Kerneisolering er en sikkerhedsfunktion i Microsoft Windows, der beskytter vigtige kerneprocesser i Windows mod skadelig software ved at isolere dem i hukommelsen. Det gør den ved at køre disse kerneprocesser i et virtualiseret miljø.
Bemærk!: Det, du ser på siden Kerneisolering, kan variere en smule, afhængigt af hvilken version af Windows du kører.
Hukommelsesintegritet
Hukommelsesintegritet, også kaldet HVCI (Hypervisor-protected Code Integrity), er en Windows-sikkerhedsfunktion, der gør det svært for skadelige programmer at bruge drivere på lavt niveau til at kapre computeren.
En driver er et stykke software, der lader operativsystemet (Windows i dette tilfælde) og en enhed (f.eks. et tastatur eller et webcam, for to eksempler) tale med hinanden. Når enheden ønsker, at Windows skal foretage sig noget, bruger den driveren til at sende anmodningen.
Tip!: Vil du vide mere om drivere? Se Hvad er en driver?
Hukommelsesintegritet fungerer ved at oprette et isoleret miljø ved hjælp af hardwarevirtualisering.
Tænk på det som en sikkerhedsvagt inde i en låst bås. Dette isolerede miljø (den låste stand i vores analogi) forhindrer hukommelsesintegritetsfunktionen i at blive ændret af en hacker. Et program, der ønsker at køre et stykke kode, som kan være farlig, skal videregive koden til hukommelsesintegritet inde i den virtuelle stand, så den kan verificeres. Når hukommelsesintegritet er sikker på, at koden er sikker, bliver koden tilbage til Windows for at køre. Dette sker typisk meget hurtigt.
Uden hukommelsesintegritet, der kører, står "sikkerhedsvagten" helt ude i det fri, hvor det er meget nemmere for en hacker at forstyrre eller ødelægge vagten, hvilket gør det nemmere for ondsindet kode at snige sig forbi og forårsage problemer.
Hvordan administrerer jeg hukommelsesintegritet?
I de fleste tilfælde er hukommelsesintegritet slået til som standard i Windows 11 og kan slås til for Windows 10.
Sådan slår du den til eller fra:
-
Vælg knappen Start, og skriv "Kerneisolering".
-
Vælg indstillingerne for kerneisoleringssystemet i søgeresultaterne for at åbne Windows-sikkerhedsappen.
På siden Kerneisolering finder du Hukommelsesintegritet sammen med til/fra-knappen for at slå den til eller fra.
Vigtigt!: Af sikkerhedsmæssige årsager anbefaler vi, at hukommelsesintegritet er slået til.
Hvis du vil bruge hukommelsesintegritet, skal du have aktiveret hardwarevirtualisering i systemets UEFI eller BIOS.
Hvad nu, hvis der står, at jeg har en inkompatibel driver?
Hvis hukommelsesintegritet ikke aktiveres, kan du få at vide, at der allerede er installeret en inkompatibel enhedsdriver. Kontakt producenten af enheden for at se, om der findes en opdateret driver. Hvis de ikke har en kompatibel driver tilgængelig, kan du muligvis fjerne den enhed eller app, der bruger den inkompatible driver.
Bemærk!: Hvis du forsøger at installere en enhed med en inkompatibel driver, når du har aktiveret hukommelsesintegritet, får du muligvis vist den samme meddelelse. Hvis det er tilfældet, gælder det samme råd – kontakt enhedsproducenten for at se, om de har en opdateret driver, du kan downloade, eller installér ikke den pågældende enhed, før der findes en kompatibel driver.
Kernetilstandshardware gennemtvunget stakbeskyttelse
Kernetilstandshardware gennemtvunget Stack Protection er en hardwarebaseret Windows-sikkerhedsfunktion, der gør det svært for skadelige programmer at bruge drivere på lavt niveau til at kapre computeren.
