Основная изоляция — это функция безопасности Microsoft Windows, которая защищает важные основные процессы Windows от вредоносных программ, изолируя их в памяти. Это делается путем запуска этих основных процессов в виртуализированной среде.
Примечание: То, что вы видите на странице изоляции Core, может немного отличаться в зависимости от версии Windows, которую вы используете.
Целостность памяти
Целостность памяти, также известная как HVCI, — это функция безопасности Windows, которая усложняет использование вредоносными программами низкоуровневого драйвера для перехвата компьютера.
Драйвер — это часть программного обеспечения, которая позволяет операционной системе (в данном случае Windows) и устройству (например, клавиатуре или веб-камере, например) взаимодействовать друг с другом. Если устройство хочет, чтобы Windows что-то делать, оно использует драйвер для отправки этого запроса.
Совет: Хотите узнать больше о драйверах? См. раздел "Что такое драйвер"?
Целостность памяти работает путем создания изолированной среды с помощью аппаратной виртуализации.
Представьте, что он является защитником в заблокированной будке. Эта изолированная среда (заблокированная в нашей аналогии) предотвращает незаконное изменение функции целостности памяти злоумышленником. Программа, которая хочет выполнить фрагмент кода, который может быть опасным, должна передать код в целостность памяти внутри виртуальной машины, чтобы его можно было проверить. Если целостность памяти вполне безопасна, код возвращается обратно в Windows для выполнения. Как правило, это происходит очень быстро.
Если целостность памяти не выполняется, "security guard" выделяется на открытом месте, где злоумышленнику гораздо проще мешать или подавлять защиту, что упрощает для вредоносного кода проскользнуть в прошлом и вызвать проблемы.
Разделы справки управлять целостностью памяти?
В большинстве случаев целостность памяти включена по умолчанию в Windows 11 и может быть включена для Windows 10.
Чтобы включить или отключить его, с помощью
-
Нажмите кнопку " Пуск" и введите "Базовая изоляция".
-
Выберите системные параметры core Isolation в результатах поиска, чтобы открыть приложение безопасности Windows.
На странице изоляции Core вы найдете целостность памяти, а также переключатель, чтобы включить или отключить ее.
Важно: Для обеспечения безопасности рекомендуется включить целостность памяти.
Чтобы использовать целостность памяти, необходимо включить аппаратную виртуализацию в UEFI или BIOS системы.
Что делать, если указано, что у меня несовместимый драйвер?
Если не удается включить целостность памяти, это может сообщить о том, что у вас уже установлен несовместимый драйвер устройства. Обратитесь к производителю устройства, чтобы узнать, доступен ли у них обновленный драйвер. Если у них нет совместимого драйвера, вы можете удалить устройство или приложение, использующее этот несовместимый драйвер.
Примечание: При попытке установить устройство с несовместимым драйвером после включения целостности памяти может появиться то же сообщение. Если да, применяются те же рекомендации. Обратитесь к производителю устройства, чтобы узнать, есть ли у них обновленный драйвер, который можно скачать, или не устанавливайте это конкретное устройство, пока не будет доступен совместимый драйвер.
Защита доступа к памяти
Это также называется "защитой DMA ядра", которая защищает устройство от атак, которые могут произойти, когда вредоносное устройство подключается к порту PCI (периферийное соединение компонентов), такому как порт Thunderbolt.
Простым примером одной из этих атак может быть то, что кто-то покидает компьютер для быстрого кофемашины, а пока он не был, злоумышленник подключает устройство, похожее на USB, и выходит с компьютера с конфиденциальными данными или внедряет вредоносные программы, позволяющие им удаленно управлять компьютером.
Защита доступа к памяти предотвращает такие атаки, запрещая прямой доступ к памяти этим устройствам, за исключением особых случаев, особенно при блокировке компьютера или выходе пользователя.
Рекомендуется включить защиту доступа к памяти.
Совет: Дополнительные технические сведения см. в разделе "Защита от DMA ядра".
Защита встроенного ПО
На каждом устройстве есть программное обеспечение, записанное в память устройства только для чтения ( по сути, записанное на микросхему на системной плате), которое используется для основных функций устройства, таких как загрузка операционной системы, в которой выполняются все приложения, которые мы используем. Так как это программное обеспечение трудно (но не невозможно) изменить, мы называем его "встроенное ПО".
Так как встроенное ПО загружается первым и выполняется "под" операционной системой, средства безопасности и компоненты, которые выполняются в операционной системе, сложно обнаружить или защитить от нее. Как и в случае дома, который зависит от надежной основы для обеспечения безопасности, компьютеру необходимо обеспечить безопасность встроенного ПО, чтобы обеспечить безопасность операционной системы, приложений и данных клиентов на этом компьютере.
Защитник Windows System Guard — это набор функций, которые помогают убедиться, что злоумышленники не могут запустить устройство с ненадежным или вредоносным встроенным ПО.
Мы рекомендуем включить его, если устройство его поддерживает.
Совет: Дополнительные технические сведения см. в Защитник Windows System Guard. Как аппаратный корень доверия помогает защитить Windows
Microsoft Defender Credential Guard
Примечание: Microsoft Defender Credential Guard отображается только на устройствах под управлением корпоративных версий Windows 10 или 11.
При работе с рабочим или учебным компьютером вы сможете войти в систему и получить доступ к различным элементам, таким как файлы, принтеры, приложения и другие ресурсы в организации. Обеспечение безопасности и простота этого процесса для пользователя означает, что на компьютере есть ряд маркеров проверки подлинности (часто называемых секретами) в любой момент времени.
Если злоумышленник может получить доступ к одному или нескольким секретам, он может использовать их для получения доступа к ресурсу организации (конфиденциальным файлам и т. д.), для которого предназначен секрет. Microsoft Defender Credential Guard помогает защитить эти секреты, помещая их в защищенную виртуализированную среду, в которой только определенные службы могут получить к ним доступ при необходимости.
Мы рекомендуем включить его, если устройство его поддерживает.
Совет: Дополнительные технические сведения см. в статье о работе Credential Guard в Defender.
Список блокировок для уязвимых драйверов Майкрософт
Драйвер — это часть программного обеспечения, которая позволяет операционной системе (в данном случае Windows) и устройству (например, клавиатуре или веб-камере, например) взаимодействовать друг с другом. Если устройство хочет, чтобы Windows что-то делать, оно использует драйвер для отправки этого запроса. По этой причине драйверы имеют большой объем конфиденциального доступа в системе.
Начиная с обновления Windows 11 2022 г., у нас есть список блокировок драйверов, которые имеют известные уязвимости системы безопасности, подписаны сертификатами, которые использовались для подписания вредоносных программ или обходом модели Безопасность Windows.
Если у вас есть целостность памяти, smart App Control или режим Windows S, список заблокированных драйверов будет включен.
