Isolasi inti adalah fitur keamanan Microsoft Windows yang melindungi proses inti penting Windows dari perangkat lunak berbahaya dengan mengisolasinya dalam memori. Ini dilakukan dengan menjalankan proses inti tersebut dalam lingkungan virtual.
Catatan: Apa yang Anda lihat di halaman isolasi Inti mungkin sedikit berbeda tergantung pada versi Windows apa yang Anda jalankan.
Integritas memori
Integritas memori, juga dikenal sebagai Hypervisor-protected Code Integrity (HVCI) adalah fitur keamanan Windows yang menyulitkan program jahat untuk menggunakan driver tingkat rendah untuk membajak komputer Anda.
Driver adalah perangkat lunak yang memungkinkan sistem operasi (Windows dalam hal ini) dan perangkat (seperti keyboard atau webcam, untuk dua contoh) saling berbicara. Ketika perangkat ingin Windows melakukan sesuatu, windows akan menggunakan driver untuk mengirim permintaan tersebut.
Tips: Ingin tahu selengkapnya tentang driver? Lihat Apa itu pengemudi?
Integritas memori bekerja dengan membuat lingkungan terisolasi menggunakan virtualisasi perangkat keras.
Anggap saja seperti penjaga keamanan di dalam stan terkunci. Lingkungan terisolasi ini (stan terkunci dalam analogi kami) mencegah fitur integritas memori diutak-atik oleh penyerang. Program yang ingin menjalankan sepotong kode yang mungkin berbahaya harus memberikan kode ke integritas memori di dalam stan virtual tersebut sehingga dapat diverifikasi. Ketika integritas memori terbiasa bahwa kode aman, kode akan kembali ke Windows untuk dijalankan. Biasanya, ini terjadi sangat cepat.
Tanpa integritas memori berjalan, "penjaga keamanan" berdiri tepat di tempat terbuka di mana jauh lebih mudah bagi penyerang untuk mengganggu atau menyabotase penjaga, memudahkan kode berbahaya untuk menyelinap melewati dan menyebabkan masalah.
Bagaimana cara mengelola integritas memori?
Biasanya, integritas memori aktif secara default di Windows 11, dan dapat diaktifkan untuk Windows 10.
Untuk mengaktifkan atau menonaktifkannya:
-
Pilih tombol Mulai dan ketikkan "Isolasi inti".
-
Pilih pengaturan sistem Isolasi Inti dari hasil pencarian untuk membuka aplikasi keamanan Windows.
Di halaman Isolasi inti, Anda akan menemukan Integritas memori bersama dengan tombol alih untuk mengaktifkan atau menonaktifkannya.
Penting: Untuk keamanan, kami menyarankan agar integritas memori diaktifkan.
Untuk menggunakan integritas memori, Anda harus mengaktifkan virtualisasi perangkat keras di UEFI atau BIOS sistem Anda.
Bagaimana jika dikatakan bahwa saya memiliki driver yang tidak kompatibel?
Jika integritas memori gagal diaktifkan, mungkin anda telah menginstal driver perangkat yang tidak kompatibel. Tanyakan kepada produsen perangkat untuk melihat apakah driver telah diperbarui tersedia. Jika driver tidak kompatibel tersedia, Anda mungkin dapat menghapus perangkat atau aplikasi yang menggunakan driver yang tidak kompatibel tersebut.
Catatan: Jika Anda mencoba menginstal perangkat dengan driver yang tidak kompatibel setelah mengaktifkan integritas memori, Anda mungkin melihat pesan yang sama. Jika demikian, saran yang sama berlaku - tanyakan kepada produsen perangkat untuk melihat apakah mereka memiliki driver yang diperbarui yang dapat Anda unduh, atau jangan instal perangkat tersebut hingga driver yang kompatibel tersedia.
Kernel-mode Perlindungan Tumpukan yang diberlakukan perangkat keras
Kernel-mode Hardware-enforced Stack Protection adalah fitur keamanan Windows berbasis perangkat keras yang menyulitkan program jahat untuk menggunakan driver tingkat rendah untuk membajak komputer Anda.
Driver adalah perangkat lunak yang memungkinkan sistem operasi (Windows dalam hal ini) dan perangkat seperti keyboard atau webcam misalnya, berbicara satu sama lain. Ketika perangkat ingin Windows melakukan sesuatu, windows akan menggunakan driver untuk mengirim permintaan tersebut.
