Izolarea nucleu este o caracteristică de securitate a Microsoft Windows care protejează procesele de bază importante din Windows împotriva software-ului rău intenționat, izolându-le în memorie. Face acest lucru rulând acele procese de bază într-un mediu virtualizat.
Notă: Ceea ce vedeți pe pagina Izolare nucleu poate varia puțin, în funcție de versiunea de Windows pe care o rulați.
Integritatea memoriei
Integritatea memoriei, numită și Integritate cod protejată prin hipervizor (HVCI) este o caracteristică de securitate Windows care îngreunează utilizarea de către programele rău intenționate a driverelor de nivel scăzut pentru a deturna computerul.
Un driver este un software care permite sistemului de operare (în acest caz Windows) și unui dispozitiv (cum ar fi o tastatură sau o cameră web, de două exemple) să vorbească între ele. Atunci când dispozitivul dorește ca Windows să facă ceva, utilizează driverul pentru a trimite solicitarea respectivă.
Sfat: Doriți să aflați mai multe despre drivere? Consultați Ce este un driver?
Integritatea memoriei funcționează prin crearea unui mediu izolat, utilizând virtualizarea hardware-ului.
Gândește-te la asta ca la un agent de pază într-o cabină închisă. Acest mediu izolat (cabină blocată în analogia noastră) împiedică modificarea caracteristicii de integritate a memoriei de către un atacator. Un program care vrea să ruleze un fragment de cod care poate fi periculos trebuie să transmită codul integrității memoriei din acea cabină virtuală, astfel încât să poată fi verificat. Atunci când integritatea memoriei este confortabilă, codul este sigur, acesta va înmâna codul înapoi la Windows pentru a rula. De obicei, acest lucru se întâmplă foarte repede.
Fără integritatea memoriei în execuție, "agentul de securitate" iese în evidență direct în locul în care este mult mai ușor ca un atacator să interfereze sau să saboteze garda, făcând mai ușor pentru codul rău intenționat să se strecoare în trecut și să cauzeze probleme.
Cum gestionez integritatea memoriei?
În majoritatea cazurilor, integritatea memoriei este activată implicit în Windows 11 și poate fi activată pentru Windows 10.
Pentru a-l activa sau a-l dezactiva:
-
Selectați butonul Start și tastați "Izolare nucleu".
-
Selectați setările de sistem Izolare nucleu din rezultatele căutării pentru a deschide aplicația de securitate Windows.
Pe pagina Izolare nucleu, veți găsi Integritatea memoriei împreună cu comutatorul pentru a-l activa sau a-l dezactiva.
Important: Pentru siguranță, vă recomandăm să aveți integritatea memoriei activată.
Pentru a utiliza integritatea memoriei, trebuie să aveți virtualizarea hardware activată în UEFI sau BIOS-ul sistemului.
Ce se întâmplă dacă scrie că am un driver incompatibil?
Dacă integritatea memoriei nu reușește să se activeze, este posibil să vă spună că aveți deja instalat un driver de dispozitiv incompatibil. Consultați-vă cu producătorul dispozitivului pentru a vedea dacă are un driver actualizat disponibil. Dacă acestea nu au un driver compatibil disponibil, este posibil să reușiți să eliminați dispozitivul sau aplicația care utilizează acel driver incompatibil.
Notă: Dacă încercați să instalați un dispozitiv cu un driver incompatibil după activarea integrității memoriei, este posibil să vedeți același mesaj. În acest caz, se aplică aceleași sfaturi : consultați producătorul dispozitivului pentru a vedea dacă are un driver actualizat pe care îl puteți descărca sau nu instalați acel dispozitiv până când nu este disponibil un driver compatibil.
Protecția accesului la memorie
Numit și "Protecție DMA kernel", acest lucru vă protejează dispozitivul împotriva atacurilor care pot apărea atunci când un dispozitiv rău intenționat este conectat la un port PCI (Peripheral Component Interconnect), cum ar fi un port Thunderbolt.
Un exemplu simplu de unul dintre aceste atacuri ar fi dacă cineva părăsește PC-ul pentru o pauză rapidă de cafea și, în timp ce era plecat, un atacator intră în priză, conectează un dispozitiv de tip USB și pleacă cu date sensibile de la computer sau injectează malware care îi permite să controleze PC-ul de la distanță.
Protecția accesului la memorie previne aceste tipuri de atacuri, refuzând accesul direct la memorie la acele dispozitive, cu excepția unor circumstanțe speciale, în special atunci când PC-ul este blocat sau utilizatorul este deconectat.
Vă recomandăm să aveți activată protecția accesului la memorie.