En driver er et stykke software, der gør det muligt for operativsystemet (Windows i dette tilfælde) og en enhed som f.eks. et tastatur eller et webcam at tale med hinanden. Når enheden ønsker, at Windows skal foretage sig noget, bruger den driveren til at sende anmodningen.
Tip!: Vil du vide mere om drivere? Se Hvad er en driver?
Den hardware-tvungne stakbeskyttelse i kernetilstand fungerer ved at forhindre angreb, der ændrer returadresser i kernetilstandshukommelse, for at starte skadelig kode. Denne sikkerhedsfunktion kræver en CPU, der indeholder mulighed for at bekræfte returadresserne på den kørende kode.
Når du eksekverer kode i kernetilstand, kan returadresser i kernetilstandsstakken blive beskadiget af skadelige programmer eller drivere for at omdirigere normal udførelse af kode til skadelig kode. På understøttede CPU'er vedligeholder CPU'en en anden kopi af gyldige returadresser i en skrivebeskyttet skyggestak, som driverne ikke kan ændre. Hvis en afsenderadresse på den almindelige stak er blevet ændret, kan CPU'en registrere denne uoverensstemmelse ved at kontrollere kopien af afsenderadressen i skyggestakken. Når denne uoverensstemmelse opstår, beder computeren om en stopfejl, også kaldet en blå skærm, for at forhindre, at den skadelige kode udføres.
Ikke alle drivere er kompatible med denne sikkerhedsfunktion, da et lille antal legitime drivere foretager ændring af afsenderadresse til ikke-skadelige formål. Microsoft har kommunikeret med mange driverudgivere for at sikre, at deres nyeste drivere er kompatible med kernetilstandshardware-gennemtvunget stakbeskyttelse.
Hvordan administrerer jeg kernetilstandshardware gennemtvunget stakbeskyttelse?
Kernetilstandshardware gennemtvunget stakbeskyttelse er som standard slået fra.
Sådan slår du den til eller fra:
-
Vælg knappen Start, og skriv "Kerneisolering".
-
Vælg indstillingerne for kerneisoleringssystemet i søgeresultaterne for at åbne Windows-sikkerhedsappen.
På siden Kerneisolering finder du kernetilstandshardware gennemtvunget stakbeskyttelse sammen med til/fra-knappen til at slå den til eller fra.
Hvis du vil bruge kernetilstandshardware gennemtvunget stakbeskyttelse, skal hukommelsesintegritet være aktiveret, og du skal køre en CPU, der understøtter Intel Control-Flow Enforcement Technology eller AMD Shadow Stack.
Hvad nu, hvis der står, at jeg har en inkompatibel driver eller tjeneste?
Hvis kernetilstandshardware gennemtvunget Stack Protection ikke kan aktiveres, kan det fortælle dig, at du allerede har en inkompatibel enhedsdriver eller tjeneste installeret. Kontakt producenten af enheden eller programudgiveren for at se, om de har en opdateret driver tilgængelig. Hvis de ikke har en kompatibel driver tilgængelig, kan du muligvis fjerne den enhed eller app, der bruger den inkompatible driver.
Nogle programmer kan installere en tjeneste i stedet for en driver under programmets installation og installere driveren, når programmet startes. For at få en mere nøjagtig registrering af inkompatible drivere optæeres tjenester, der vides at være knyttet til inkompatible drivere, også.
Bemærk!: Hvis du forsøger at installere en enhed eller app med en inkompatibel driver, når du har slået Hardware-tvungen stakbeskyttelse i kernetilstand til, får du muligvis vist den samme meddelelse. Hvis det er tilfældet, gælder det samme råd – kontakt enhedsproducenten eller appudgiveren for at se, om de har en opdateret driver, du kan downloade, eller installér ikke den pågældende enhed eller app, før der findes en kompatibel driver.
