Tuumiku isoleerimine on Microsoft Windowsi turbefunktsioon, mis kaitseb Windowsi olulisi põhiprotsesse ründetarkvara eest, eraldades need mälus. Selleks käivitatakse need põhiprotsessid virtualiseeritud keskkonnas.
Märkus.: Tuumiku isoleerimise lehel kuvatav sisu võib veidi erineda olenevalt sellest, millist Windowsi versiooni te kasutate.
Mälu terviklus
Mälu terviklus ehk hüperviisoriga kaitstud kooditerviklus (HVCI) on Windowsi turbefunktsioon, mis raskendab pahatahtlikel programmidel kasutada arvuti kaaperdamiseks madala taseme draivereid.
Draiver on tarkvara, mis võimaldab operatsioonisüsteemil (windowsil käesoleval juhul) ja seadmel (nagu klaviatuur või veebikaamera, kaks näidet) üksteisega rääkida. Kui seade soovib, et Windows teeks midagi, kasutab see selle taotluse saatmiseks draiverit.
Näpunäide.: Kas soovite draiverite kohta rohkem teada? Lugege artiklit Mis on draiver?
Mälu terviklus töötab, luues riistvara virtualiseerimise abil isoleeritud keskkonna.
Mõtle sellest nagu turvamees lukustatud boksis. See isoleeritud keskkond (lukus kabiin meie analoogias) takistab mälu tervikluse funktsiooni ründaja omavoliliselt. Programm, mis soovib käitada koodilõiku, mis võib olla ohtlik, peab edastama koodi mälu terviklusse selles virtuaalboksis, et seda saaks kontrollida. Kui mälu terviklus on mugav, et kood on ohutu, suunab see koodi Windowsi tagasi käivituma. Tavaliselt juhtub see väga kiiresti.
Ilma mälu tervikluse käivitamiseta seisab "turvamees" otse avatus, kus ründajal on palju lihtsam valvurit segada või saboteerida, mis muudab pahatahtliku koodi mineviku hiilimise ja probleemide põhjustamise lihtsamaks.
Kuidas hallata mälu terviklus?
Enamasti on mälu terviklus opsüsteemis Windows 11 vaikimisi sisse lülitatud ja selle saab Windows 10 jaoks sisse lülitada.
Selle sisse- või väljalülitamiseks tehke järgmist.
-
Valige nupp Start ja tippige "Core isolation".
-
Windowsi turberakenduse avamiseks valige otsingutulemite hulgast Süsteemi tuumiku isoleerimise sätted.
Lehel Core isolation (Tuumiku isoleerimine) leiate mälu tervikluse koos tumblerlülitiga selle sisse- või väljalülitamiseks.
NB!: Turvalisuse tagamiseks soovitame mälu tervikluse sisse lülitada.
Mälu tervikluse kasutamiseks peab teie süsteemi UEFI-s või BIOS-is olema riistvara virtualiseerimine lubatud.
Mis siis, kui on kirjas, et mul on ühildumatu draiver?
Kui mälu terviklus ei lülitu sisse, võib see teile öelda, et teil on ühildumatu seadmedraiver juba installitud. Küsige seadme tootjalt, kas neil on saadaval värskendatud draiver. Kui neil pole ühilduvat draiverit saadaval, võite selle ühildumatut draiverit kasutava seadme või rakenduse eemaldada.
Märkus.: Kui proovite pärast mälu tervikluse sisselülitamist installida ühildumatu draiveriga seadet, võidakse kuvada sama teade. Sel juhul kehtib sama nõuanne . Küsige seadme tootjalt, kas neil on värskendatud draiver, mille saate alla laadida, või ärge installige seda seadet enne, kui ühilduv draiver on saadaval.
Tuumrežiimi riistvara jõustatud virnakaitse
Riistvara jõustatud tuumrežiimis virnakaitse on riistvarapõhine Windowsi turbefunktsioon, mis raskendab pahatahtlikel programmidel kasutada arvuti kaaperdamiseks madala taseme draivereid.
