Pagina Securitate dispozitiv din aplicația Securitate Windows contribuie la protejarea dispozitivului dvs. Windows prin gestionarea caracteristicilor de securitate bazate pe hardware și ale sistemului de operare, inclusiv bootarea securizată, izolarea nucleului și protecțiile la nivel de procesor. Aceste caracteristici funcționează împreună pentru a se apăra împotriva malware-ului, a atacurilor de firmware și a compromiterii sistemului. Pagina este împărțită în secțiunile următoare:
- PC cu nucleu securizat: Dacă dispozitivul dvs. este un PC cu nucleu securizat, acesta afișează informații despre caracteristicile PC-ului cu nucleu securizat
- Izolarea nucleului: Aici puteți configura caracteristicile de securitate care protejează kernelul Windows
- Procesor de securitate: Oferă informații despre procesorul de securitate, care se numește Trusted Platform Module (TPM)
- Bootare sigură: dacă este activată bootarea sigură, puteți găsi mai multe informații despre aceasta
- Criptarea datelor: Aici puteți găsi un link către Setări Windows, unde puteți configura criptarea dispozitivelor și alte setări BitLocker
- Capacitatea de securitate hardware: evaluează caracteristicile de securitate hardware ale dispozitivului
În aplicația Securitate Windows
pe PC, selectați Securitate dispozitiv sau utilizați următoarea comandă rapidă:
PC cu nucleu securizat
Un PC cu nucleu securizat este proiectat să furnizeze caracteristici de securitate avansate imediat după scoaterea din cutie. Aceste PC-uri integrează hardware, firmware și software, pentru a oferi o protecție robustă împotriva amenințărilor sofisticate.
În aplicația Securitate Windows
pe PC, selectați Securitate> dispozitivDetalii de securitate.
Pentru mai multe informații, consultați PC-uri cu nucleu securizat Windows 11.
Izolare nucleu
Izolare nucleu oferă caracteristici de securitate proiectate să protejeze procesele de bază ale Windows împotriva software-ului rău intenționat, izolându-le în memorie. Acest lucru se face rulând acele procese de bază într-un mediu virtualizat.
În aplicația Securitate Windows
de pe PC, selectați Securitate> dispozitivDetalii despre izolarea nucleului sau utilizați următoarea comandă rapidă:
Notă
Caracteristicile expuse în pagina Izolare nucleu variază în funcție de versiunea de Windows pe care o rulați și de componentele hardware instalate.
Integritatea memoriei
Integritatea memoriei, cunoscută și sub numele de integritate a codului protejat prin hipervizor (HVCI) este o caracteristică de securitate Windows care îngreunează utilizarea de către programele rău-intenționate a driverelor de nivel scăzut pentru a vă deturna PC-ul.
Un driver este un software care permite sistemului de operare (în acest caz Windows) și unui dispozitiv (cum ar fi o tastatură sau o cameră web) să comunice între ele. Atunci când dispozitivul dorește ca Windows să facă ceva, utilizează driverul pentru a trimite această solicitare.
Integritatea memoriei funcționează prin crearea unui mediu izolat utilizând virtualizarea hardware.
Gândiți-vă la asta ca la un agent de securitate într-o cabină încuiată. Acest mediu izolat (cabina blocată în analogia noastră) împiedică modificarea caracteristicii de integritate a memoriei de către un atacator. Un program care dorește să ruleze o bucată de cod care poate fi periculoasă trebuie să transmită codul la integritatea memoriei din interiorul acelei cabine virtuale, astfel încât să poată fi verificat. Atunci când integritatea memoriei este confortabilă că este sigur codul, acesta returnează codul la Windows pentru ca să ruleze. De obicei, acest lucru se întâmplă foarte rapid.
Fără integritatea memoriei, paza iese în aer liber, unde este mult mai ușor ca un atacator să interfereze sau să o saboteze, facilitând strecurarea codului rău intenționat și cauzarea problemelor.
Puteți activa saudezactiva integritatea memoriei utilizând butonul de comutare.
Notă
Pentru a utiliza integritatea memoriei, trebuie să aveți virtualizarea hardware activată în UEFI sau BIOS al sistemului.
Ce se întâmplă dacă scrie că am un driver incompatibil?
