Izolace jádra je funkce zabezpečení systému Microsoft Windows, která chrání důležité základní procesy systému Windows před škodlivým softwarem tím, že je izoluje v paměti. Dělá to tak, že tyto základní procesy spouští ve virtualizovaném prostředí.
Poznámka: To, co vidíte na stránce Izolace jádra, se může trochu lišit v závislosti na tom, kterou verzi Windows používáte.
Integrita paměti
Integrita paměti, označovaná také jako HVCI (Hypervisor-protected Code Integrity), je funkce zabezpečení Windows, která škodlivým programům ztěžuje použití ovladačů nízké úrovně k napadení počítače.
Ovladač je software, který umožňuje operačnímu systému (v tomto případě Windows) a zařízení (například klávesnici nebo webkameře) vzájemně komunikovat. Když zařízení chce, aby systém Windows něco udělal, odešle příslušnou žádost pomocí ovladače.
Tip: Chcete se dozvědět víc o ovladačích? Podívejte se na téma Co je ovladač?
Integrita paměti funguje vytvořením izolovaného prostředí pomocí virtualizace hardwaru.
Představte si to jako bezpečnostní ochranu uvnitř uzamčeného stánku. Toto izolované prostředí (uzamčený stánek v naší analogii) brání útočníkovi v manipulaci s funkcí integrity paměti. Program, který chce spustit část kódu, která může být nebezpečná, musí předat kód integritě paměti uvnitř tohoto virtuálního stánku, aby ho bylo možné ověřit. Jakmile se integrita paměti přesvědčí, že je kód bezpečný, předá jej zpět systému Windows ke spuštění. Obvykle k tomu dochází velmi rychle.
Bez spuštěné integrity paměti stojí „bezpečnostní ochranné prvky“ přímo na volném prostranství, kde je pro útočníka mnohem snazší do něj zasáhnout nebo je sabotovat, což usnadňuje proniknutí škodlivého kódu a způsobení problémů.
Jak spravovat integritu paměti?
Ve většině případů je Integrita paměti ve Windows 11 ve výchozím nastavení zapnutá a dá se zapnout ve Windows 10.
Jak to zapnout nebo vypnout:
-
Vyberte tlačítko Start a zadejte „Izolace jádra“.
-
Ve výsledcích hledání vyberte systémové nastavení Izolace jádra a otevřete aplikaci Zabezpečení Windows.
Na stránce Izolace jádra najdete Integritu paměti spolu s příslušným přepínačem pro zapnutí nebo vypnutí.
Důležité informace: Z bezpečnostních důvodů doporučujeme nechat Integritu paměti zapnutou.
Pokud chcete používat Integritu paměti, musíte mít v rozhraní UEFI nebo BIOS vašeho systému povolenou virtualizaci hardwaru.
Co když se zobrazí zpráva, že mám nekompatibilní ovladač?
Pokud se integrita paměti nezapne, může se zobrazit informace o tom, že už máte nainstalovaný nekompatibilní ovladač zařízení. Obraťte se na výrobce zařízení a zjistěte, jestli má k dispozici aktualizovaný ovladač. Pokud nemá k dispozici kompatibilní ovladač, možná budete moct odebrat zařízení nebo aplikaci, která tento nekompatibilní ovladač používá.
Poznámka: Pokud se pokusíte nainstalovat zařízení s nekompatibilním ovladačem po zapnutí integrity paměti, může se zobrazit stejná zpráva. Pokud ano, platí stejná doporučení – obraťte se na výrobce zařízení a zjistěte, jestli má aktualizovaný ovladač, který si můžete stáhnout, případně toto konkrétní zařízení neinstalujte, dokud nebude k dispozici kompatibilní ovladač.
Hardwarem vynucená ochrana zásobníku v režimu jádra
Hardwarem vynucená ochrana zásobníku v režimu jádra je hardwarová funkce zabezpečení Windows, která škodlivým programům znesnadňuje použití ovladačů nízké úrovně k napadení počítače.
