Kjerneisolasjon er en sikkerhetsfunksjon i Microsoft Windows som beskytter viktige kjerneprosesser i Windows mot skadelig programvare ved å isolere dem i minnet. Den gjør dette ved å kjøre disse kjerneprosessene i et virtualisert miljø.
Obs!: Det du ser på kjerneisolasjonssiden, kan variere litt avhengig av hvilken versjon av Windows du kjører.
Minneintegritet
Minneintegritet, også kjent som Hypervisor-beskyttet kodeintegritet (HVCI), er en Windows-sikkerhetsfunksjon som gjør det vanskelig for skadelige programmer å bruke drivere på lavt nivå til å kapre datamaskinen.
En driver er et stykke programvare som lar operativsystemet (Windows i dette tilfellet) og en enhet (for eksempel et tastatur eller et webkamera, for to eksempler) snakke med hverandre. Når enheten vil at Windows skal gjøre noe, bruker den driveren til å sende denne forespørselen.
Tips!: Vil du vite mer om drivere? Se Hva er en driver?
Minneintegritet fungerer ved å opprette et isolert miljø ved hjelp av maskinvarevirtualisering.
Tenk på det som en sikkerhetsvakt inne i en låst bod. Dette isolerte miljøet (låst bod i vår analogi) hindrer at funksjonen for minneintegritet blir manipulert av en angriper. Et program som ønsker å kjøre en kode som kan være farlig, må sende koden til minneintegritet i den virtuelle boden, slik at den kan bekreftes. Når minneintegritet er fortrolig med at koden er trygg, sender den koden tilbake til Windows for å kjøre. Vanligvis skjer dette veldig raskt.
Uten minneintegritet kjører, står "sikkerhetsvakten" rett ut i det åpne der det er mye lettere for en angriper å forstyrre eller sabotere vakten, noe som gjør det enklere for ondsinnet kode å snike seg forbi og forårsake problemer.
Hvordan behandle minneintegritet?
I de fleste tilfeller er minneintegritet aktivert som standard i Windows 11, og kan aktiveres for Windows 10.
Slik aktiverer eller deaktiverer du den:
-
Velg Start-knappen , og skriv inn «Kjerneisolasjon».
-
Velg systeminnstillingene for kjerneisolasjon fra søkeresultatene for å åpne Windows-sikkerhetsappen.
På kjerneisolasjonssiden finner du minneintegritet sammen med veksleknappen for å slå den på eller av.
Viktig!: For sikkerhets skyld anbefaler vi at minneintegritet er slått på.
Hvis du vil bruke minneintegritet, må du ha maskinvarevirtualisering aktivert i systemets UEFI eller BIOS.
Hva om det står at jeg har en inkompatibel driver?
Hvis minneintegritet ikke aktiveres, kan det hende at du har en inkompatibel enhetsdriver installert. Ta kontakt med produsenten av enheten for å se om de har en oppdatert driver tilgjengelig. Hvis de ikke har kompatibel driver tilgjengelig, kan det hende du kan fjerne enheten eller appen som bruker den inkompatible driveren.
Obs!: Hvis du prøver å installere en enhet med en inkompatibel driver etter at du har aktivert minneintegritet, kan det hende du ser den samme meldingen. I så fall gjelder det samme rådet – ta kontakt med enhetsprodusenten for å se om de har en oppdatert driver du kan laste ned, eller ikke installer den bestemte enheten før en kompatibel driver er tilgjengelig.
Beskyttelse mot minnetilgang
Dette beskytter også enheten mot angrep som kan oppstå når en ondsinnet enhet er koblet til en PCI-port (Peripheral Component Interconnect) som en Thunderbolt-port.
Et enkelt eksempel på et av disse angrepene ville være hvis noen forlater PC-en for en rask kaffepause, og mens de var borte, går en angriper inn, kobler til en USB-lignende enhet og går bort med sensitive data fra maskinen, eller injiserer skadelig programvare som gjør at de kan kontrollere PC-en eksternt.
Beskyttelse mot minnetilgang forhindrer slike angrep ved å nekte direkte tilgang til minnet til disse enhetene unntatt under spesielle omstendigheter, spesielt når PC-en er låst eller brukeren er logget av.
Vi anbefaler at beskyttelse mot minnetilgang er aktivert.
Tips!: Hvis du vil ha mer tekniske detaljer om dette, kan du se Kernel DMA Protection.