Beskyttelse af hukommelsesadgang
Dette kaldes også "Kernel DMA protection" og beskytter din enhed mod angreb, der kan opstå, når en skadelig enhed er tilsluttet en PCI-port (Peripheral Component Interconnect), f.eks. en Thunderbolt-port.
Et enkelt eksempel på et af disse angreb ville være, hvis nogen forlader deres pc for at få en hurtig kaffepause, og mens de var væk, træder en hacker ind, tilslutter en USB-lignende enhed og går væk med følsomme data fra maskinen eller indsætter malware, der giver dem mulighed for at styre pc'en eksternt.
Beskyttelse mod adgang til hukommelse forhindrer disse typer angreb ved at nægte direkte adgang til hukommelsen til disse enheder, undtagen under særlige omstændigheder, især når pc'en er låst , eller brugeren er logget af.
Vi anbefaler, at beskyttelse mod hukommelsesadgang er slået til.
Tip!: Hvis du vil have flere tekniske oplysninger om dette, skal du se Kernel DMA Protection.
Firmwarebeskyttelse
Hver enhed har noget software, der er blevet skrevet til enhedens skrivebeskyttede hukommelse – dybest set skrevet til en chip på systemtavlen – der bruges til enhedens grundlæggende funktioner, f.eks. indlæsning af operativsystemet, der kører alle de apps, vi er vant til at bruge. Da denne software er vanskelig (men ikke umuligt) at ændre, henviser vi til den som firmware.
Da firmwaren indlæses først og kører under operativsystemet, har sikkerhedsværktøjer og funktioner, der kører i operativsystemet, svært ved at registrere den eller forsvare sig mod den. Ligesom et hus, der afhænger af et godt fundament for at være sikkert, en computer har brug for sin firmware for at være sikker for at sikre, at operativsystemet, programmer og kundedata på den pågældende computer er sikre.
Windows Defender System Guard er en række funktioner, der hjælper med at sikre, at hackere ikke kan få din enhed til at starte med upålidelig eller skadelig firmware.
Vi anbefaler, at du har slået den til, hvis din enhed understøtter det.
Platforme, der tilbyder firmwarebeskyttelse, beskytter typisk også SMM ( System Management Mode ), som er en meget privilegeret operativsystemtilstand, i varierende grader. Du kan forvente en af de tre værdier, hvor et højere tal angiver en større grad af SMM-beskyttelse:
-
Din enhed opfylder firmwarebeskyttelsesversionen: Dette giver de grundlæggende sikkerhedsafhjælpninger, der kan hjælpe SMM med at modstå udnyttelse af malware, og forhindrer eksfiltrering af hemmeligheder fra operativsystemet (herunder VBS)
-
Din enhed opfylder firmwarebeskyttelsesversion to: Ud over firmwarebeskyttelsesversion 1 sikrer version 2, at SMM ikke kan deaktivere virtualiseringsbaseret sikkerhed (VBS) og kerne-DMA-beskyttelse
-
Din enhed opfylder firmwarebeskyttelsesversion tre: Ud over firmwarebeskyttelsesversion to hærder den yderligere SMM ved at forhindre adgang til visse registre, der har mulighed for at kompromittere operativsystemet (herunder VBS)
Tip!: Hvis du vil have flere tekniske oplysninger om dette, skal du se Windows Defender System Guard: Sådan beskytter en hardwarebaseret rod af tillid Windows
Lokal sikkerhedsautoritetsbeskyttelse
Lokal sikkerhedsautoritetsbeskyttelse (LSA) er en Windows-sikkerhedsfunktion, der hjælper med at forhindre tyveri af legitimationsoplysninger, der bruges til at logge på Windows.
Den lokale sikkerhedsautoritet (LSA) er en vigtig proces i Windows, der er involveret i brugergodkendelse. Det er ansvarlig for at bekræfte legitimationsoplysninger under logonprocessen og administrere godkendelsestokens og billetter, der bruges til at aktivere enkeltlogon for tjenester. LSA-beskyttelse forhindrer upålidelig software i at køre inde i LSA eller i at få adgang til LSA-hukommelse.