Tips: Ingin tahu selengkapnya tentang driver? Lihat Apa itu pengemudi?
Mode Kernel Perlindungan Tumpukan yang diberlakukan perangkat keras berfungsi dengan mencegah serangan yang mengubah alamat pengembalian dalam memori mode kernel untuk meluncurkan kode berbahaya. Fitur keamanan ini memerlukan CPU yang berisi kemampuan untuk memverifikasi alamat pengirim kode yang berjalan.
Ketika menjalankan kode dalam mode kernel, alamat pengembalian pada tumpukan mode kernel dapat rusak oleh program atau driver berbahaya untuk mengalihkan eksekusi kode normal ke kode berbahaya. Pada CPU yang didukung, CPU mempertahankan salinan kedua alamat pengirim yang valid pada tumpukan bayangan baca-saja yang tidak dapat diubah driver. Jika alamat pengirim pada tumpukan reguler telah diubah, CPU dapat mendeteksi perbedaan ini dengan memeriksa salinan alamat pengirim pada tumpukan bayangan. Ketika perbedaan ini terjadi, komputer meminta kesalahan berhenti, terkadang dikenal sebagai layar biru, untuk mencegah kode berbahaya dijalankan.
Tidak semua driver kompatibel dengan fitur keamanan ini, karena sejumlah kecil driver yang sah terlibat dalam modifikasi alamat pengembalian untuk tujuan yang tidak berbahaya. Microsoft telah terlibat dengan banyak penerbit driver untuk memastikan bahwa driver terbaru mereka kompatibel dengan Kernel-mode Hardware-enforced Stack Protection.
Bagaimana cara mengelola Perlindungan Tumpukan yang diberlakukan perangkat keras mode Kernel?
Mode Kernel Perlindungan Tumpukan yang diberlakukan perangkat keras dinonaktifkan secara default.
Untuk mengaktifkan atau menonaktifkannya:
-
Pilih tombol Mulai dan ketikkan "Isolasi inti".
-
Pilih pengaturan sistem Isolasi Inti dari hasil pencarian untuk membuka aplikasi keamanan Windows.
Di halaman Isolasi Inti, Anda akan menemukan Stack Protection yang diberlakukan Kernel-mode Hardware beserta tombol alih untuk mengaktifkan atau menonaktifkannya.
Untuk menggunakan Proteksi Tumpukan yang diberlakukan perangkat keras mode Kernel, Anda harus mengaktifkan Integritas Memori , dan Anda harus menjalankan CPU yang mendukung Intel Control-Flow Enforcement Technology atau AMD Shadow Stack.
Bagaimana jika dikatakan bahwa saya memiliki driver atau layanan yang tidak kompatibel?
Jika Proteksi Tumpukan yang diberlakukan perangkat keras mode Kernel gagal diaktifkan, anda mungkin telah menginstal driver atau layanan perangkat yang tidak kompatibel. Tanyakan kepada produsen perangkat atau penerbit aplikasi untuk melihat apakah tersedia driver yang diperbarui. Jika driver tidak kompatibel tersedia, Anda mungkin dapat menghapus perangkat atau aplikasi yang menggunakan driver yang tidak kompatibel tersebut.
Beberapa aplikasi mungkin menginstal layanan dan bukan driver selama penginstalan aplikasi dan menginstal driver hanya ketika aplikasi diluncurkan. Untuk deteksi driver yang tidak kompatibel secara lebih akurat, layanan yang dikenal terkait dengan driver yang tidak kompatibel juga dihitung.
Catatan: Jika Anda mencoba menginstal perangkat atau aplikasi dengan driver yang tidak kompatibel setelah mengaktifkan Perlindungan Tumpukan yang diberlakukan Perangkat Keras mode Kernel, Anda mungkin melihat pesan yang sama. Jika demikian, saran yang sama berlaku - tanyakan kepada produsen perangkat atau penerbit aplikasi untuk melihat apakah mereka memiliki driver yang diperbarui yang dapat Anda unduh, atau jangan instal perangkat atau aplikasi tersebut hingga driver yang kompatibel tersedia.