Draiver on tarkvara tükk, mis võimaldab operatsioonisüsteemil (windowsil käesoleval juhul) ja seadmes nagu klaviatuur või veebikaamera näiteks üksteisega rääkida. Kui seade soovib, et Windows teeks midagi, kasutab see selle taotluse saatmiseks draiverit.
Näpunäide.: Kas soovite draiverite kohta rohkem teada? Lugege artiklit Mis on draiver?
Tuumrežiimi riistvara jõustatud pinukaitse takistab rünneid, mis muudavad tuumarežiimi mälus olevaid tagastusaadresse ründekoodi käivitamiseks. Selle turbefunktsiooni kasutamiseks on vaja protsessorit, mis sisaldab töötava koodi tagastusaadresside kontrollimise võimet.
Kui käivitate koodi tuumarežiimis, võivad pahatahtlikud programmid või draiverid pahatahtlike programmide või draiverite poolt rikutud olla, et suunata tavaline koodi täitmine pahatahtlikule koodile. Toetatud protsessorite korral säilitab CPU kirjutuskaitstud varivirnas kehtivate tagastusaadresside teise koopia, mida draiverid ei saa muuta. Kui tavalise virna tagastusaadressi on muudetud, tuvastab protsessor selle lahknevuse, kontrollides varjuvirna tagastusaadressi koopiat. Selle lahknevuse ilmnemisel küsib arvuti stopp-tõrget (mõnikord nimetatakse seda siniseks ekraaniks), et vältida pahatahtliku koodi käivitumist.
Kõik draiverid ei ühildu selle turbefunktsiooniga, kuna väike hulk seaduslikke draivereid tegeleb saatja aadressi muutmisega mittevaralisel eesmärgil. Microsoft on kaasanud mitmeid draiverite väljaandjaid tagamaks, et nende uusimad draiverid ühilduvad süsteemirežiimi riistvara jõustatud pinukaitsega.
Kuidas hallata tuumrežiimi riistvara jõustatud pinukaitset?
Tuumrežiimis riistvara jõustatud virnakaitse on vaikimisi välja lülitatud.
Selle sisse- või väljalülitamiseks tehke järgmist.
-
Valige nupp Start ja tippige "Core isolation".
-
Windowsi turberakenduse avamiseks valige otsingutulemite hulgast Süsteemi tuumiku isoleerimise sätted.
Lehel Tuumiku isoleerimine leiate selle sisse- või väljalülitamiseks tuumrežiimi riistvara jõustatud virnakaitse koos tumblernupuga.
Tuumrežiimi riistvara jõustatud pinukaitse kasutamiseks peab mälu terviklus olema lubatud ja teil peab töötama protsessor, mis toetab Inteli Control-Flow jõustamistehnoloogiat või AMD varivirna.
Mida teha, kui mul on ühildumatu draiver või teenus?
Kui tuumarežiimi riistvara jõustatud virnakaitse sisselülitamine nurjub, võib see teile öelda, et teil on ühildumatu seadme draiver või teenus juba installitud. Uurige seadme tootjalt või rakenduse väljaandjalt, kas neil on saadaval värskendatud draiver. Kui neil pole ühilduvat draiverit saadaval, on võimalik, et saate selle ühildumatut draiverit kasutava seadme või rakenduse eemaldada.
Mõni rakendus võib installida rakenduse installimise ajal draiveri asemel teenuse ja installida draiveri ainult siis, kui rakendus on käivitatud. Ühildumatute draiverite täpsemaks tuvastamiseks loetletakse ka ühildumatute draiveritega seotud teenused.
Märkus.: Kui proovite installida ühildumatu draiveriga seadet või rakendust pärast tuumrežiimi riistvara jõustatud pinukaitse sisselülitamist, võidakse kuvada sama teade. Sel juhul kehtib sama nõuanne. Uurige seadme tootjalt või rakenduse väljaandjalt, kas neil on värskendatud draiver, mille saate alla laadida, või ärge installige seda seadet või rakendust enne, kui ühilduv draiver on saadaval.
