Перейти до основного
Підтримка
Вхід
Вхід за допомогою облікового запису Microsoft
Увійдіть або створіть обліковий запис.
Вітаємо,
Виберіть інший обліковий запис.
У вас є кілька облікових записів
Виберіть обліковий запис, за допомогою якого потрібно ввійти.

Ізоляція ядра – це функція безпеки Microsoft Windows, яка захищає важливі основні процеси Windows від програм, створених зловмисниками, ізолюючи їх у пам'яті. Він робить це, запускаючи ці основні процеси в віртуалізованому середовищі. 

Примітка.: Те, що ви бачите на сторінці Ізоляція ядра, може дещо відрізнятися залежно від того, яку версію Windows ви використовуєте.

Цілісність пам’яті

Цілісність пам'яті, також відома як Цілісність коду, захищена гіпервізором (HVCI), – це функція безпеки Windows, яка ускладнює зловмисним програмам використання драйверів низького рівня для викрадення комп'ютера.

Драйвер – це програмне забезпечення, яке дає змогу операційній системі (у цьому випадку Windows) і пристрою (наприклад, клавіатурі або веб-камері) розмовляти один з одним. Коли пристрій хоче, щоб Windows щось виправив за допомогою драйвера, надішліть цей запит.

Порада.: Хочете дізнатися більше про драйвери? Див. статтю Що таке драйвер?

Цілісність пам'яті працює, створюючи ізольоване середовище за допомогою віртуалізації обладнання.

Подумайте про це, як про охоронця всередині заблокованого стенду. Це ізольоване середовище (заблокований стенд в нашій аналогії) запобігає підробці функції цілісності пам'яті зловмисником. Програма, яка хоче запустити шматок коду, який може бути небезпечним, повинен передати код цілісності пам'яті всередині цього віртуального стенду, щоб його можна було перевірити. Коли цілісність пам'яті зручна, що код безпечний, він передає код назад у Windows для запуску. Зазвичай це відбувається дуже швидко.

Без запуску цілісності пам'яті "охоронець" виділяється прямо у відкритому місці, де зловмиснику набагато легше заважати або саботувати охоронця, що полегшує для зловмисного коду прокрастися повз і викликати проблеми.

Як керувати цілісністю пам'яті?

У більшості випадків цілісність пам'яті ввімкнуто за замовчуванням у Windows 11, і її можна ввімкнути для Windows 10.

Щоб увімкнути або вимкнути цю функцію, виконайте наведені нижче дії.

  1. Натисніть кнопку Пуск і введіть "Ізоляція ядра".

  2. Виберіть настройки системи "Ізоляція ядра" в результатах пошуку, щоб відкрити програму безпеки Windows.

На сторінці Ізоляція ядра ви знайдете цілісність пам'яті разом із перемикачем, щоб увімкнути або вимкнути його.

Сторінка ізоляції ядра Безпека у Windows

Увага!: Для безпечного використання радимо ввімкнути цілісність пам'яті.

Щоб використовувати цілісність пам'яті, потрібно ввімкнути апаратну віртуалізацію в UEFI або BIOS системи. 

Що робити, якщо в мене є несумісний драйвер?

Якщо не вдається ввімкнути цілісність пам'яті, це може вказувати на те, що на комп'ютері вже інстальовано несумісний драйвер пристрою. Зверніться до виробника пристрою, щоб дізнатися, чи доступний у них оновлений драйвер. Якщо сумісні драйвери недоступні, ви можете видалити пристрій або програму, яка використовує цей несумісний драйвер.

Функція цілісності пам'яті Windows, яка показує, що драйвер несумісний

Примітка.: Якщо спробувати інсталювати пристрій із несумісним драйвером після ввімкнення цілісності пам'яті, може з'явитися таке саме повідомлення. Якщо так, застосовується та сама порада. Зверніться до виробника пристрою, щоб дізнатися, чи є у них оновлений драйвер, який можна завантажити, або не інсталюйте цей пристрій, доки не з'явиться сумісний драйвер.

Захист доступу до пам'яті

Також відомий як "Kernel DMA protection" це захищає ваш пристрій від атак, які можуть виникнути, коли зловмисний пристрій підключено до порту PCI (peripheral Component Interconnect), як порт Thunderbolt.

Простим прикладом однієї з цих атак було б, якщо хтось залишає свій ПК для швидкої перерви на каву, і поки вони були відсутні, зловмисник крокує, підключає USB-пристрій і йде з конфіденційними даними з комп'ютера або вводить шкідливе програмне забезпечення, яке дозволяє їм керувати ПК віддалено. 

Захист доступу до пам'яті запобігає цим видам атак, забороняючи прямий доступ до пам'яті на ці пристрої, за винятком особливих обставин, особливо коли ПК заблоковано або користувач вийшов із системи.

Радимо ввімкнути захист доступу до пам'яті.