Proteksi akses memori
Juga dikenal sebagai "Perlindungan DMA Kernel" ini melindungi perangkat Anda dari serangan yang dapat terjadi ketika perangkat berbahaya dicolokkan ke port PCI (Interkoneksi Komponen Periferal) seperti port Thunderbolt.
Contoh sederhana dari salah satu serangan ini adalah jika seseorang meninggalkan PC mereka untuk minum kopi cepat, dan saat mereka pergi, penyerang melangkah masuk, mencolokkan perangkat seperti USB dan pergi dengan data sensitif dari mesin, atau menyuntikkan malware yang memungkinkan mereka untuk mengontrol PC dari jarak jauh.
Perlindungan akses memori mencegah serangan semacam ini dengan menolak akses langsung ke memori ke perangkat tersebut kecuali dalam situasi khusus, terutama ketika PC terkunci atau pengguna keluar.
Kami menyarankan agar perlindungan akses memori diaktifkan.
Tips: Jika Anda ingin detail lebih teknis tentang hal ini, lihat Perlindungan DMA Kernel.
Perlindungan firmware
Setiap perangkat memiliki beberapa perangkat lunak yang telah ditulis ke memori baca-saja perangkat - pada dasarnya ditulis ke chip di papan sistem - yang digunakan untuk fungsi dasar perangkat, seperti memuat sistem operasi yang menjalankan semua aplikasi yang biasa kami gunakan. Karena perangkat lunak itu sulit (tetapi tidak mustahil) untuk mengubahnya, kami menyebutnya sebagai firmware.
Karena firmware dimuat terlebih dahulu dan berjalan di bawah sistem operasi, alat dan fitur keamanan yang berjalan dalam sistem operasi mengalami kesulitan mendeteksi atau mempertahankannya. Seperti rumah yang bergantung pada fondasi yang baik untuk diamankan, komputer membutuhkan firmwarenya agar aman untuk memastikan bahwa sistem operasi, aplikasi, dan data pelanggan di komputer itu aman.
Windows Defender System Guard adalah sekumpulan fitur yang membantu memastikan bahwa penyerang tidak dapat memulai dengan firmware yang tidak tepercaya atau berbahaya.
Kami menyarankan agar Anda mengaktifkannya jika perangkat Anda mendukungnya.
Platform yang menawarkan perlindungan firmware biasanya juga melindungi Mode Manajemen Sistem (SMM), mode operasi yang sangat istimewa, hingga berbagai derajat. Anda dapat mengharapkan salah satu dari tiga nilai, dengan angka yang lebih tinggi menunjukkan tingkat proteksi SMM yang lebih besar:
-
Perangkat Anda memenuhi versi proteksi firmware satu: ini menawarkan mitigasi keamanan dasar untuk membantu SMM menolak eksploitasi oleh malware, dan mencegah eksfiltrasi rahasia dari OS (termasuk VBS)
-
Perangkat Anda memenuhi proteksi firmware versi dua: selain perlindungan firmware versi satu, versi dua memastikan bahwa SMM tidak dapat menonaktifkan perlindungan Keamanan berbasis Virtualisasi (VBS) dan DMA kernel
-
Perangkat Anda memenuhi versi proteksi firmware tiga: selain perlindungan firmware versi dua, perangkat ini semakin mengeraskan SMM dengan mencegah akses ke register tertentu yang memiliki kemampuan untuk membahayakan OS (termasuk VBS)
Tips: Jika Anda ingin detail teknis selengkapnya tentang hal ini, lihat Garda Sistem Pertahanan Windows: Bagaimana akar kepercayaan berbasis perangkat keras membantu melindungi Windows
Perlindungan Otoritas Keamanan Lokal
Perlindungan Otoritas Keamanan Lokal (LSA) adalah fitur keamanan Windows untuk membantu mencegah pencurian kredensial yang digunakan untuk masuk ke Windows.
Local Security Authority (LSA) adalah proses penting di Windows yang terlibat dalam autentikasi pengguna. Ini bertanggung jawab untuk memverifikasi kredensial selama proses masuk dan mengelola token autentikasi dan tiket yang digunakan untuk mengaktifkan masuk tunggal untuk layanan. Perlindungan LSA membantu mencegah perangkat lunak yang tidak tepercaya berjalan di dalam LSA atau mengakses memori LSA.
