyta, kad jau įdiegta nesuderinama įrenginio tvarkyklė. Kreipkitės į įrenginio gamintoją ir sužinokite, ar yra atnaujinta tvarkyklė. Jei jie neturi suderinamos tvarkyklės, galbūt galėsite pašalinti įrenginį arba programėlę, kuri naudoja nesuderinamą tvarkyklę.

"Windows" atminties vientisumo funkcija, rodanti, kad tvarkyklė nesuderinama

Pastaba: Jei įjungę atminties vientisumą bandote įdiegti įrenginį su nesuderinama tvarkykle, galite matyti tą patį pranešimą. Jei taip, galioja tie patys patarimai – kreipkitės į įrenginio gamintoją, kad sužinotumėte, ar jis turi atnaujintą tvarkyklę, kurią galite atsisiųsti, arba nediekite konkretaus įrenginio, kol nebus pasiekiama suderinama tvarkyklė.

Atminties prieigos apsauga

Tai dar vadinama "branduolio DMA apsauga", kuri apsaugo įrenginį nuo atakų, kurios gali įvykti, kai kenkėjiškas įrenginys prijungtas prie PCI (periferinių komponentų jungties) prievado, pvz., "Thunderbolt" prievado.

Paprastas vienos iš šių atakų pavyzdys būtų toks, jei kas nors palieka kompiuterį greitai padaryti kavos pertraukėlę, o kol jie buvo išvykę, užpuolikų veiksmai, prijungiamas prie USB primenančio įrenginio ir nueina nuo įrenginio su slaptais duomenimis arba įšvirkščiama kenkėjiška programa, kuri leidžia jiems valdyti kompiuterį nuotoliniu būdu. 

Apsauga nuo atminties apsaugo nuo tokio pobūdžio atakų uždrausdama tiesioginę prieigą prie atminties tuose įrenginiuose, išskyrus atvejus, kai tam tikromis aplinkybėmis, ypač kai kompiuteris užrakintas arba vartotojas yra atsijungęs.

Rekomenduojame įjungti atminties prieigos apsaugą.

Patarimas: Jei norite išsamesnės informacijos apie tai, žr. Branduolio DMA apsauga.

Programinės-aparatinės įrangos apsauga

Kiekvienas įrenginys turi tam tikrą programinę įrangą, kuri įrašyta į tik skaityti skirtą įrenginio atmintį – iš esmės parašyta į sistemos plokštės mikroschemą – kuri naudojama pagrindinėms įrenginio funkcijoms atlikti, pvz., operacinės sistemos, kurioje veikia visos naudojamos programos, įkėlimas. Kadangi tą programinę įrangą sunku (bet ne neįmanoma) modifikuoti, mes ją vadiname programine-aparatine įranga.

Programinė-aparatinė įranga įkeliama pirmiausia ir veikia operacinėje sistemoje, todėl operacinės sistemos veikiantiems saugos įrankiams ir funkcijoms sunku ją aptikti arba apsisaugoti. Kaip namui, kuris priklauso nuo tinkamo pagrindo būti saugiam, kompiuteriui reikia, kad programinė-aparatinė įranga būtų saugi, siekiant užtikrinti, kad operacinė sistema, programos ir kliento duomenys tame kompiuteryje būtų saugūs.

"Windows" sargybos "System Guard" yra funkcijų rinkinys, padedantis užtikrinti, kad programišiai negaus jūsų įrenginio paleisti nepatikimos ar kenkėjiškos programinės-aparatinės įrangos.

Rekomenduojame jį įjungti, jei jūsų įrenginys jį palaiko.

Platformos, kurios siūlo programinės-aparatinės įrangos apsaugą, paprastai skirtingai apsaugo sistemos valdymo režimą (SMM), itin privilegijuotą operacinį režimą. Galite tikėtis vienos iš trijų reikšmių su didesniu skaičiumi, nurodančiu didesnį SMM apsaugos laipsnį:

  • Jūsų įrenginys atitinka programinės-aparatinės įrangos apsaugos versiją: ji siūlo bazinius saugos mažinimus, kurie padeda SMM atsispirti kenkėjiškų programų išnaudojimui ir neleidžia iš OS (įskaitant VBS) išsklaidyti paslaptis.