Mälupääsu kaitse
Tuuma DMA kaitse kaitseb teie seadet rünnakute eest, mis võivad ilmneda, kui ründeseade on ühendatud PCI (väliskomponendi Interconnect) porti nagu Thunderbolt port.
Lihtne näide sellisest rünnakust oleks see, kui keegi lahkub arvutist kiire kohvipausi tegemiseks, ja kui ta eemal oli, ründaja astus sisse, ühendab USB-taolise seadme ja kõnnib arvutist tundlike andmetega eemale või sisestab ründevara, mis võimaldab neil arvutit kaugjuhtimises juhtida.
Mälujuurdepääsu kaitse takistab selliseid rünnakuid, keelates otsest juurdepääsu mälule nendele seadmetele, välja arvatud erijuhtudel, eriti juhul, kui arvuti on lukustatud või kasutaja on välja logitud.
Soovitame mälule juurdepääsu kaitse sisse lülitada.
Näpunäide.: Lisateavet selle kohta leiate teemast Tuuma DMA kaitse.
Püsivarakaitse
Igal seadmel on teatud tarkvara, mis on kirjutatud seadme kirjutuskaitstud mällu - põhimõtteliselt kirjutatud kiibile süsteemitahvlil -, mida kasutatakse seadme põhifunktsioonide jaoks, näiteks operatsioonisüsteemi laadimine, mis käitab kõiki rakendusi, millega oleme harjunud. Kuna seda tarkvara on raske (kuid mitte võimatu) muuta, nimetame seda püsivaraks.
Kuna püsivara laaditakse esimest korda ja see töötab operatsioonisüsteemi all, on operatsioonisüsteemis töötavatel turbetööriistadel ja -funktsioonidel keeruline seda tuvastada või selle eest kaitsta. Nagu maja, mis sõltub heast vundamendist, et olla turvaline, peab ka arvuti olema turvaline, et tagada selles arvutis olevate operatsioonisüsteemide, rakenduste ja kliendiandmete turvalisus.
Windows Defender System Guard on funktsioonide kogum, mis aitab tagada, et ründajad ei saaks teie seadet ebausaldusväärse või pahatahtliku püsivaraga käivitada.
Soovitame selle sisse lülitada, kui teie seade seda toetab.
Püsivarakaitset pakkuvad platvormid kaitsevad tavaliselt ka süsteemihaldusrežiimi (SMM), mis on väga privileegidega töörežiim, erineval määral. Võite oodata ühte kolmest väärtusest, suurem arv näitab suuremat SMM-kaitse taset.
-
Teie seade vastab püsivara kaitse versioonile üks: see pakub vundamentaalturbe leevendusi, et aidata SMM-il vastu seista ründevara kasutamisele ja takistab operatsioonisüsteemi saladuste (sh VBS) aegumist
-
Teie seade vastab püsivara kaitse versioonile kaks: lisaks püsivarakaitse versioonile üks tagab teine versioon, et SMM ei saa keelata Virtualization-based Security (VBS) ja tuuma DMA kaitset
-
Teie seade vastab püsivara kaitse versioonile kolm: lisaks püsivarakaitse versioonile kaks, muudab see SMM-i veelgi vastupidavamaks, takistades juurdepääsu teatud registritele, mis on võimelised operatsioonisüsteemi ohustama (sh VBS)
Näpunäide.: Kui soovite selle kohta tehnilisi üksikasju, lugege artiklit Windows Defender System Guard: kuidas riistvarapõhine usalduse juur aitab Windowsi kaitsta
Kohaliku turbekeskuse kaitse
Kohaliku turbekeskuse (LSA) kaitse on Windowsi turbefunktsioon, mis aitab ära hoida Windowsi sisselogimiseks kasutatava identimisteabe vargust.
LSA (Local Security Authority– Local Security Authority– Local See vastutab sisselogimisprotsessi ajal identimisteabe kontrollimise ning teenuste jaoks ühekordse sisselogimise lubamiseks kasutatavate autentimislubade ja piletite haldamise eest. LSA kaitse aitab vältida ebausaldusväärse tarkvara töötamist LSA-s või LSA mälule juurdepääsu.