Ovladač je software, který umožňuje operačnímu systému (v tomto případě Windows) a zařízení, jako je klávesnice nebo webová kamera, komunikovat mezi sebou. Když zařízení chce, aby systém Windows něco udělal, odešle příslušnou žádost pomocí ovladače.
Tip: Chcete se dozvědět víc o ovladačích? Podívejte se na téma Co je ovladač?
Hardwarově vynucená ochrana zásobníku v režimu jádra funguje tak, že brání útokům, které upravují návratové adresy v paměti režimu jádra a spouštějí škodlivý kód. Tato funkce zabezpečení vyžaduje procesor, který obsahuje možnost ověřit návratové adresy spuštěného kódu.
Při spouštění kódu v režimu jádra můžou být návratové adresy v zásobníku režimu jádra poškozeny škodlivými programy nebo ovladači, aby se normální spouštění kódu přesměrovalo na škodlivý kód. Na podporovaných procesorech udržuje procesor druhou kopii platných návratových adres ve stínovém zásobníku jen pro čtení, který ovladače nemohou upravovat. Pokud byla změněna zpáteční adresa v běžném zásobníku, procesor může zjistit tuto nesrovnalost tím, že zkontroluje kopii zpáteční adresy ve stínovém zásobníku. Když dojde k této nesrovnalosti, počítač zobrazí výzvu k chybě Stop, která se někdy označuje jako modrá obrazovka, aby se zabránilo spuštění škodlivého kódu.
Ne všechny ovladače jsou kompatibilní s touto funkcí zabezpečení, protože malý počet legitimních ovladačů se zabývá úpravou zpáteční adresy pro nezlými účely. Společnost Microsoft spolupracuje s řadou vydavatelů ovladačů, aby zajistila, že jejich nejnovější ovladače jsou kompatibilní s hardwarem vynucenou ochranou stacku v režimu jádra.
Jak spravovat hardwarem vynucenou ochranu zásobníku v režimu jádra?
Hardwarem vynucená ochrana zásobníku v režimu jádra je ve výchozím nastavení vypnutá.
Jak to zapnout nebo vypnout:
-
Vyberte tlačítko Start a zadejte „Izolace jádra“.
-
Ve výsledcích hledání vyberte systémové nastavení Izolace jádra a otevřete aplikaci Zabezpečení Windows.
Na stránce Izolace jádra najdete hardwarem vynucenou ochranu zásobníku v režimu jádra spolu s přepínačem pro zapnutí nebo vypnutí.
Pokud chcete používat hardwarově vynucenou ochranu zásobníku v režimu jádra, musíte mít povolenou integritu paměti a musíte mít procesor, který podporuje technologii Intel Control-Flow Enforcement Technology nebo AMD Shadow Stack.
Co když se zobrazí zpráva, že mám nekompatibilní ovladač nebo službu?
Pokud se hardwarově vynucená ochrana zásobníku v režimu jádra nezapne, může to být jasné, že už máte nainstalovaný nekompatibilní ovladač zařízení nebo službu. Obraťte se na výrobce zařízení nebo vydavatele aplikace a zjistěte, jestli není k dispozici aktualizovaný ovladač. Pokud nemají k dispozici kompatibilní ovladač, možná budete moct odebrat zařízení nebo aplikaci, které tento nekompatibilní ovladač používají.
Některé aplikace mohou nainstalovat službu místo ovladače během instalace aplikace a nainstalovat ovladač pouze při spuštění aplikace. Pro přesnější detekci nekompatibilních ovladačů se také zobrazí výčet služeb, o kterých se ví, že jsou přidružené k nekompatibilním ovladačům.
Poznámka: Pokud se pokusíte nainstalovat zařízení nebo aplikaci s nekompatibilním ovladačem po zapnutí hardwarové ochrany Stack Protection v režimu jádra, může se zobrazit stejná zpráva. Pokud ano, platí to samé – obraťte se na výrobce zařízení nebo vydavatele aplikace a zjistěte, jestli nemá aktualizovaný ovladač, který si můžete stáhnout, nebo neinstalujte konkrétní zařízení nebo aplikaci, dokud nebude k dispozici kompatibilní ovladač.