Bagaimana cara mengelola perlindungan Otoritas Keamanan Lokal
Perlindungan LSA diaktifkan secara default pada instalan baru Windows 11 versi 22H2 dan 23H2 di perangkat yang dikelola perusahaan. Fitur ini diaktifkan secara default pada semua instalan baru Windows 11 versi 24H2 dan yang lebih baru.
Jika Anda memutakhirkan ke Windows 11 24H2 dan perlindungan LSA belum diaktifkan, perlindungan LSA akan berusaha mengaktifkan setelah pemutakhiran. Perlindungan LSA akan memasuki mode evaluasi setelah pemutakhiran dan akan memeriksa masalah kompatibilitas selama periode 5 hari. Jika tidak ada masalah yang terdeteksi, maka proteksi LSA akan diaktifkan secara otomatis pada boot ulang berikutnya setelah jendela evaluasi berakhir.
Untuk mengaktifkan atau menonaktifkannya:
-
Pilih Mulai di taskbar dan ketikkan "Isolasi inti".
-
Pilih pengaturan sistem Isolasi Inti dari hasil pencarian untuk membuka aplikasi keamanan Windows.
Di halaman Isolasi inti, Anda akan menemukan perlindungan Otoritas Keamanan Lokal beserta tombol alih untuk mengaktifkan atau menonaktifkannya. Setelah Anda mengubah pengaturan, Anda harus melakukan boot ulang agar diterapkan.
Bagaimana jika saya memiliki perangkat lunak yang tidak kompatibel?
Jika perlindungan LSA diaktifkan dan memblokir pemuatan perangkat lunak ke layanan LSA, pemberitahuan akan diperlihatkan yang mengindikasikan file yang diblokir. Anda mungkin dapat menghapus perangkat lunak yang memuat file atau menonaktifkan peringatan di masa mendatang untuk file tersebut ketika diblokir agar tidak dimuat ke LSA.
Penjaga Kredensial Pertahanan Microsoft
Catatan: Garda Kredensial Pertahanan Microsoft hanya muncul di perangkat yang menjalankan windows 10 atau 11 versi Enterprise.
Saat Anda menggunakan komputer kerja atau sekolah, komputer akan masuk dengan tenang dan mendapatkan akses ke berbagai hal seperti file, printer, aplikasi, dan sumber daya lainnya di organisasi Anda. Membuat proses tersebut aman, namun mudah bagi pengguna, berarti bahwa komputer Anda memiliki sejumlah token autentikasi (sering disebut sebagai "rahasia") di dalamnya pada waktu tertentu.
Jika penyerang dapat memperoleh akses ke satu, atau lebih, rahasia tersebut, mereka mungkin dapat menggunakannya untuk mendapatkan akses ke sumber daya organisasi (file sensitif, dll) yang menjadi rahasianya. Garda Kredensial Pertahanan Microsoft membantu melindungi rahasia tersebut dengan meletakkannya dalam lingkungan yang dilindungi dan divirtualisasi, di mana hanya layanan tertentu yang dapat mengaksesnya jika diperlukan.
Kami menyarankan agar Anda mengaktifkannya jika perangkat Anda mendukungnya.
Tips: Jika Anda ingin detail teknis selengkapnya tentang hal ini, lihat Cara kerja Defender Credential Guard.
Daftar Blokir Driver Rentan Microsoft
Driver adalah perangkat lunak yang memungkinkan sistem operasi (Windows dalam hal ini) dan perangkat (seperti keyboard atau webcam, untuk dua contoh) saling berbicara. Ketika perangkat ingin Windows melakukan sesuatu, windows akan menggunakan driver untuk mengirim permintaan tersebut. Karena itu, driver memiliki banyak akses sensitif di sistem Anda.
Dimulai dengan pembaruan Windows 11 2022, kami sekarang memiliki daftar blokir driver yang memiliki kerentanan keamanan yang diketahui, telah ditandatangani dengan sertifikat yang telah digunakan untuk menandatangani malware, atau yang menghindari Model Keamanan Windows.
Jika Anda memiliki integritas memori, Kontrol Aplikasi Cerdas, atau mode Windows S aktif, daftar blokir driver yang rentan juga akan aktif.