Ydineristys on Microsoft Windowsin suojausominaisuus, joka suojaa Tärkeitä Windowsin prosesseja haittaohjelmilta eristämällä ne muistiin. Se tekee tämän suorittamalla nämä ydinprosessit virtualisoidussa ympäristössä.
Huomautus: Se, mitä näet ytimen eristyssivulla, voi vaihdella hieman sen mukaan, mikä Windows-versio sinulla on käytössä.
Muistin eheys
Muistin eheys, joka tunnetaan myös nimellä Hypervisor-suojattu koodin eheys (HVCI), on Windowsin suojausominaisuus, jonka vuoksi haittaohjelmien on vaikea käyttää matalan tason ohjaimia tietokoneen kaappaamiseen.
Ohjain on ohjelmisto, jonka avulla käyttöjärjestelmä (tässä tapauksessa Windows) ja laite (esimerkiksi näppäimistö tai verkkokamera) voivat keskustella keskenään. Kun laite haluaa Windowsin tekevän jotain, se käyttää ohjainta pyynnön lähettämiseen.
Vihje: Haluatko lisätietoja ohjaimista? Katso Mikä on ohjain?
Muistin eheys toimii luomalla eristetyn ympäristön laitteiston virtualisoinnin avulla.
Ajattele sitä kuin vartijaa lukitussa kopissa. Tämä eristetty ympäristö (analogiamme lukittu koppi) estää hyökkääjää peukaloimasta muistin eheysominaisuutta. Ohjelman, joka haluaa suorittaa koodin, joka voi olla vaarallinen, on välitettävä koodi muistin eheyteen kyseisessä virtuaalikopissa, jotta se voidaan vahvistaa. Kun muistin eheys on varma siitä, että koodi on turvallinen, se palauttaa koodin Windowsiin suoritettavaksi. Tämä tapahtuu yleensä hyvin nopeasti.
Ilman muistin eheyden suorittamista "vartija" erottuu suoraan avoimesta, jossa hyökkääjän on paljon helpompi häiritä tai sabotoida vartijaa, mikä helpottaa haitallisen koodin hiipimistä ohi ja aiheuttaa ongelmia.
Miten voin hallita muistin eheyttä?
Useimmissa tapauksissa muistin eheys on oletusarvoisesti käytössä Windows 11:ssä, ja se voidaan ottaa käyttöön Windows 10:ssä.
Voit ottaa sen käyttöön tai poistaa sen käytöstä seuraavasti:
-
Valitse aloituspainike ja kirjoita "Ytimen eristys".
-
Avaa Windowsin suojaussovellus valitsemalla ytimen eristysjärjestelmän asetukset hakutuloksista.
Ytimen eristyssivulla on muistin eheys sekä vaihtopainike, jolla se otetaan käyttöön tai poistetaan käytöstä.
Tärkeää: Turvallisuuden vuoksi suosittelemme, että muistin eheys on käytössä.
Jotta voit käyttää muistin eheyttä, järjestelmän UEFI- tai BIOS-laitteissa on oltava käytössä laitteiston virtualisointi.
Entä jos siinä lukee, että minulla on yhteensopimaton ohjain?
Jos muistin eheys ei käynnisty, se saattaa kertoa, että sinulla on jo asennettuna yhteensopimaton laiteohjain. Tarkista laitteen valmistajalta, onko saatavilla päivitettyä ohjainta. Jos heillä ei ole yhteensopivaa ohjainta käytettävissä, voit ehkä poistaa laitteen tai sovelluksen, joka käyttää kyseistä yhteensopimatonta ohjainta.
Huomautus: Jos yrität asentaa laitteen, jossa on yhteensopimaton ohjain, otettuasi käyttöön muistin eheyden, saatat nähdä saman viestin. Jos näin on, samat neuvot koskevat : tarkista laitteen valmistajalta, onko heillä päivitettyä ohjainta, jonka voit ladata, tai älä asenna kyseistä laitetta, ennen kuin yhteensopiva ohjain on saatavilla.
Ydintilan laitteiston pakotettu pinosuojaus
Ydintilan laitteiston pakotettu pinosuojaus on laitteistopohjainen Windowsin suojausominaisuus, jonka vuoksi haittaohjelmien on vaikea kaapata tietokonetta matalan tason ohjaimilla.