Hvordan administrerer jeg beskyttelse af de lokale sikkerhedsmyndigheder
LSA-beskyttelse er som standard slået til på nye installationer af Windows 11 version 22H2 og 23H2 på virksomhedsadministrerede enheder. Den er som standard slået til på alle nye installationer af Windows 11 version 24H2 og nyere.
Hvis du opgraderer til Windows 11 24H2, og LSA-beskyttelse ikke allerede er aktiveret, forsøger LSA-beskyttelse at aktivere efter opgraderingen. LSA-beskyttelse skifter til en evalueringstilstand efter opgraderingen og kontrollerer kompatibilitetsproblemer i løbet af en periode på 5 dage. Hvis der ikke registreres nogen problemer, slås LSA-beskyttelse automatisk til ved næste genstart, når evalueringsvinduet er afsluttet.
Sådan slår du den til eller fra:
-
Vælg Start på proceslinjen, og skriv "Kerneisolering".
-
Vælg indstillingerne for kerneisoleringssystemet i søgeresultaterne for at åbne Windows-sikkerhedsappen.
På siden Kerneisolering finder du lokal sikkerhedsautoritetsbeskyttelse sammen med til/fra-knappen for at slå den til eller fra. Når du har ændret indstillingen, skal du genstarte computeren, før den træder i kraft.
Hvad gør jeg, hvis jeg har inkompatibel software?
Hvis LSA-beskyttelse er aktiveret, og det blokerer indlæsning af software i LSA-tjenesten, vises der en meddelelse, der angiver den fil, der blev blokeret. Du kan muligvis fjerne den software, der indlæser filen, eller du kan deaktivere fremtidige advarsler for den pågældende fil, når den er blokeret fra at blive indlæst i LSA.
Microsoft Defender Credential Guard
Bemærk!: Microsoft Defender Credential Guard vises kun på enheder, der kører Enterprise-versioner af Windows 10 eller 11.
Mens du bruger din arbejds- eller skolecomputer, logges den stille og roligt på og får adgang til en række forskellige ting, f.eks. filer, printere, apps og andre ressourcer i organisationen. At gøre denne proces sikker, men nem for brugeren, betyder, at din computer har en række godkendelsestokens (ofte kaldet "hemmeligheder") på den på et givet tidspunkt.
Hvis en hacker kan få adgang til en eller flere af disse hemmeligheder, kan de muligvis bruge dem til at få adgang til den organisationsressource (følsomme filer osv.), som hemmeligheden er for. Microsoft Defender Credential Guard hjælper med at beskytte disse hemmeligheder ved at placere dem i et beskyttet, virtualiseret miljø, hvor kun visse tjenester kan få adgang til dem, når det er nødvendigt.
Vi anbefaler, at du har slået den til, hvis din enhed understøtter det.
Tip!: Hvis du vil have flere tekniske oplysninger om dette, skal du se Sådan fungerer Defender Credential Guard.
Microsoft Vulnerable Driver Blocklist
En driver er et stykke software, der lader operativsystemet (Windows i dette tilfælde) og en enhed (f.eks. et tastatur eller et webcam, for to eksempler) tale med hinanden. Når enheden ønsker, at Windows skal foretage sig noget, bruger den driveren til at sende anmodningen. På grund af dette har drivere en masse følsom adgang i dit system.
Fra og med Windows 11 2022-opdateringen har vi nu en blokeringsliste over drivere, der har kendte sikkerhedsrisici, er signeret med certifikater, der er blevet brugt til at signere malware, eller som omgår Windows Sikkerhedsmodel.
Hvis du har aktiveret hukommelsesintegritet, Smart App Control eller Windows S-tilstand, vil den sårbare driverblokeringsliste også være slået til.