Izolácia jadra je funkciou zabezpečenia systému Microsoft Windows, ktorá chráni dôležité základné procesy Windowsu pred škodlivým softvérom ich izoláciou v pamäti. Robí to spustením týchto základných procesov vo virtualizovanom prostredí.
Poznámka: Obsah zobrazený na stránke izolácie Core sa môže mierne líšiť v závislosti od verzie Windowsu, ktorú používate.
Integrita pamäte
Integrita pamäte, známa aj ako Integrita kódu chránená hypervízorom (HVCI), je funkciou zabezpečenia systému Windows, ktorá sťažuje škodlivým programom používať ovládače nízkej úrovne na únos počítača.
Ovládač je softvér, ktorý umožňuje operačnému systému (v tomto prípade Windowsu) a zariadeniu (ako je klávesnica alebo webová kamera, pre dva príklady) navzájom komunikovať. Keď zariadenie chce, aby Windows urobil niečo, čo na odoslanie tejto žiadosti používa ovládač.
Tip: Chcete sa dozvedieť viac o ovládačoch? Pozrite si tému Čo je ovládač?
Integrita pamäte funguje vytvorením izolovaného prostredia pomocou hardvérovej virtualizácie.
Predstavte si to ako ochranka v zamknutej búdke. Toto izolované prostredie (uzamknutá búdka v našej analógii) zabraňuje tomu, aby útočník manipuloval s funkciou integrity pamäte. Program, ktorý chce spustiť kus kódu, ktorý môže byť nebezpečný, musí odovzdať kód na integritu pamäte vo vnútri virtuálneho stánku tak, aby bolo možné overiť. Keď je integrita pamäte pohodlná, že kód je bezpečný, odovzdá kód späť do Windowsu na spustenie. Zvyčajne sa to stáva veľmi rýchlo.
Bez spustenia integrity pamäte", "ochranka" vyniká priamo v otvorenej, kde je to oveľa jednoduchšie pre útočníka zasahovať alebo sabotovať stráže, čo uľahčuje škodlivý kód prepašovať minulosti a spôsobiť problémy.
Ako môžem spravovať integritu pamäte?
Vo väčšine prípadov je integrita pamäte predvolene zapnutá v Windows 11 a môže byť zapnutá pre Windows 10.
Zapnutie alebo vypnutie:
-
Vyberte tlačidlo Štart a zadajte "Core isolation" (Izolácia jadra).
-
Vo výsledkoch hľadania vyberte nastavenia systému Core Isolation a otvorte aplikáciu zabezpečenia systému Windows.
Na stránke izolácie Jadra nájdete integritu pamäte spolu s prepínačom na jej zapnutie alebo vypnutie.
Dôležité: Z dôvodu bezpečnosti odporúčame zapnúť integritu pamäte.
Ak chcete použiť integritu pamäte, musíte mať v systéme UEFI alebo BIOS povolenú hardvérovú virtualizáciu.
Čo ak sa v ňom píše, že mám nekompatibilný ovládač?
Ak sa integrita pamäte nepodarí zapnúť, môže sa stať, že máte nainštalovaný nekompatibilný ovládač zariadenia. Obráťte sa na výrobcu zariadenia a zistite, či je k dispozícii aktualizovaný ovládač. Ak nemajú k dispozícii kompatibilný ovládač, možno budete môcť odstrániť zariadenie alebo aplikáciu, ktorá používa tento nekompatibilný ovládač.
Poznámka: Ak sa pokúsite nainštalovať zariadenie s nekompatibilným ovládačom po zapnutí integrity pamäte, môže sa zobraziť rovnaké hlásenie. Ak áno, platí rovnaká rada – obráťte sa na výrobcu zariadenia a zistite, či má aktualizovaný ovládač, ktorý si môžete stiahnuť, alebo nenainštalujte toto konkrétne zariadenie, kým nebude k dispozícii kompatibilný ovládač.
Ochrana prístupu k pamäti
Tiež známy ako "Kernel DMA ochrana" to chráni vaše zariadenie pred útokmi, ktoré môžu nastať, keď je škodlivé zariadenie zapojený do PCI (periférne komponenty Interconnect) port ako Thunderbolt port.
Jednoduchým príkladom jedného z týchto útokov by bolo, keby niekto opustil svoj počítač na rýchlu prestávku na kávu, a keď bol preč, útočník kroky, pripojí USB-ako zariadenie a odíde s citlivými údajmi zo zariadenia, alebo vstrekuje malware, ktorý im umožňuje ovládať PC na diaľku.
Ochrana prístupu k pamäti zabraňuje týmto typom útokov tým, že zamietne priamy prístup k pamäti k týmto zariadeniam s výnimkou osobitných okolností, najmä keď je počítač zamknutý alebo používateľ odhlásený.
Odporúčame zapnúť ochranu prístupu k pamäti.
Tip: Ak by ste chceli viac technických podrobností o tomto pozri Kernel DMA Protection.