Ochrana přístupu do paměti
Označuje se také jako „ochrana DMA jádra“, která chrání vaše zařízení před útoky, ke kterým může dojít, když je škodlivé zařízení zapojeno do portu PCI (Peripheral Component Interconnect), jako je port Thunderbolt.
Jednoduchým příkladem jednoho z těchto útoků by bylo, kdyby někdo opustil počítač na krátkou přestávku na kávu, a zatímco je pryč, útočník připojí USB zařízení a odebere z počítače citlivá data nebo vloží malware, který mu umožní ovládat počítač vzdáleně.
Ochrana přístupu k paměti zabraňuje těmto typům útoků tím, že těmto zařízením zakazuje přímý přístup k paměti s výjimkou zvláštních okolností, zejména pokud je počítač uzamčen nebo je uživatel odhlášen.
Doporučujeme mít ochranu přístupu k paměti zapnutou.
Tip: Pokud chcete další technické podrobnosti, podívejte se na informace o ochranu DMA jádra.
Ochrana firmwaru
Každé zařízení má nějaký software, který by zapsán do paměti zařízení jen pro čtení (v podstatě je zapsaný na čipu na systémové desce) a který se používá pro základní funkce zařízení, jako je načítání operačního systému, na kterém běží všechny aplikace, jež běžně používáme. Vzhledem k tomu, že tento software je obtížné (ale ne nemožné) upravit, označujeme ho jako firmware.
Vzhledem k tomu, že se firmware načte jako první a běží v operačním systému, nástroje a funkce zabezpečení, které běží v operačním systému, ho obtížně dokážou rozpoznat nebo se proti němu bránit. Stejně jako dům, jehož bezpečnost závisí na dobrých základech, potřebuje i počítač bezpečný firmware, který zajistí bezpečnost operačního systému, aplikací a dat zákazníků.
Ochrana System Guard v programu Windows Defender je sada funkcí, které pomáhají zajistit, aby útočníci nemohli přimět vaše zařízení ke spuštění s nedůvěryhodným nebo škodlivým firmwarem.
Doporučujeme, abyste ji měli zapnutou, pokud ji vaše zařízení podporuje.
Platformy, které nabízejí ochranu firmwaru, jsou obvykle v různé míře chráněny také Režimem správy systému(SMM), vysoce privilegovaným provozním režimem. Můžete očekávat jednu ze tří hodnot, přičemž vyšší číslo znamená vyšší stupeň ochrany pomocí SMM:
-
Zařízení vyhovuje ochraně před narušeným firmwarem verze jedna: nabízí základní bezpečnostní opatření, která pomáhají SMM odolávat zneužití malwarem a zabraňují exfiltraci tajemství z operačního systému (včetně VBS).
-
Zařízení vyhovuje ochraně před narušeným firmwarem verze dvě: vedle ochrany před narušeným firmwarem verze jedna zajišťuje druhá verze, že SMM nemůže vypnout zabezpečení založené na virtualizaci (VBS) a ochranu jádra DMA.
-
Zařízení vyhovuje ochraně před narušeným firmwarem verze tři: vedle ochrany před narušeným firmwarem verze dvě dále posiluje SMM tím, že zabraňuje přístupu k určitým registrům, které mohou ohrozit operační systém (včetně VBS).
Tip: Pokud se chcete dozvědět další technické podrobnosti, přečtěte si téma Ochrana System Guard v programu Windows Defender: Jak hardwarový kořen důvěryhodnosti pomáhá chránit Windows
Ochrana místního úřadu zabezpečení
Ochrana místního úřadu zabezpečení (LSA) je funkce zabezpečení Windows, která pomáhá zabránit krádeži přihlašovacích údajů používaných pro přihlášení k Windows.