Порада.: Щоб отримати докладніші відомості про це, див. статтю Захист DMA ядра.

Захист мікропрограми

Кожен пристрій має деяке програмне забезпечення, яке було написано лише для читання пам'яті пристрою - в основному написано на чіп на системній дошці - що використовується для основних функцій пристрою, таких як завантаження операційної системи, яка запускає всі програми, які ми звикли використовувати. Оскільки це програмне забезпечення важко (але не неможливо) змінити ми називаємо його мікропрограмою.

Оскільки мікропрограма спочатку завантажується та працює під операційною системою, засоби безпеки та функції, які працюють в операційній системі, важко виявити або захиститися від неї. Як будинок, який залежить від хорошого фундаменту, щоб бути безпечним, комп'ютер потребує його прошивки, щоб забезпечити безпеку операційної системи, програм і даних клієнтів на цьому комп'ютері.

Windows Defender System Guard – це набір функцій, який допомагає гарантувати, що зловмисники не зможуть змусити ваш пристрій почати роботу з ненадійною або зловмисною мікропрограмою.

Радимо ввімкнути його, якщо ваш пристрій підтримує цю функцію.

Платформи, які пропонують захист мікропрограм, зазвичай також захищають режим керування системою (SMM), привілейований режим роботи, до різних ступенів. Ви можете очікувати одне з трьох значень із більшим числом, яке вказує на вищий ступінь захисту SMM:

  • Ваш пристрій відповідає версії захисту мікропрограми: вона пропонує засоби захисту системи безпеки, які допомагають SMM протистояти експлуатації зловмисним програмам і запобігає ексфільтруванню секретів з ОС (включно з VBS)

  • Ваш пристрій відповідає захисту мікропрограми версії 2: на додаток до захисту мікропрограми версії 1, версія 2 гарантує, що SMM не може вимкнути захист на основі віртуалізації (VBS) і Ядра DMA захисту

  • Ваш пристрій відповідає захисту мікропрограм версії 3: на додаток до захисту мікропрограми версії 2, він ще більше загартує SMM шляхом запобігання доступу до деяких реєстрів, які мають можливість поставити під загрозу ОС (в тому числі VBS)

Порада.: Якщо ви хочете отримати додаткові технічні відомості про це, див. статтю Захисник Windows System Guard: Як апаратний корінь довіри допомагає захистити Windows

Microsoft Defender Credential Guard

Примітка.: Microsoft Defender Credential Guard відображається лише на пристроях із корпоративними версіями Windows 10 або 11.

Під час роботи на робочому або навчальному комп'ютері ви спокійно входитимете та отримуватимете доступ до різноманітних елементів, як-от файлів, принтерів, програм та інших ресурсів у вашій організації. Щоб зробити цей процес безпечним, але простий для користувача, це означає, що на комп'ютері є кілька маркерів автентифікації (які часто називають "секретами") на ньому в будь-який момент часу.

Якщо зловмисник може отримати доступ до одного або кількох секретів, вони можуть використовувати їх, щоб отримати доступ до ресурсів організації (конфіденційних файлів тощо), для яких використовується секрет. Microsoft Defender Credential Guard допомагає захистити ці секрети, поклавши їх у захищене, віртуалізоване середовище, де тільки певні служби можуть отримати доступ до них, коли це необхідно.

Радимо ввімкнути його, якщо ваш пристрій підтримує цю функцію.

Порада.: Щоб отримати докладніші відомості про цю функцію, див. статтю Як працює Засіб захисту облікових даних Захисника.

Список заблокованих драйверів (Microsoft)

Драйвер – це програмне забезпечення, яке дає змогу операційній системі (у цьому випадку Windows) і пристрою (наприклад, клавіатурі або веб-камері) розмовляти один з одним. Коли пристрій хоче, щоб Windows щось виправив за допомогою драйвера, надішліть цей запит. Через це драйвери мають великий конфіденційний доступ у вашій системі.

Починаючи з оновлення Windows 11 2022 року, ми маємо список заблокованих драйверів, які мають відомі вразливості системи безпеки, підписані за допомогою сертифікатів, які використовувалися для підписування зловмисного програмного забезпечення, або які обходять модель Безпека у Windows.

Якщо у вас увімкнуто цілісність пам'яті, режим Smart App Control або Windows S, вразливий список заблокованих драйверів також буде ввімкнуто.

Додаткові відомості

Захистіть себе за допомогою Безпеки у Windows

Довідка та навчання для системи безпеки Microsoft

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.

Чи ця інформація була корисною?

Наскільки ви задоволені якістю мови?
Що вплинуло на ваші враження?
Натиснувши кнопку "Надіслати", ви надасте свій відгук для покращення продуктів і служб Microsoft. Ваш ІТ-адміністратор зможе збирати ці дані. Декларація про конфіденційність.

Дякуємо за відгук!

×