Ochrana firmvéru
Každé zariadenie má nejaký softvér, ktorý bol napísaný na čítanie-len pamäte zariadenia - v podstate napísané na čip na systémovej doske - ktorý sa používa pre základné funkcie zariadenia, ako je načítanie operačného systému, ktorý spúšťa všetky aplikácie sme zvyknutí používať. Vzhľadom k tomu, že softvér je ťažké (ale nie je nemožné), aby upravili sme odkazovať na to ako firmware.
Keďže firmvér sa najprv načíta a spustí sa v rámci operačného systému, bezpečnostné nástroje a funkcie, ktoré sa spúšťajú v operačnom systéme, majú problém zistiť ho alebo sa brániť proti nemu. Rovnako ako dom, ktorý závisí na dobré základy, ktoré majú byť zabezpečené, počítač potrebuje svoj firmware byť bezpečný, aby sa zabezpečilo, že operačný systém, aplikácie a zákaznícke dáta na tomto počítači sú bezpečné.
Windows Defender System Guard je množina funkcií, ktorá pomáha zabezpečiť, aby útočníci nemohli prinútiť vaše zariadenie začať s nedôveryhodným alebo škodlivým firmvérom.
Ak to vaše zariadenie podporuje, odporúčame, aby ste ho zapli.
Platformy, ktoré ponúkajú ochranu firmvéru, zvyčajne tiež v rôznej miere chránia režim správy systému (SMM), vysoko privilegovaný operačný režim. Môžete očakávať jednu z troch hodnôt s vyšším číslom označujúcim väčší stupeň ochrany SMM:
-
Vaše zariadenie spĺňa verziu 1 s ochranou firmvéru: toto ponúka základné bezpečnostné zmiernenia, ktoré pomáhajú SMM odolávať zneužívaniu malvérom a zabraňuje exfiltrácii tajomstiev z operačného systému (vrátane VBS)
-
Vaše zariadenie spĺňa ochranu firmvéru verzie 2: okrem verzie 1 na ochranu firmvéru, verzia 2 zabezpečuje, že SMM nemôže zakázať Virtualization-based Security (VBS) a jadro DMA ochrany
-
Vaše zariadenie spĺňa verziu 3 s ochranou firmvéru: okrem verzie 2 s ochranou firmvéru ešte stvrdne SMM tým, že zabráni prístupu k určitým registrom, ktoré majú schopnosť ohroziť operačný systém (vrátane VBS).
Tip: Ďalšie technické podrobnosti nájdete v téme Windows Defender System Guard: Ako koreňový adresár dôveryhodnosti založený na hardvéri pomáha chrániť Windows
Microsoft Defender Credential Guard
Poznámka: Microsoft Defender Credential Guard sa zobrazuje len v zariadeniach s podnikovými verziami Windows 10 alebo 11.
Pri používaní pracovného alebo školského počítača sa bude ticho prihlasovať a získavať prístup k rôznym veciach, ako sú súbory, tlačiarne, aplikácie a ďalšie zdroje vo vašej organizácii. Zabezpečenie tohto procesu pre používateľa znamená, že počítač má v danom čase množstvo overovacích tokenov (často označovaných ako tajné kódy).
Ak útočník môže získať prístup k jednému alebo viacerým z týchto tajných kódov, môže ho použiť na získanie prístupu k prostriedku organizácie (citlivé súbory atď.), pre ktorý je tajný kľúč určený. Microsoft Defender Credential Guard pomáha chrániť tieto tajomstvá tým, že ich vloží do chráneného, virtualizovaného prostredia, v ktorom k nim budú mať prístup iba niektoré služby v prípade potreby.
Ak to vaše zariadenie podporuje, odporúčame, aby ste ho zapli.
Tip: Ak chcete podrobnejšie informácie o tejto téme, pozrite si tému Fungovanie funkcie Defender Credential Guard.
Zoznam blokovaných ovládačov microsoft zraniteľných faktorov
Ovládač je softvér, ktorý umožňuje operačnému systému (v tomto prípade Windowsu) a zariadeniu (ako je klávesnica alebo webová kamera, pre dva príklady) navzájom komunikovať. Keď zariadenie chce, aby Windows urobil niečo, čo na odoslanie tejto žiadosti používa ovládač. Z tohto dôvodu majú ovládače vo vašom systéme veľa citlivých prístupov.
Od aktualizácie Windows 11 2022 máme teraz blokovaný zoznam ovládačov, ktoré majú známe chyby zabezpečenia, boli podpísané certifikátmi, ktoré sa použili na podpísanie malvéru alebo obchádzajú Windows Zabezpečenie model.
Ak máte zapnutú integritu pamäte, ovládací prvok smart aplikácií alebo režim Windows S, bude zapnutý aj blokovaný zoznam zraniteľných ovládačov.
Pozrite tiež
Neustála ochrana s programom Windows Zabezpečenie
Pomocník a školenia pre zabezpečenie od spoločnosti Microsoft
