Windows 安全性應用程式中的裝置安全性

記憶體完整性，也稱為受管理程式保護的程式碼完整性 (HVCI) 是一項 Windows 安全功能，可使惡意程式難以使用低階驅動程式劫持您的電腦。

驅動程式是一種軟體，可讓作業系統 (Windows（在本例中）) ，並且鍵盤或網路攝影機等裝置 () 相互交談。 當裝置想要 Windows 執行某些動作時，它會使用驅動程式來傳送該要求。

記憶體完整性的工作原理是使用 硬體虛擬化建立隔離的環境。

把它想像成一個上鎖的隔間裡的保安。 在我們的類比中，這種隔離的環境 (鎖定的展位) 防止記憶體完整性功能被攻擊者篡改。 想要運行一段可能危險的代碼的程序必須將代碼傳遞到該虛擬展位內的內存完整性，以便可以對其進行驗證。 當記憶體完整性認為程式碼安全時，它會將程式碼交回 Windows 執行。 通常，這種情況發生得非常快。

如果沒有執行記憶體完整性， 安全防護就會在空曠的地方脫穎而出，攻擊者更容易干擾或破壞防護，從而使惡意程式碼更容易溜過並造成問題。

您可以使用切換按鈕開啟或關閉記憶體完整性。

如果它說我有一個不兼容的驅動程序怎麼辦？

如果記憶體完整性無法開啟，它可能會告訴您已安裝不相容的裝置驅動程式。 請諮詢設備製造商，看看他們是否有可用的更新驅動程式。 如果他們沒有可用的相容驅動程式，您也許可以移除使用該不相容驅動程式的裝置或應用程式。

硬體強制堆疊保護是一種基於硬體的安全功能，可使惡意程式難以使用低階驅動程式劫持您的電腦。

驅動程式是一種軟體，可讓作業系統 (Windows（在本例中）) ，並且鍵盤或網路攝影機等裝置 () 相互交談。 當裝置想要 Windows 執行某些動作時，它會使用驅動程式來傳送該要求。

硬體強制堆疊保護的運作方式是防止修改核心模式記憶體中的傳回位址以啟動惡意程式碼的攻擊。 此安全性功能需要 CPU 能夠驗證執行中程式碼的傳回位址。

在核心模式中執行程式碼時，核心模式堆疊上的傳回位址可能會被惡意程式或驅動程式破壞，以便將正常程式碼執行重新導向至惡意程式碼。 在支援的 CPU 上，CPU 會在驅動程式無法修改的唯讀陰影堆疊上維護有效傳回位址的第二個複本。 如果已修改一般堆疊上的傳回位址，CPU 可以透過檢查陰影堆疊上傳回位址的複本來偵測此差異。 當出現這種差異時，電腦會提示停止錯誤，有時稱為藍屏，以防止惡意程式碼執行。

並非所有驅動程式都與此安全功能相容，因為少數合法驅動程式出於非惡意目的進行回傳地址修改。 Microsoft 一直在與眾多驅動程式發行者合作，以確保其最新的驅動程式與硬體強制堆疊保護相容。

您可以使用切換按鈕開啟或關閉硬體強制堆疊保護。

若要使用硬體強制堆疊保護，您必須啟用記憶體完整性，而且您必須執行支援 Intel Control-Flow 強制技術 或 AMD 影子堆疊的 CPU。

如果它說我有不相容的驅動程式或服務怎麼辦？

如果硬體強制堆疊保護無法開啟，可能會告訴您已安裝不相容的裝置驅動程式或服務。 請洽詢裝置製造商或應用程式發行者，以瞭解他們是否有可用的更新驅動程式。 如果他們沒有可用的相容驅動程式，您也許可以移除使用該不相容驅動程式的裝置或應用程式。

某些應用程式可能會在應用程式安裝期間安裝服務，而不是驅動程式，而且只有在啟動應用程式時才安裝驅動程式。 為了更準確地偵測不相容的驅動程式，也會列舉已知與不相容驅動程式相關聯的服務。

此安全性功能也稱為 核心 DMA 保護，可保護您的裝置免受惡意裝置插入 PCI) 連接埠 （例如 Thunderbolt 連接埠） (周邊元件互連時可能發生的攻擊。

其中一種攻擊的一個簡單例子是，如果有人離開他們的電腦去喝杯咖啡休息一下，當他們離開時，攻擊者介入，插入類似 USB 的設備並帶走機器中的敏感數據，或者注入惡意軟件允許他們遠程控制 PC。 

記憶體存取保護會拒絕直接存取這些裝置的記憶體，以防止這類攻擊，除非在特殊情況下，特別是當電腦鎖定或使用者登出時。

每個設備都有一些軟件，這些軟件已寫入設備的只讀內存（基本上寫入系統板上的芯片上），用於設備的基本功能，例如加載運行我們習慣使用的所有應用程序的操作系統。 由於該軟體很難 (但並非不可能) 修改，因此我們將其稱為 韌體。

由於韌體首先載入並在作業系統 下運行，因此在作業系統中執行的安全工具和功能很難偵測到它或防禦它。 就像房子依賴良好的基礎才能安全一樣，計算機需要其固件安全，以確保該計算機上的操作系統、應用程序和數據是安全的。