Fastvarebeskyttelse
Hver enhet har noe programvare som er skrevet til det skrivebeskyttede minnet på enheten - i utgangspunktet skrevet til en chip på systemtavlen - som brukes til de grunnleggende funksjonene til enheten, for eksempel å laste inn operativsystemet som kjører alle appene vi er vant til å bruke. Siden denne programvaren er vanskelig (men ikke umulig) å endre, refererer vi til den som fastvare.
Siden fastvaren lastes inn først og kjører under operativsystemet, har sikkerhetsverktøy og funksjoner som kjører i operativsystemet vanskelig for å oppdage det eller forsvare seg mot det. Som et hus som er avhengig av et godt grunnlag for å være sikkert, trenger en datamaskin fastvaren for å være sikker for å sikre at operativsystemet, programmene og kundedataene på den datamaskinen er trygge.
Windows Defender System Guard er et sett med funksjoner som bidrar til å sikre at angripere ikke kan få enheten til å starte med uklarert eller skadelig fastvare.
Vi anbefaler at du har aktivert den hvis enheten støtter den.
Plattformer som tilbyr fastvarebeskyttelse beskytter vanligvis også System Management Mode (SMM), en svært privilegert driftsmodus, i varierende grad. Du kan forvente én av de tre verdiene, med et høyere tall som angir en større grad av SMM-beskyttelse:
-
Enheten oppfyller fastvarebeskyttelse versjon én: Dette tilbyr de grunnleggende sikkerhetsbegrensningene for å hjelpe SMM med å motstå utnyttelse av skadelig programvare, og hindrer eksfiltrering av hemmeligheter fra operativsystemet (inkludert VBS)
-
Enheten oppfyller fastvarebeskyttelse versjon to: I tillegg til fastvarebeskyttelse versjon én, sikrer versjon to at SMM ikke kan deaktivere Virtualization-basert sikkerhet (VBS) og kjerne-DMA-beskyttelse
-
Enheten oppfyller fastvarebeskyttelse versjon tre: I tillegg til fastvarebeskyttelse versjon to, stivner den ytterligere SMM ved å forhindre tilgang til visse registre som har muligheten til å kompromittere operativsystemet (inkludert VBS)
Tips!: Hvis du vil ha mer tekniske detaljer om dette, kan du se Windows Defender System Guard: Slik bidrar en maskinvarebasert klareringsrot til å beskytte Windows
Microsoft Defender Credential Guard
Obs!: Microsoft Defender Credential Guard vises bare på enheter som kjører Enterprise-versjoner av Windows 10 eller 11.
Mens du bruker jobb- eller skoledatamaskinen, logger den seg stille på og får tilgang til en rekke ting, for eksempel filer, skrivere, apper og andre ressurser i organisasjonen. Å gjøre denne prosessen sikker, men likevel enkel for brukeren, betyr at datamaskinen har en rekke godkjenningstokener (ofte referert til som "hemmeligheter") på den til enhver tid.
Hvis en angriper kan få tilgang til én eller flere av disse hemmelighetene, kan de kanskje bruke dem til å få tilgang til organisasjonsressursen (sensitive filer osv.) som hemmeligheten er for. Microsoft Defender Credential Guard bidrar til å beskytte disse hemmelighetene ved å plassere dem i et beskyttet, virtualisert miljø der bare visse tjenester kan få tilgang til dem når det er nødvendig.
Vi anbefaler at du har aktivert den hvis enheten støtter den.
Tips!: Hvis du vil ha mer tekniske detaljer om dette, kan du se Hvordan Defender Credential Guard fungerer.
Blokkeringsliste for microsoft sårbar driver
En driver er et stykke programvare som lar operativsystemet (Windows i dette tilfellet) og en enhet (for eksempel et tastatur eller et webkamera, for to eksempler) snakke med hverandre. Når enheten vil at Windows skal gjøre noe, bruker den driveren til å sende denne forespørselen. På grunn av dette har drivere mye sensitiv tilgang i systemet.
Fra og med Windows 11 2022-oppdateringen har vi nå en blokkliste over drivere som har kjente sikkerhetsproblemer, har blitt signert med sertifikater som har blitt brukt til å signere skadelig programvare, eller som omgår Windows Sikkerhet-modellen.
Hvis du har minneintegritet, Smart App Control eller Windows S-modus på, vil også den sårbare driverblokkeringslisten være aktivert.