Dacă nu reușește activarea integrității memoriei, este posibil să vă informeze că aveți deja instalat un driver de dispozitiv incompatibil. Consultați-vă cu producătorul dispozitivului pentru a vedea dacă are disponibil un driver actualizat. Dacă nu au la dispoziție un driver compatibil, este posibil să reușiți să eliminați dispozitivul sau aplicația care utilizează acel driver incompatibil.
Notă
Dacă încercați să instalați un dispozitiv cu un driver incompatibil după ce activați integritatea memoriei, este posibil să primiți același mesaj. Dacă da, se aplică același sfat: consultați producătorul dispozitivului pentru a vedea dacă are un driver actualizat pe care îl puteți descărca sau nu instalați dispozitivul respectiv până când nu este disponibil un driver compatibil.
Protecție a stivei impuse de hardware în modul kernel
Protecția stivă impusă de hardware este o caracteristică de securitate bazată pe hardware care îngreunează utilizarea de drivere de nivel scăzut de către programele rău-intenționate pentru a vă deturna PC-ul.
Un driver este un software care permite sistemului de operare (în acest caz Windows) și unui dispozitiv (cum ar fi o tastatură sau o cameră web) să comunice între ele. Atunci când dispozitivul dorește ca Windows să facă ceva, utilizează driverul pentru a trimite această solicitare.
Protecția stivei impuse de hardware funcționează prin prevenirea atacurilor care modifică adresele de returnare în memoria modului kernel pentru a lansa cod rău intenționat. Această caracteristică de securitate necesită un CPU care conține capacitatea de a verifica adresele de returnare ale codului care rulează.
Când executați cod în modul kernel, adresele de returnare din stiva modului kernel pot fi deteriorate de programe sau drivere rău intenționate, pentru a redirecționa executarea normală a codului către cod rău intenționat. Pe procesoarele acceptate, procesorul păstrează o a doua copie a adreselor de returnare valide pe o stivă din umbră doar în citire pe care driverele nu o pot modifica. Dacă o adresă de returnare din stiva obișnuită a fost modificată, procesorul poate detecta această discrepanță verificând copia adresei de returnare din stiva în umbră. Când apare această discrepanță, computerul solicită o eroare de oprire, cunoscută uneori sub numele de ecran albastru, pentru a împiedica executarea codului rău intenționat.
Nu toate driverele sunt compatibile cu această caracteristică de securitate, deoarece un număr mic de drivere legitime se angajează în modificarea adreselor de returnare în scopuri non-rău intenționate. Microsoft a luat legătura cu numeroși editori de drivere pentru a se asigura că cele mai recente drivere ale acestora sunt compatibile cu protecția stivuirii impuse de hardware.
Puteți activa saudezactiva protecția stivă impusă de hardware utilizând butonul de comutare.
Pentru a utiliza protecția stivei impuse de hardware, trebuie să aveți integritatea memoriei activată și să rulați un CPU care acceptă Intel Control-Flow Enforcement Technology sau AMD Shadow Stack.
Ce se întâmplă dacă scrie că am un driver sau un serviciu incompatibil?
Dacă protecția stivei impuse de hardware nu reușește să se activeze, este posibil să vă informeze că ați instalat deja un driver de dispozitiv incompatibil sau un serviciu incompatibil. Consultați-vă cu producătorul dispozitivului sau cu editorul aplicației pentru a vedea dacă este disponibil un driver actualizat. Dacă nu au la dispoziție un driver compatibil, este posibil să reușiți să eliminați dispozitivul sau aplicația care utilizează acel driver incompatibil.
Unele aplicații pot instala un serviciu în locul unui driver în timpul instalării aplicației și pot instala driverul doar atunci când este lansată aplicația. Pentru detectarea mai precisă a driverelor incompatibile, sunt enumerate și serviciile despre care se știe că sunt asociate cu drivere incompatibile.
Notă
Dacă încercați să instalați un dispozitiv sau o aplicație cu un driver incompatibil după ce activați protecția stivă impusă de hardware, este posibil să vedeți același mesaj. Dacă da, se aplică același sfat: consultați producătorul dispozitivului sau editorul aplicației pentru a vedea dacă au un driver actualizat pe care să-l puteți descărca sau nu instalați acel dispozitiv sau acea aplicație decât după ce este disponibil un driver compatibil.
Protecție acces la memorie
Cunoscută și sub numele de protecție Kernel DMA , această caracteristică de securitate vă protejează dispozitivul împotriva atacurilor care pot apărea atunci când un dispozitiv rău intenționat este conectat la un port PCI (Peripheral Component Interconnect), cum ar fi un port Thunderbolt.