Místní autorita zabezpečení (LSA) je zásadní proces ve Windows, který se podílí na ověřování uživatelů. Zodpovídá za ověření přihlašovacích údajů během procesu přihlášení a správu ověřovacích tokenů a lístků používaných k povolení jednotného přihlašování pro služby. Ochrana LSA pomáhá zabránit spuštění nedůvěryhodného softwaru v rámci LSA nebo přístupu k paměti LSA.
Jak spravovat ochranu místního úřadu zabezpečení
Ochrana LSA je ve výchozím nastavení zapnutá u nových instalací Windows 11 verze 22H2 a 23H2 na zařízeních spravovaných podnikem. Ve výchozím nastavení je zapnutý ve všech nových instalacích Windows 11 verze 24H2 a novějších.
Pokud upgradujete na Windows 11 24H2 a ochrana LSA ještě není povolená, pokusí se ochrana LSA povolit po upgradu. Ochrana LSA po upgradu přejde do zkušebního režimu a během 5 dnů zkontroluje problémy s kompatibilitou. Pokud se nezjistí žádné problémy, ochrana LSA se automaticky zapne při dalším restartování po skončení zkušebního období.
Jak to zapnout nebo vypnout:
-
Na hlavním panelu vyberte Start a zadejte "Izolace jádra".
-
Ve výsledcích hledání vyberte systémové nastavení Izolace jádra a otevřete aplikaci Zabezpečení Windows.
Na stránce Izolace jádra najdete ochranu místní autority zabezpečení spolu s přepínačem pro zapnutí nebo vypnutí. Po změně nastavení musíte restartovat, aby se toto nastavení projevilo.
Co když mám nekompatibilní software?
Pokud je povolená ochrana LSA a blokuje načítání softwaru do služby LSA, zobrazí se oznámení s informací o souboru, který byl zablokován. Software, který soubor načítá, můžete odebrat, nebo můžete zakázat budoucí upozornění pro tento soubor, když se jeho načítání do LSA zablokuje.
Ochrana Credential Guard v programu Microsoft Defender
Poznámka: Ochrana Credential Guard v programu Microsoft Defender se zobrazí jenom na zařízeních s podnikovými verzemi Windows 10 nebo 11.
Když používáte pracovní nebo školní počítač, budete se tiše přihlašovat k nejrůznějším věcem, jako jsou soubory, tiskárny, aplikace a další prostředky ve vaší organizaci, a získávat k nim přístup. Aby byl tento proces bezpečný a zároveň snadný pro uživatele, počítač má v daném okamžiku několik ověřovacích tokenů (často označovaných jako „tajné kódy“).
Pokud útočník získá přístup k jednomu nebo více tajným kódům, může je použít k získání přístupu k prostředku organizace (citlivým souborům atd.), pro který tajný kód slouží. Ochrana Credential Guard v programu Microsoft Defender pomáhá chránit tyto tajné kódy tím, že je umístí do chráněného virtualizovaného prostředí, kde k nim mají v případě potřeby přístup jenom některé služby.
Doporučujeme, abyste ji měli zapnutou, pokud ji vaše zařízení podporuje.
Tip: Pokud chcete další technické podrobnosti, přečtěte si článek Jak funguje Ochrana Credential Guard v programu Defender.
Seznam citlivých ovladačů blokovaných Microsoftem
Ovladač je software, který umožňuje operačnímu systému (v tomto případě Windows) a zařízení (například klávesnici nebo webkameře) vzájemně komunikovat. Když zařízení chce, aby systém Windows něco udělal, odešle příslušnou žádost pomocí ovladače. Z tohoto důvodu mají ovladače v systému velký citlivý přístup.
Počínaje aktualizací systému Windows 11 2022 je nyní k dispozici seznam ovladačů, které mají známé chyby zabezpečení, byly podepsány certifikáty, které byly použity k podpisu škodlivého softwaru, nebo které obcházejí model zabezpečení Windows.
Pokud máte zapnutou Integritu paměti, Inteligentní řízení aplikací nebo Režim S systému Windows, bude také zapnutý seznam blokovaných ovladačů, které jsou zranitelné.