Kohaliku turbekeskuse kaitse haldamine
LSA-kaitse on vaikimisi sisse lülitatud Windows 11 versioonide 22H2 ja 23H2 uutes installides ettevõtte hallatavates seadmetes. See on vaikimisi sisse lülitatud kõigis Windows 11 versiooni 24H2 ja uuemates versioonides.
Kui lähete üle versioonile Windows 11 24H2 ja LSA-kaitse pole juba lubatud, proovib LSA kaitse pärast täiendamist lubada. LSA-kaitse siseneb pärast versioonitäiendust hindamisrežiimi ja kontrollib ühilduvusprobleeme 5-päevase perioodi jooksul. Kui probleeme ei tuvastatud, lülitatakse LSA-kaitse pärast tutvumisakna lõppu järgmisel taaskäivitamisel automaatselt sisse.
Selle sisse- või väljalülitamiseks tehke järgmist.
-
Valige tegumiribal Start ja tippige "Tuumiku isoleerimine".
-
Windowsi turberakenduse avamiseks valige otsingutulemite hulgast Süsteemi tuumiku isoleerimise sätted.
Lehel Tuumiku isoleerimine leiate kohaliku turbekeskuse kaitse ja selle sisse- või väljalülitamiseks lüliti. Pärast sätte muutmist peate selle jõustumiseks taaskäivitama.
Mida teha, kui mul on ühildumatu tarkvara?
Kui LSA-kaitse on lubatud ja see blokeerib tarkvara laadimise LSA-teenusesse, kuvatakse teatis, mis näitab blokeeritud faili. Võimalik, et saate eemaldada faili laadiva tarkvara või keelata selle faili edaspidised hoiatused, kui see on blokeeritud LSA-sse laadimise.
Microsoft Defender Credential Guard
Märkus.: Microsoft Defender Credential Guard kuvatakse ainult seadmetes, kus töötab Windows 10 või 11 Enterprise'i versioon.
Kui kasutate töö- või kooliarvutit, logib see vaikselt sisse ja pääseb juurde mitmesugustele asjadele( nt failidele, printeritele, rakendustele ja muudele teie ettevõtte ressurssidele). Kui muudate selle protsessi kasutaja jaoks turvaliseks, tähendab see, et teie arvutis on igal ajal mitu autentimisluba (mida nimetatakse sageli ka saladuseks).
Kui ründaja saab juurdepääsu ühele või mitmele saladusele, võib ta saada juurdepääsu salajase asutuse ressursile (tundlikud failid jne). Microsoft Defender Credential Guard aitab kaitsta neid saladusi, paigutades need kaitstud, virtualiseeritud keskkonda, kus neile pääsevad vajaduse korral juurde ainult teatud teenused.
Soovitame selle sisse lülitada, kui teie seade seda toetab.
Näpunäide.: Kui soovite selle kohta tehnilisi üksikasju, lugege teemat Kuidas Defender Credential Guard töötab.
Microsofti haavatavate draiverite blokeerimisloend
Draiver on tarkvara, mis võimaldab operatsioonisüsteemil (windowsil käesoleval juhul) ja seadmel (nagu klaviatuur või veebikaamera, kaks näidet) üksteisega rääkida. Kui seade soovib, et Windows teeks midagi, kasutab see selle taotluse saatmiseks draiverit. Seetõttu on draiveritel teie süsteemis palju tundlikku juurdepääsu.
Alates Windows 11 2022 värskendusest on meil nüüd blokeeritud loend draiveritest, millel on teadaolevad turbenõrkused, mis on allkirjastatud sertidega, mida on kasutatud ründevara allkirjastamiseks või mis väldivad Windowsi turbemudelit.
Kui teil on mälu terviklus, nutikate rakenduste juhtelement või Windows S-režiim sisse lülitatud, on haavatavate draiverite blokeerimisloend samuti sisse lülitatud.