Un exemplu simplu al unuia dintre aceste atacuri ar fi dacă cineva părăsește PC-ul pentru o pauză rapidă de cafea, iar în timp ce era plecat, intervine un atacator, conectează un dispozitiv asemănător USB și pleacă cu date sensibile de pe computer sau injectează malware care îi permite să controleze PC-ul de la distanță.
Protecția accesului la memorie previne aceste tipuri de atacuri, refuzând accesul direct la memorie la dispozitivele respective, cu excepția unor circumstanțe speciale, în special atunci când PC-ul este blocat sau utilizatorul este deconectat.
Sfat
Pentru mai multe informații, consultați Kernel DMA Protection.
Protecție prin firmware
Fiecare dispozitiv are un software care a fost scris în memoria doar în citire a dispozitivului - practic scris pe un cip de pe placa de sistem - care este folosit pentru funcțiile de bază ale dispozitivului, cum ar fi încărcarea sistemului de operare care rulează toate aplicațiile pe care suntem obișnuiți să le folosim. Deoarece acel software este dificil (dar nu imposibil) de modificat, ne referim la el ca la firmware.
Deoarece firmware-ul se încarcă mai întâi și rulează sub sistemul de operare, instrumentele de securitate și caracteristicile care rulează în sistemul de operare întâmpină dificultăți în a-l detecta sau a-l apăra. La fel ca o casă care depinde de o fundație bună pentru a fi în siguranță, un computer are nevoie de firmware pentru a se asigura că sistemul de operare, aplicațiile și datele de pe acel computer sunt sigure.
System Guard este un set de caracteristici care vă ajută să vă asigurați că atacatorii nu vă pot porni dispozitivul cu firmware rău intenționat sau care nu este de încredere.
Platformele care oferă protecție prin firmware protejează de obicei și modul de gestionare a sistemului (SMM), un mod de operare foarte privilegiat, în grade diferite. Vă puteți aștepta la una din trei valori, cu un număr mai mare indicând un grad mai mare de protecție SMM:
- Dispozitivul dvs. îndeplinește versiunea unu de protecție firmware: Aceasta oferă atenuările de bază pentru securitate pentru a ajuta SMM să reziste exploatării de către malware și previne scurgerea secretelor din sistemul de operare (inclusiv VBS)
- Dispozitivul îndeplinește protecția firmware versiunea doi: pe lângă protecția firmware, versiunea unu, a doua versiune asigură că SMM nu poate dezactiva securitatea bazată pe virtualizare (VBS) și protecțiile kernel DMA
- Dispozitivul îndeplinește versiunea trei de protecție firmware: pe lângă versiunea doi de protecție firmware, aceasta întărește și mai mult SMM, împiedicând accesul la anumite registre care au capacitatea de a compromite sistemul de operare (inclusiv VBS)
Sfat
Pentru mai multe informații, consultați System Guard: Cum ajută o rădăcină de încredere bazată pe hardware la protejarea Windows
Protecția autorității de securitate locale
Protecția autorității de securitate locale (LSA) este o caracteristică de securitate Windows care contribuie la prevenirea furtului acreditărilor utilizate pentru conectarea la Windows.
Autoritatea de securitate locală (LSA) este un proces esențial din Windows implicat în autentificarea utilizatorilor. Este responsabil pentru verificarea acreditărilor în timpul procesului de conectare și pentru gestionarea tokenurilor și tichetelor de autentificare utilizate pentru a activa sign-on unic pentru servicii. Protecția LSA împiedică rularea software-ului care nu este de încredere în interiorul LSA sau accesarea memoriei LSA.
Cum gestionez protecția autorității de securitate locale?
Puteți să activați sau să dezactivați protecția LSA utilizând butonul de comutare.
După ce ați modificat setarea, trebuie să reporniți pentru ca aceasta să aibă efect.
Notă
Pentru a menține acreditările în siguranță, protecția LSA este activată în mod implicit pe toate dispozitivele. Pentru instalări noi, este activată imediat. Pentru upgrade-uri, este activat după repornire, după o perioadă de evaluare de cinci zile.
Ce se întâmplă dacă am software incompatibil?
Dacă protecția LSA este activată și blochează încărcarea software-ului în serviciul LSA, o notificare indică fișierul blocat. Este posibil să reușiți să eliminați software-ul care încarcă fișierul sau să dezactivați avertismentele viitoare pentru acel fișier atunci când încărcarea acestuia este blocată în LSA.
