Izolacja rdzenia to funkcja zabezpieczeń systemu Microsoft Windows, która chroni ważne podstawowe procesy systemu Windows przed złośliwym oprogramowaniem przez izolowanie ich w pamięci. Robi to, uruchamiając te podstawowe procesy w zwirtualizowanym środowisku.
Uwaga: Zawartość wyświetlana na stronie Izolacja rdzenia może się nieco różnić w zależności od tego, której wersji systemu Windows używasz.
Integralność pamięci
Integralność pamięci, znana również jako HVCI (Hypervisor-protected Code Integrity) to funkcja zabezpieczeń systemu Windows, która utrudnia złośliwym programom używanie sterowników niskiego poziomu do przechwycenia komputera.
Sterownik to oprogramowanie, które pozwala systemowi operacyjnego (w tym przypadku Windows) i urządzeniu (na przykład klawiaturze lub kamerze internetowej) rozmawiać ze sobą. Gdy urządzenie chce, aby system Windows zrobił coś, wysyła to żądanie za pomocą sterownika.
Porada: Chcesz dowiedzieć się więcej o sterownikach? Zobacz Co to jest sterownik?
Integralność pamięci działa poprzez tworzenie odizolowanego środowiska przy użyciu wirtualizacji sprzętowej.
Pomyśl o tym jak o ochroniarzu wewnątrz zamkniętego stoiska. To odizolowane środowisko (zablokowane stoisko w naszej analogii) zapobiega modyfikowaniu funkcji integralności pamięci przez atakującego. Program, który chce uruchomić kawałek kodu, który może być niebezpieczne musi przekazać kod do integralności pamięci wewnątrz tego wirtualnego stoiska, aby można było zweryfikować. Gdy integralność pamięci jest wygodne, że kod jest bezpieczny przekazuje kod z powrotem do systemu Windows, aby uruchomić. Zazwyczaj dzieje się to bardzo szybko.
Bez działających integralności pamięci "ochroniarz" wyróżnia się bezpośrednio na otwartej przestrzeni, gdzie znacznie łatwiej jest napastnikowi ingerować w strażnika lub sabotować go, co ułatwia złośliwym kodom przemycanie się i wywoływanie problemów.
Jak mogę zarządzać integralnością pamięci?
W większości przypadków integralność pamięci jest domyślnie włączona w Windows 11 i można włączyć dla Windows 10.
Aby włączyć lub wyłączyć tę funkcję:
-
Wybierz przycisk Start i wpisz "Izolacja rdzenia".
-
Wybierz ustawienia systemu izolacji rdzenia z wyników wyszukiwania, aby otworzyć aplikację zabezpieczeń systemu Windows.
Na stronie Izolacja rdzenia znajduje się pozycja Integralność pamięci wraz z przełącznikiem umożliwiającym włączenie lub wyłączenie tej funkcji.
Ważne: Ze względów bezpieczeństwa zalecamy włączenie integralności pamięci.
Aby używać integralności pamięci, w interfejsie UEFI lub BIOSie musi być włączona wirtualizacja sprzętowa.
Co zrobić, jeśli jest wyświetlany komunikat Mam niezgodny sterownik?
Jeśli integralność pamięci nie zostanie włączona, może to oznaczać, że masz już zainstalowany niezgodny sterownik urządzenia. Skontaktuj się z producentem urządzenia, aby sprawdzić, czy jest dostępny zaktualizowany sterownik. Jeśli nie mają dostępnego zgodnego sterownika, możesz usunąć urządzenie lub aplikację używającą tego niezgodnego sterownika.
Uwaga: Jeśli spróbujesz zainstalować urządzenie z niezgodnym sterownikiem po włączeniu integralności pamięci, może zostać wyświetlony ten sam komunikat. Jeśli tak, należy skorzystać z tej samej porady — skontaktuj się z producentem urządzenia, aby sprawdzić, czy ma zaktualizowany sterownik, który można pobrać, lub nie instaluj tego konkretnego urządzenia, dopóki nie będzie dostępny zgodny sterownik.
Ochrona dostępu do pamięci
Jest to również nazywane "ochroną jądra DMA", które chroni urządzenie przed atakami, które mogą wystąpić, gdy złośliwe urządzenie jest podłączone do portu PCI (Peripheral Component Interconnect), takiego jak port Thunderbolt.