  • Jūsų įrenginys atitinka antrą programinės-aparatinės įrangos apsaugos versiją: be programinės-aparatinės įrangos apsaugos 1 versijos, antra versija užtikrina, kad SMM negali išjungti virtualizavimu pagrįstos saugos (VBS) ir branduolio DMA apsaugos

  • Jūsų įrenginys atitinka programinės-aparatinės įrangos apsaugos trečios versijos: be programinės-aparatinės įrangos apsaugos antros versijos, ji dar labiau sustidina SMM neleisdama pasiekti tam tikrų registrų, kurie gali pažeisti OS (įskaitant VBS)

Patarimas: Jei norite gauti daugiau techninės informacijos apie tai, žr. "Windows" sargybos "System Guard": Kaip aparatūra pagrįsta pasitikėjimo šaknis padeda apsaugoti "Windows"

"Microsoft Defender Credential Guard"

Pastaba: Microsoft Defender "Credential Guard" rodoma tik įrenginiuose, kuriuose veikia "Enterprise" Windows 10 arba 11 versijos.

Kai naudojate darbo arba mokymo įstaigos kompiuterį, jis tyliai prisijungs ir gaus prieigą prie įvairių dalykų, pvz., failų, spausdintuvų, programėlių ir kitų organizacijos išteklių. Šio proceso saugumas, tačiau paprastas vartotojui, reiškia, kad jūsų kompiuteryje yra daug autentifikavimo atpažinimo ženklų (dažnai vadinamų "paslaptimis") ant jo bet kuriuo metu.

Jei pažeidėjas gali gauti prieigą prie vienos ar kelių tų paslapčių, jie gali turėti galimybę juos naudoti, kad gautų prieigą prie organizacijos išteklių (slaptų failų ir t. t.), kurio paslaptis yra skirta. Microsoft Defender "Credential Guard" padeda apsaugoti šias paslaptis įtraukdama jas į apsaugotą, virtualią aplinką, kurioje tik tam tikros tarnybos gali jas pasiekti, kai to reikia.

Rekomenduojame jį įjungti, jei jūsų įrenginys jį palaiko.

Patarimas: Jei norite gauti išsamesnės informacijos apie tai, žr. Kaip veikia "Defender Credential Guard".

"Microsoft" pažeidžiamų tvarkyklių blokų sąrašas

Tvarkyklė yra programinė įranga, leidžianti operacinei sistemai (šiuo atveju "Windows") ir įrenginiui (pvz., klaviatūrai arba žiniatinklio kamerai, dviem pavyzdžiais) kalbėtis tarpusavyje. Kai įrenginys nori, kad "Windows" ką nors padarytų, naudodamas tvarkyklę užklausai siųsti. Todėl tvarkyklės turi daug slaptos prieigos prie jūsų sistemos.

Pradedant nuo 2022 m. Windows 11 naujinimo, dabar turime blokuojamųjų sąrašą tvarkyklių, kurios turi žinomų saugos pažeidžiamumų, yra pasirašytos naudojant sertifikatus, kurie buvo naudojami kenkėjiškai programinei įrangai pasirašyti, arba kurios apeina "Windows" sauga modelį.

Jei įjungtas atminties vientisumas, "Smart App Control" arba "Windows S" režimas, bus įjungtas ir pažeidžiamas tvarkyklės blokų sąrašas.

Taip pat žr.

Likite apsaugoti naudodami „Windows“ saugą

"Microsoft" saugos žinynas ir mokymasis

Facebook LinkedIn Elektroninis paštas
UŽSISAKYTI RSS INFORMACIJOS SANTRAUKAS

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Galimos funkcijos Bendruomenė

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.

Klauskite „Microsoft“ bendruomenės

„Microsoft“ technologijų bendruomenė

„Windows Insider Preview“ programos dalyviai

„Microsoft 365“ „Insider“ programos dalyviai

Ar ši informacija buvo naudinga?

Ar esate patenkinti kalbos kokybe?
Kas turėjo įtakos jūsų įspūdžiams?
Paspaudus mygtuką Pateikti, jūsų atsiliepimai bus naudojami tobulinant „Microsoft“ produktus ir paslaugas. Jūsų IT administratorius galės rinkti šiuos duomenis. Privatumo patvirtinimas.

Dėkojame už jūsų atsiliepimą!

×