Credential Guard
Notă
Credential Guard este disponibil pe dispozitivele care rulează versiunile Enterprise sau Education de Windows.
În timp ce utilizați dispozitivul de la locul de muncă sau de la școală, acesta se va conecta în silențios și va obține acces la diverse lucruri, cum ar fi fișiere, imprimante, aplicații și alte resurse din organizația dvs. Securizarea acestui proces, însă simplificată pentru utilizator, înseamnă că PC-ul are un număr de simboluri de autentificare la un moment dat.
Dacă un atacator poate obține acces la unul sau mai multe dintre aceste tokenuri, acesta le poate utiliza pentru a obține acces la resursa organizațională (fișiere confidențiale etc.) pentru care este destinat tokenul. Credential Guard contribuie la protejarea acestor tokenuri, plasându-le într-un mediu protejat, virtualizat, în care doar anumite servicii le pot accesa atunci când este necesar.
Sfat
Pentru a afla mai multe, vedeți cum funcționează Credential Guard.
Lista de blocare a driverelor vulnerabile Microsoft
Un driver este un software care permite sistemului de operare (în acest caz Windows) și unui dispozitiv (cum ar fi o tastatură sau o cameră web) să comunice între ele. Atunci când dispozitivul dorește ca Windows să facă ceva, utilizează driverul pentru a trimite această solicitare. Din acest motiv, driverele au mult acces sensibil în sistemul dvs.
Windows 11 include o listă de blocare de drivere care au vulnerabilități de securitate cunoscute, care au fost semnate cu certificate utilizate pentru a semna malware sau care eludează modelul de Securitate Windows.
Dacă aveți activată integritatea memoriei, Controlul inteligent al aplicațiilor sau modul Windows S, lista de blocare a driverului vulnerabil va fi activată, de asemenea.
Notă
Dacă întâlniți un banner intitulat Asistent compatibilitate programe, cu un mesaj care indică faptul că un driver nu se poate încărca sau că o setare de securitate împiedică încărcarea unui driver, căutați drivere actualizate prin Windows Update sau prin Manager dispozitive. Dacă nu sunt disponibile actualizări, contactați producătorul hardware-ului pentru un driver actualizat.
Procesor de securitate
Setările procesorului de securitate de sub pagina Securitate dispozitiv din aplicația Securitate Windows furnizează detalii despre Trusted Platform Module (TPM) de pe dispozitivul dvs. TPM este o componentă hardware proiectată să îmbunătățească securitatea prin efectuarea de operațiuni criptografice.
Notă
Dacă nu vedeți o intrare Procesor de securitate în acest ecran, este posibil ca dispozitivul să nu aibă hardware-ul TPM (Trusted Platform Module) necesar pentru această caracteristică sau să nu fie activat în UEFI (Unified Extensible Firmware Interface). Consultați-vă cu producătorul dispozitivului pentru a vedea dacă dispozitivul acceptă TPM și, dacă acceptă, pașii pentru activare.
Detalii procesor de securitate
Aici veți găsi informații despre producătorul procesorului de securitate și numerele de versiune, precum și informații despre starea procesorului de securitate.