Ohjain on ohjelmisto, jonka avulla käyttöjärjestelmä (tässä tapauksessa Windows) ja esimerkiksi näppäimistön tai verkkokameran kaltainen laite voivat keskustella keskenään. Kun laite haluaa Windowsin tekevän jotain, se käyttää ohjainta pyynnön lähettämiseen.
Vihje: Haluatko lisätietoja ohjaimista? Katso Mikä on ohjain?
Ydintilan laitteiston pakotettu pinosuojaus toimii estämällä hyökkäykset, jotka muokkaavat ydintilan muistin palautusosoitteita haittakoodin käynnistämiseksi. Tämä suojausominaisuus edellyttää suoritinta, joka sisältää mahdollisuuden tarkistaa käynnissä olevan koodin palautusosoitteet.
Kun suoritat koodia ydintilassa, haittaohjelmat tai ohjaimet voivat vioittaa ydintilan pinon palautusosoitteita ohjatakseen normaalin koodin suorittamisen haittakoodiin. Tuetuissa suoritin ylläpitää toista kopiota kelvollisista palautusosoitteista vain luku -varjopinossa, jota ohjaimet eivät voi muokata. Jos tavallisen pinon palautusosoitetta on muokattu, suoritin voi havaita tämän ristiriidan tarkistamalla palautusosoitteen kopion varjopinosta. Kun tämä ristiriita ilmenee, tietokone pyytää keskeytysvirheen, jota kutsutaan joskus siniseksi näytöksi, estämään haitallisen koodin suorittamisen.
Kaikki ohjaimet eivät ole yhteensopivia tämän suojausominaisuuden kanssa, koska pieni määrä laillisia ohjaimia muokkaa palautusosoitteita ei-haitallisiin tarkoituksiin. Microsoft on tehnyt yhteistyötä useiden ohjainjulkaisijoiden kanssa varmistaakseen, että heidän uusimmat ohjaimensa ovat yhteensopivia ydintilan laitteiston pakotetun pinosuojauksen kanssa.
Miten hallitsen ydintilan laitteiston pakotettua pinosuojausta?
Ydintilan laitteiston pakotettu pinosuojaus on oletusarvoisesti poissa käytöstä.
Voit ottaa sen käyttöön tai poistaa sen käytöstä seuraavasti:
-
Valitse aloituspainike ja kirjoita "Ytimen eristys".
-
Avaa Windowsin suojaussovellus valitsemalla ytimen eristysjärjestelmän asetukset hakutuloksista.
Ytimen eristyssivulla on ydintilan laitteistoon pakotettu pinosuojaus sekä vaihtopainike, jolla voit ottaa sen käyttöön tai poistaa sen käytöstä.
Jotta voit käyttää ydintilan laitteiston pakotettua pinosuojausta, muistin eheys on oltava käytössä ja käytössä on oltava Intel Control-Flow Enforcement Technology - tai AMD Shadow Stack -tekniikkaa tukeva suoritin.
Entä jos siinä lukee, että minulla on yhteensopimaton ohjain tai palvelu?
Jos ydintilan laitteiston pakotettu pinosuojaus ei käynnisty, se saattaa kertoa, että sinulla on jo asennettuna yhteensopimaton laiteohjain tai palvelu. Tarkista laitteen valmistajalta tai sovelluksen julkaisijalta, onko heillä saatavilla päivitettyä ohjainta. Jos heillä ei ole yhteensopivaa ohjainta käytettävissä, voit ehkä poistaa laitteen tai sovelluksen, joka käyttää kyseistä yhteensopimatonta ohjainta.
Jotkin sovellukset saattavat asentaa palvelun ohjaimen sijaan sovelluksen asennuksen aikana ja asentaa ohjaimen vain, kun sovellus käynnistetään. Yhteensopimattomien ohjaimten tarkempaa tunnistamista varten luetteloidaan myös palvelut, joiden tiedetään liittyvän yhteensopimattomiin ohjaimiin.
Huomautus: Jos yrität asentaa laitteen tai sovelluksen, jossa on yhteensopimaton ohjain, otettuasi käyttöön ydintilan laitteiston pakotetun pinosuojauksen, saatat nähdä saman viestin. Jos näin on, samat neuvot koskevat : tarkista laitteen valmistajalta tai sovelluksen julkaisijalta, onko heillä päivitetty ohjain, jonka voit ladata, tai älä asenna kyseistä laitetta tai sovellusta, ennen kuin yhteensopiva ohjain on saatavilla.