Prostym przykładem takiego ataku byłoby pozostawienie komputera przez kogoś na krótką przerwę na kawę, a gdy nie było, osoba atakująca wchodzi do sieci, podłącza urządzenie podobne do USB i odchodzi z poufnymi danymi z komputera lub instrzykuje złośliwe oprogramowanie, które pozwala mu zdalnie sterować komputerem.
Ochrona przed dostępem do pamięci zapobiega tego rodzaju atakom, odmawiając bezpośredniego dostępu do pamięci do tych urządzeń z wyjątkiem szczególnych okoliczności, szczególnie wtedy, gdy komputer jest zablokowany lub użytkownik jest wylogowany.
Zalecamy włączenie ochrony dostępu do pamięci.
Porada: Jeśli chcesz uzyskać więcej szczegółów technicznych na ten temat, zobacz Ochrona DMA jądra.
Ochrona oprogramowania układowego
Każde urządzenie ma pewne oprogramowanie, które zostało zapisane w pamięci tylko do odczytu urządzenia - w zasadzie napisane chipem na tablicy systemowej - które jest używane do podstawowych funkcji urządzenia, takich jak ładowanie systemu operacyjnego, który uruchamia wszystkie aplikacje, z których korzystamy. Ponieważ to oprogramowanie jest trudne (ale nie niemożliwe) do modyfikacji, nazywamy je "oprogramowaniem układowym".
Ponieważ oprogramowanie układowe ładuje się najpierw i działa "pod" systemem operacyjnym, narzędzia zabezpieczeń i funkcje działające w systemie operacyjnym mają trudności z jego wykryciem lub obroną przed nim. Podobnie jak dom, który zależy od dobrego fundamentu, aby zapewnić bezpieczeństwo, komputer potrzebuje swojego oprogramowania układowego, aby zapewnić bezpieczeństwo systemu operacyjnego, aplikacji i danych klienta na tym komputerze.
Windows Defender System Guard to zestaw funkcji, które pomagają zagwarantować, że osoby atakujące nie będą mogły uruchomić Twojego urządzenia od niezaufanego lub złośliwego oprogramowania układowego.
Zalecamy jego włączenie, jeśli urządzenie obsługuje tę funkcję.
Porada: Jeśli chcesz uzyskać więcej szczegółów technicznych na ten temat, zobacz Windows Defender System Guard: W jaki sposób zaufany korzeń sprzętowy pomaga chronić system Windows
Microsoft Defender Credential Guard
Uwaga: Microsoft Defender Credential Guard jest wyświetlana tylko na urządzeniach z wersją Enterprise Windows 10 lub 11.
Podczas korzystania z komputera służbowego nastąpi ciche logowanie się i uzyskiwanie dostępu do różnych elementów, takich jak pliki, drukarki, aplikacje i inne zasoby w organizacji. Zapewnienie bezpieczeństwa tego procesu, a jednocześnie łatwe dla użytkownika, oznacza, że twój komputer ma na komputerze wiele tokenów uwierzytelniania (często nazywanych "sekretami") w danym momencie.
Jeśli osoba atakująca może uzyskać dostęp do jednej lub większej liczby tych sekretów, może użyć ich w celu uzyskania dostępu do zasobu organizacyjnego (plików poufnych itp.), do którego służy ta tajemnica. Microsoft Defender Credential Guard pomaga chronić te tajemnice, umieszczając je w chronionym, zwirtualizowanym środowisku, w którym tylko niektóre usługi mogą uzyskiwać do nich dostęp w razie potrzeby.
Zalecamy jego włączenie, jeśli urządzenie obsługuje tę funkcję.
Porada: Jeśli chcesz uzyskać więcej szczegółów technicznych na ten temat, zobacz Jak działa funkcja Defender Credential Guard.
Lista zablokowanych sterowników firmy Microsoft
Sterownik to oprogramowanie, które pozwala systemowi operacyjnego (w tym przypadku Windows) i urządzeniu (na przykład klawiaturze lub kamerze internetowej) rozmawiać ze sobą. Gdy urządzenie chce, aby system Windows zrobił coś, wysyła to żądanie za pomocą sterownika. Z tego powodu sterowniki mają duży poufny dostęp w systemie.
Począwszy od aktualizacji Windows 11 2022 r. mamy teraz listę zablokowanych sterowników, które mają znane luki w zabezpieczeniach, zostały podpisane za pomocą certyfikatów, które zostały użyte do podpisania złośliwego oprogramowania lub które omijają model Zabezpieczenia Windows.
Jeśli masz włączoną integralność pamięci, inteligentną kontrolę aplikacji lub tryb Windows S, lista zablokowanych sterowników jest włączona.