În aplicația Securitate Windows
pe PC, selectați Securitate> dispozitivDetalii procesor de securitate sau utilizați următoarea comandă rapidă:
Depanare procesor de securitate
Dacă procesorul de securitate nu funcționează corect, puteți să selectați linkul Depanare procesor de securitate pentru a vedea toate mesajele de eroare și opțiunile complexe sau să utilizați următoarea comandă rapidă:
Pagina de depanare a procesorului de securitate furnizează toate mesajele de eroare relevante despre TPM. Iată o listă de mesaje de eroare și detalii:
| Mesaj | Detalii |
|---|---|
| Este necesară o actualizare de firmware pentru procesorul de securitate (TPM). | Placa de bază a dispozitivului nu pare să accepte TPM în prezent, dar o actualizare de firmware ar putea rezolva acest lucru. Consultați-vă cu producătorul dispozitivului pentru a vedea dacă este disponibilă o actualizare de firmware și cum să o instalați. Actualizările de firmware sunt, de obicei, gratuite. |
| TPM este dezactivat și necesită atenție. | Modulul de platformă de încredere este probabil dezactivat în sistemul BIOS (Basic Input/Output System) sau în UEFI (Unified Extensible Firmware Interface). Consultați documentația de asistență a producătorului dispozitivului sau contactați asistența tehnică pentru instrucțiuni despre cum să o activați. |
| Spațiul de stocare TPM nu este disponibil. Goliți TPM. | Butonul Golire TPM se află pe această pagină. Se recomandă să vă asigurați că aveți o copie backup bună a datelor înainte de a continua. |
| Atestarea stării de bună funcționare a dispozitivului nu este disponibilă. Goliți TPM. | Butonul Golire TPM se află pe această pagină. Se recomandă să vă asigurați că aveți o copie backup bună a datelor înainte de a continua. |
| Atestarea stării de funcționare a dispozitivului nu este acceptată pe acest dispozitiv. | Acest lucru înseamnă că dispozitivul nu ne oferă suficiente informații pentru a determina de ce TPM nu funcționează corect pe dispozitivul dvs. |
| TPM-ul nu este compatibil cu firmware-ul și este posibil să nu funcționeze corect. | Consultați-vă cu producătorul dispozitivului pentru a vedea dacă este disponibilă o actualizare de firmware și cum s-o obțineți și să o instalați. Actualizările de firmware sunt, de obicei, gratuite. |
| Jurnalul de boot măsurat al TPM lipsește. Încercați să reporniți dispozitivul. | |
| Există o problemă cu TPM. Încercați să reporniți dispozitivul. |
Dacă încă întâmpinați probleme după rezolvarea unui mesaj de eroare, contactați producătorul dispozitivului pentru asistență.
Selectați Golire TPM pentru a reseta procesorul de securitate la setările sale implicite.
Atenție
Nu uitați să faceți backup datelor înainte de a goli TPM.
Boot securizat
Bootul securizat împiedică încărcarea unui tip de malware sofisticat și periculos - un rootkit - atunci când pornește dispozitivul. Modulele rootkit utilizează aceleași permisiuni ca sistemul de operare și pornesc înaintea lui, ceea ce înseamnă că se pot ascunde complet. Modulele rootkit sunt adesea parte dintr-o suită întreagă de malware care poate ocoli conectările locale, înregistra parole și apăsări de taste, transfera fișiere private și captura date criptografice.
Poate fi necesar să dezactivați bootul securizat pentru a rula unele plăci video, hardware sau sisteme de operare, cum ar fi Linux sau versiuni anterioare de Windows.
Pentru a afla mai multe, consultați Bootare securizată.
Capacitatea de securitate a hardware-ului
Ultima secțiune a paginii Securitate dispozitiv afișează informații care indică capacitatea de securitate a dispozitivului. Iată o listă de mesaje și detalii:
| Mesaj | Detalii |
|---|---|
| Dispozitivul îndeplinește cerințele pentru securitatea hardware standard. | Acest lucru înseamnă că dispozitivul acceptă integritatea memoriei și izolarea nucleului și, de asemenea, are:
|
| Dispozitivul îndeplinește cerințele pentru securitatea hardware îmbunătățită. | Aceasta înseamnă că, în plus față de îndeplinirea tuturor cerințelor de securitate hardware standard, dispozitivul are activată și integritatea memoriei. |
| Dispozitivul dvs. are activate toate caracteristicile PC-ului nucleu securizat. | Aceasta înseamnă că, în plus față de îndeplinirea tuturor cerințelor de securitate hardware îmbunătățite, dispozitivul are activată și protecția Modului de gestionare a sistemului (SMM). |
| Securitatea hardware Standard nu este acceptată. | Acest lucru înseamnă că dispozitivul dvs. nu îndeplinește nici măcar una dintre cerințele de securitate hardware standard. |
Notă
- Îmbunătățirea securității hardware-ului
- În cazul în care capacitatea de securitate a dispozitivului nu este la nivelul pe care îl doriți, ar putea fi necesar să activați anumite caracteristici de hardware (de exemplu, bootul securizat, dacă este acceptat) sau să modificați setările din BIOS-ul sistemului. Contactați producătorul de hardware pentru a vedea ce caracteristici sunt acceptate de hardware și cum să le activați.
Manager PC
|
De asemenea, aplicația Manager PC poate fi utilă în acest scenariu. Pentru mai multe informații, consultați Microsoft Manager PC. Notă: Microsoft Manager PC nu este disponibil în toate setările regionale. |
|---|