Muistin käytön suojaus
Ytimen DMA-suojaus suojaa laitetta hyökkäyksiltä, joita voi ilmetä, kun haitallinen laite on kytketty PCI (Peripheral Component Interconnect) -porttiin, kuten Thunderbolt-porttiin.
Yksinkertainen esimerkki näistä hyökkäyksistä olisi, jos joku lähtee tietokoneestaan pikakahvitauolle, ja kun hän oli poissa, hyökkääjä astuu sisään, kytkee USB:n kaltaisen laitteen ja kävelee pois laitteen arkaluontoisten tietojen kanssa tai lisää haittaohjelmia, joiden avulla hän voi hallita tietokonetta etäyhteyden kautta.
Muistin käytön suojaus estää tällaiset hyökkäykset estämällä suoran pääsyn muistiin kyseisissä laitteissa, paitsi erityisissä olosuhteissa, erityisesti silloin, kun tietokone on lukittu tai käyttäjä on kirjautunut ulos.
Suosittelemme, että muistin käytön suojaus on käytössä.
Vihje: Lisätietoja tästä on ohjeaiheessa Ytimen DMA-suojaus.
Laiteohjelmistosuojaus
Jokaisessa laitteessa on ohjelmistoja, jotka on kirjoitettu laitteen vain luku -muistiin - joka on periaatteessa kirjoitettu piirille järjestelmätaulussa - jota käytetään laitteen perustoimintoihin, kuten käyttöjärjestelmän lataamiseen, joka käyttää kaikkia sovelluksia, joita olemme tottuneet käyttämään. Koska ohjelmiston muokkaaminen on vaikeaa (mutta ei mahdotonta), kutsumme sitä laiteohjelmistoksi.
Koska laiteohjelmisto latautuu ensin ja toimii käyttöjärjestelmässä, käyttöjärjestelmän suojaustyökalujen ja -ominaisuuksien on vaikea havaita sitä tai puolustautua sitä vastaan. Kuten talo, joka on riippuvainen hyvästä suojauksesta, tietokone tarvitsee laiteohjelmistonsa suojauksen varmistaakseen, että tietokoneen käyttöjärjestelmä, sovellukset ja asiakastiedot ovat turvassa.
Windows Defender System Guard on joukko ominaisuuksia, jotka auttavat varmistamaan, että hyökkääjät eivät saa laitettasi käynnistymään ei-luotetulla tai haitallisella laiteohjelmistolla.
Suosittelemme, että otat sen käyttöön, jos laitteesi tukee sitä.
Laiteohjelmistosuojausta tarjoavat ympäristöt suojaavat yleensä myös järjestelmänhallintatilaa (SMM), joka on erittäin etuoikeutettu käyttötila, vaihtelevilla asteilla. Voit odottaa jompaakumpaa kolmesta arvosta, ja suurempi luku ilmaisee suuremman SMM-suojauksen:
-
Laitteesi täyttää laiteohjelmistosuojausversion 1: tämä tarjoaa perustavan suojauksen lieventämisen, joka auttaa SMM:ää vastustamaan haittaohjelmien hyödyntämistä ja estää käyttöjärjestelmän (mukaan lukien VBS) salaisuuksien suodatuksen.
-
Laitteesi täyttää laiteohjelmistosuojauksen version 2: laiteohjelmistosuojausversion 1 lisäksi versio 2 varmistaa, että SMM ei voi poistaa virtualisointipohjaista suojausta (VBS) ja ydin-DMA-suojausta käytöstä
-
Laitteesi täyttää laiteohjelmistosuojauksen version 3: laiteohjelmistosuojauksen version 2 lisäksi se koventaa SMM:ää entisestään estämällä pääsyn tiettyihin rekistereihin, jotka voivat vaarantaa käyttöjärjestelmän (mukaan lukien VBS)
Vihje: Lisätietoja tästä on ohjeaiheessa Windows Defender System Guard: Miten laitteistopohjainen luottamuksen juuri auttaa suojaamaan Windowsia
Paikallisen suojausviranomaisen suojaus
LSA (Local Security Authority) -suojaus on Windowsin suojausominaisuus, joka auttaa estämään Windowsiin kirjautumiseen käytettävien tunnistetietojen varastamisen.
Paikallinen suojausviranomainen (LSA) on tärkeä prosessi Windowsissa, joka liittyy käyttäjän todentamiseen. Se on vastuussa tunnistetietojen tarkistamisesta kirjautumisprosessin aikana sekä todennustunnusten ja lippujen hallinnasta, joita käytetään kertakirjautumisen ottamiseksi käyttöön palveluissa. LSA-suojaus auttaa estämään ei-luotettavia ohjelmistoja toimimasta LSA:ssa tai käyttämästä LSA-muistia.