Sfat: Dacă doriți mai multe detalii tehnice despre acest lucru, consultați Kernel DMA Protection.
Protecție firmware
Fiecare dispozitiv are unele programe software care au fost scrise în memoria doar în citire a dispozitivului - scrise practic pe un cip de pe placa de sistem - care este utilizat pentru funcțiile de bază ale dispozitivului, cum ar fi încărcarea sistemului de operare care rulează toate aplicațiile pe care suntem obișnuiți să le folosim. Deoarece acest software este dificil (dar nu imposibil) pentru a modifica ne referi la acesta ca firmware.
Deoarece firmware-ul se încarcă prima dată și rulează sub sistemul de operare, instrumentele de securitate și caracteristicile care rulează în sistemul de operare întâmpină dificultăți în a-l detecta sau a-l apăra. Ca o casă care depinde de o bază bună pentru a fi în siguranță, un computer are nevoie de firmware-ul său pentru a fi sigur, pentru a se asigura că sistemul de operare, aplicațiile și datele clienților de pe acel computer sunt sigure.
Windows Defender System Guard este un set de caracteristici care vă ajută să vă asigurați că atacatorii nu vă pot face dispozitivul să înceapă cu firmware rău intenționat sau care nu este de încredere.
Vă recomandăm să îl aveți activat dacă dispozitivul dvs. acceptă acest lucru.
Platformele care oferă protecție firmware protejează de obicei și Modul de gestionare a sistemului (SMM), un mod de operare foarte privilegiat, în diferite grade. Vă puteți aștepta la una dintre cele trei valori, cu un număr mai mare care indică un grad mai mare de protecție SMM:
-
Dispozitivul dvs. îndeplinește versiunea 1 de protecție firmware: aceasta oferă atenuări de securitate fundamentale pentru a ajuta SMM să reziste exploatării prin malware și previne ștergerea secretelor din sistemul de operare (inclusiv VBS)
-
Dispozitivul dvs. îndeplinește versiunea doi de protecție firmware: în plus față de versiunea 1 de protecție firmware, versiunea doi asigură că SMM nu poate dezactiva Securitatea bazată pe virtualizare (VBS) și protecțiile DMA kernel
-
Dispozitivul dvs. îndeplinește versiunea trei de protecție firmware: în plus față de versiunea 2 de protecție firmware, aceasta mărește și mai mult SMM, împiedicând accesul la anumite registre care au capacitatea de a compromite sistemul de operare (inclusiv VBS)
Sfat: Dacă doriți mai multe detalii tehnice despre acest lucru, consultați Windows Defender System Guard: Cum contribuie o rădăcină de încredere bazată pe hardware pentru Windows
Microsoft Defender Credential Guard
Notă: Microsoft Defender Credential Guard apare doar pe dispozitivele care rulează versiuni Enterprise de Windows 10 sau 11.
În timp ce utilizați computerul de la locul de muncă sau de la școală, va fi în liniște să vă conectați și să obțineți acces la o varietate de lucruri, cum ar fi fișiere, imprimante, aplicații și alte resurse din organizația dvs. Acest proces devine sigur, dar ușor pentru utilizator, înseamnă că pe acesta se află un număr de tokenuri de autentificare (denumite adesea "secrete") la un moment dat.
Dacă un atacator poate avea acces la unul sau mai multe dintre acele secrete, ar putea să le utilizeze pentru a avea acces la resursa organizațională (fișiere sensibile etc.) pentru care este secretul. Microsoft Defender Credential Guard contribuie la protejarea acestor secrete, amplasându-le într-un mediu protejat, virtualizat, în care doar anumite servicii le pot accesa atunci când este necesar.
Vă recomandăm să îl aveți activat dacă dispozitivul dvs. acceptă acest lucru.
Sfat: Dacă doriți mai multe detalii tehnice despre acest lucru, consultați Cum funcționează Defender Credential Guard.
Lista de blocare a driverelor vulnerabile Microsoft
Un driver este un software care permite sistemului de operare (în acest caz Windows) și unui dispozitiv (cum ar fi o tastatură sau o cameră web, de două exemple) să vorbească între ele. Atunci când dispozitivul dorește ca Windows să facă ceva, utilizează driverul pentru a trimite solicitarea respectivă. Din acest motiv, driverele au mult acces sensibil în sistemul dvs.
Începând cu actualizarea Windows 11 2022, avem acum o listă de drivere care au vulnerabilități de securitate cunoscute, care au fost semnate cu certificate care au fost utilizate pentru a semna malware sau care ocolește modelul Securitate Windows.
Dacă aveți integritatea memoriei, Smart App Control sau modul Windows S activat, va fi activată și lista de blocare a driverelor vulnerabile.