系統防護是一組功能，可協助確保攻擊者無法讓您的裝置以不受信任或惡意韌體啟動。

提供韌體保護的平台通常也會在不同程度上保護 系統管理模式 (SMM) ，這是一種高權限的操作模式。 您可以預期三個值之一，數字越高表示 SMM 保護程度越高：

• 您的裝置符合韌體保護第一版：這提供基本的安全性風險降低，以協助 SMM 抵禦惡意程式碼的惡意探索，並防止從作業系統 (（包括 VBS) ）外洩秘密

• 您的裝置符合韌體保護第二版：除了 韌體保護第一版之外，第二版可確保 SMM 無法停用虛擬化型安全性 (VBS) 和核心 DMA 保護

• 您的裝置符合韌體保護第三版：除了 韌體保護第二版之外，它還會透過防止存取某些能夠入侵作業系統 (包括 VBS) 的暫存器來進一步強化 SMM

本機安全性授權單位 (LSA) 保護是一項 Windows 安全性功能，可協助防止用來登入 Windows 的認證遭竊取。   

LSA) (本地安全機構是 Windows 中涉及使用者身份驗證的關鍵進程。 它負責在登入過程中驗證憑證，並管理用於啟用服務單一登入的驗證權杖和票證。 LSA 保護有助於防止不受信任的軟體在 LSA 內運行或存取 LSA 記憶體。  

如何？管理本機安全機構的保護？

您可以使用切換按鈕開啟或關閉 LSA 保護。

變更設定之後，您必須重新啟動才能生效。 

如果我的軟體不相容怎麼辦？ 

如果啟用 LSA 保護，且會封鎖將軟體載入 LSA 服務，則會指出封鎖的檔案。 您也許可以移除載入檔案的軟體，或者當該檔案被封鎖載入 LSA 時，您可以停用該檔案的未來警告。  

當您使用公司或學校裝置時，它會悄悄登入並存取各種專案，例如組織中的檔案、印表機、應用程式和其他資源。 讓該過程安全，但對用戶來說很容易，這意味著您的電腦在任何給定時間都有許多身份驗證令牌。

如果攻擊者可以存取其中一個或多個權杖，他們可能能夠使用這些權杖來存取權杖所針對的組織資源 (敏感性檔案等) 。 Credential Guard 將這些權杖放在受保護的虛擬化環境中，在必要時只有特定服務可以存取它們，以協助保護這些權杖。

驅動程式是一種軟體，可讓作業系統 (Windows（在本例中）) ，並且鍵盤或網路攝影機等裝置 () 相互交談。 當裝置想要 Windows 執行某些動作時，它會使用驅動程式來傳送該要求。 因此，驅動程式在您的系統中擁有大量敏感存取權限。

Windows 11 包含具有已知安全性弱點、已使用用來簽署惡意代碼的憑證簽署，或規避 Windows 安全性模型的驅動程式封鎖清單。

如果您開啟記憶體完整性、 智慧型應用程式控制或 Windows S 模式，易受攻擊的驅動程式封鎖清單也會開啟。

您可在這裡找到有關安全處理器製造商和版本號碼的資訊，以及安全處理器狀態的相關資訊。

在電腦上的 [Windows 安全性] 應用程式 中， 選取 [裝置安全性] > [ 安全性處理器詳細資料 ]，或使用下列快速鍵：

安全處理器詳細資料

如果您的安全處理器無法正常運作，您可以選取 [ 安全處理器疑難排解] 連結來查看任何錯誤訊息和進階選項，或使用下列快速鍵：

安全性處理器疑難排解

安全性處理器疑難排解頁面會提供 TPM 的任何相關錯誤訊息。 以下是錯誤訊息和詳細資料的清單：

訊息	詳細資料
您的安全處理器 (TPM) 需要韌體更新。	您裝置的主機板目前似乎不支援 TPM，但韌體更新可能會解決此問題。 請洽詢裝置製造商，以瞭解是否有可用的韌體更新以及如何安裝。 韌體更新通常是免費的。
TPM 已停用，而且需要注意。	受信任的平臺模組可能在系統 BIOS (基本輸入/輸出系統) 或 UEFI (統一可延伸韌體介面) 中關閉。 請參閱裝置製造商的支援文件，或聯絡其技術支援，以取得如何開啟裝置的指示。
無法使用 TPM 儲存體。 請清除您的 TPM。	清除 TPM 按鈕位於此頁面上。 在繼續之前，您需要確保對資料進行良好的備份。
裝置健康情況證明無法使用。 請清除您的 TPM。	清除 TPM 按鈕位於此頁面上。 在繼續之前，您需要確保對資料進行良好的備份。
這個裝置不支援裝置健康情況證明。	這表示裝置無法提供足夠的資訊來判斷 TPM 無法在您的裝置上正常運作的原因。
您的 TPM 與您的韌體不相容，可能無法正常運作。	請洽詢裝置製造商，瞭解是否有可用的韌體更新，以及如何取得和安裝韌體更新。 韌體更新通常是免費的。
TPM 測量開機記錄遺失。 請嘗試將您的裝置重新開機。
您的 TPM 發生問題。 請嘗試將您的裝置重新開機。

如果在處理錯誤訊息後仍然遇到問題，請連絡裝置製造商以尋求協助。

選取 [清除 TPM]，將安全處理器重設為預設設定。