Paikallisen suojausviranomaisen suojauksen hallinta
LSA-suojaus on oletusarvoisesti käytössä windows 11:n version 22H2 ja 23H2 uusissa asennuksessa yrityksen hallinnoimiin laitteisiin. Se on oletusarvoisesti käytössä kaikissa Windows 11:n version 24H2 ja uudemmissa versioissa.
Jos päivität Windows 11 24H2:een eikä LSA-suojausta ole vielä otettu käyttöön, LSA-suojaus yrittää ottaa sen käyttöön päivityksen jälkeen. LSA-suojaus siirtyy päivityksen jälkeen arviointitilaan ja tarkistaa yhteensopivuusongelmat 5 päivän aikana. Jos ongelmia ei havaita, LSA-suojaus otetaan automaattisesti käyttöön seuraavassa uudelleenkäynnistyksessä, kun arviointiikkuna on päättynyt.
Voit ottaa sen käyttöön tai poistaa sen käytöstä seuraavasti:
-
Valitse tehtäväpalkista Aloitus ja kirjoita "Ytimen eristys".
-
Avaa Windowsin suojaussovellus valitsemalla ytimen eristysjärjestelmän asetukset hakutuloksista.
Ytimen eristyssivulla on paikallisen suojausviranomaisen suojaus sekä vaihtopainike, jolla voit ottaa sen käyttöön tai poistaa sen käytöstä. Kun olet muuttanut asetusta, sinun on käynnistettävä se uudelleen, jotta se tulee voimaan.
Entä jos minulla on yhteensopimaton ohjelmisto?
Jos LSA-suojaus on käytössä ja se estää ohjelmiston lataamisen LSA-palveluun, näkyviin tulee ilmoitus, joka ilmoittaa estetystä tiedostosta. Voit ehkä poistaa ohjelmiston lataamasta tiedostoa tai poistaa käytöstä kyseisen tiedoston tulevat varoitukset, kun sen latautuminen LSA:han on estetty.
Microsoft Defender Credential Guard
Huomautus: Microsoft Defender credential Guard näkyy vain laitteissa, joissa on Windows 10:n tai 11:n enterprise-versio.
Kun käytät työpaikan tai oppilaitoksen tietokonetta, se kirjautuvat hiljaisesti sisään ja pääsevät käsiksi erilaisiin asioihin, kuten tiedostoihin, tulostimiin, sovelluksiin ja muihin organisaation resursseihin. Tämän prosessin suojaaminen tarkoittaa, että tietokoneessasi on useita todennustunnuksia (kutsutaan usein "salaisuuksiksi") milloin tahansa.
Jos hyökkääjä voi käyttää yhtä tai useampaa näistä salaisuuksista, hän voi ehkä käyttää niitä saadakseen käyttöönsä organisaation resurssin (luottamukselliset tiedostot jne.), jota varten salaisuus on. Microsoft Defender credential Guard auttaa suojaamaan näitä salaisuuksia sijoittamalla ne suojattuun, virtualisoituun ympäristöön, jossa vain tietyt palvelut voivat käyttää niitä tarvittaessa.
Suosittelemme, että otat sen käyttöön, jos laitteesi tukee sitä.
Vihje: Lisätietoja tästä on ohjeaiheessa Defender Credential Guardin toiminta.
Microsoft Vulnerable Driver Blocklist
Ohjain on ohjelmisto, jonka avulla käyttöjärjestelmä (tässä tapauksessa Windows) ja laite (esimerkiksi näppäimistö tai verkkokamera) voivat keskustella keskenään. Kun laite haluaa Windowsin tekevän jotain, se käyttää ohjainta pyynnön lähettämiseen. Tämän vuoksi ohjaimilla on paljon luottamuksellisia käyttöoikeuksia järjestelmässäsi.
Windows 11 2022 -päivityksestä alkaen meillä on nyt estetty luettelo ohjaimista, joilla on tunnettuja tietoturva-aukkoja, jotka on allekirjoitettu sertifikaateilla, joita on käytetty haittaohjelmien allekirjoittamiseen tai jotka kiertävät Windowsin suojausmallia.
Jos sinulla on muistin eheys, Smart App Control tai Windows S mode käytössä, myös haavoittuvan ohjaimen estoluettelo on käytössä.