Pamata atdalīšana ir Microsoft Windows drošības līdzeklis, kas aizsargā svarīgus Windows pamata procesus no ļaunprātīgas programmatūras, tos izbrāzot atmiņā. Tas tiek veikts, palaižot šos pamata procesus virtualizētā vidē. 

Piezīme.: Tas, kas tiek rādīts pamata atdalīšanas lapā, var mazliet atšķirties atkarībā no tā, kāda Windows versija darbojas datorā.

Atmiņas integritāte

Atmiņas integritāte, kas tiek dēvēta arī par hipervisoru aizsargāto koda integritāti (HVCI), ir Windows drošības līdzeklis, kas apgrūtina ļaunprātīgām programmām izmantot zema līmeņa draiverus, lai no jauna izveidotu datoru.

Draiveris ir programmatūras daļa, kas ļauj operētājsistēmai (šajā gadījumā Windows) un ierīcei (piemēram, tastatūrai vai tīmekļa kamerai, kā diviem piemēriem) sarunāties savā starpā. Ja ierīce vēlas, lai Operētājsistēma Windows izdara kādu uzdevumu, kas šo pieprasījumu sūtītu, tiek izmantots draiveris.

Padoms.: Vai vēlaties uzzināt vairāk par draiveriem? Skatiet rakstu Kas ir draiveris?

Atmiņas integritāti var izveidot izolētu vidi, izmantojot aparatūras virtualizāciju.

Iedomājieties, ka tā ir kā drošības aizsardzība bloķētā stendā. Šī izolētā vide (bloķētā stenda mūsu analogijā) neļauj uzbrukumu pārveidot atmiņas integritātes līdzekli. Programmai, kura vēlas palaist kādu kodu, kas varētu būt bīstama, kods ir jānokārto virtuālajā stendā atmiņas integritātē, lai to varētu pārbaudīt. Ja atmiņas integritāte ir ērta, ka kods ir drošībā, izlaiž kodu atpakaļ sistēmā Windows, lai to palaistu. Parasti tas notiek ļoti ātri.

Bez atmiņas integritātes izpildes", "drošības aizsardzība" tiek izcelta atvērtajā vietā, kur daudz vieglāk ir uzbrucējam traucēt vai radīt bojājumus aizsardzība, atvieglojot ļaunprātīga koda lietošanu agrāk un radīt problēmas.

Kā pārvaldīt atmiņas integritāti?

Vairākumā gadījumu operētājsistēmā Windows 11 atmiņas integritāte ir ieslēgta pēc noklusējuma, un to var ieslēgt operētājsistēmā Windows 10.

Lai to ieslēgtu vai izslēgtu:

  1. Atlasiet pogu Sākt un ierakstiet "Core isolation" (Pamata atdalīšana).

  2. Meklēšanas rezultātos atlasiet Core Isolation system iestatījumus, lai atvērtu Windows drošības programmu.

Lapā Core isolation (Pamata atdalīšana) ir gan atmiņas integritāte, gan slēdzis, kas to ieslēgs vai izslēdz.

Windows drošības pamatelementa atdalīšanas lapa

Svarīgi!: Drošības apsvērumu dēļ ieteicams ieslēgt atmiņas integritāti.

Lai izmantotu atmiņas integritāti, jūsu sistēmas UEFI vai BIOS ir jābūt iespējotai aparatūras virtualizācijai. 

Kā darīt, ja ir rakstīts, ka man ir nesaderīgs draiveris?

Ja atmiņas integritāti neizdodas ieslēgt, iespējams, ka jums ir instalēts nesaderīgs ierīces draiveris. Sazinieties ar ierīces ražotāju, lai uzzinātu, vai tiem ir pieejams atjaunināts draiveris. Ja ierīcēs nav pieejams saderīgs draiveris, iespējams, varat noņemt ierīci vai programmu, kas izmanto nesaderīgo draiveri.

Windows atmiņas integritātes līdzeklis, kas rāda, ka draiveris nav saderīgs

Piezīme.: Ja pēc atmiņas integritātes ieslēgšanas mēģināt instalēt ierīci ar nesaderīgu draiveri, var tikt parādīts tas pats ziņojums. Šādā gadījumā tas pats ieteikums ir spēkā — sazinieties ar ierīces ražotāju, lai uzzinātu, vai ierīces draiverim ir atjaunināts draiveris, ko varat lejupielādēt, vai neinstalējiet šo konkrēto ierīci, līdz nav pieejams saderīgs draiveris.

Kernel-mode Hardware-enforced Stack Protection

Kernel-mode Hardware-enforced Stack Protection ir aparatūras Windows drošības līdzeklis, kas apgrūtina ļaunprātīgām programmām izmantot zema līmeņa draiverus, lai nolauptu datoru.

Draiveris ir programmatūras daļa, kas ļauj operētājsistēmai (šajā gadījumā Windows) un ierīcei, piemēram, tastatūrai vai tīmekļa kamerai, savā starpā sarunāties. Ja ierīce vēlas, lai Operētājsistēma Windows izdara kādu uzdevumu, kas šo pieprasījumu sūtītu, tiek izmantots draiveris.

Padoms.: Vai vēlaties uzzināt vairāk par draiveriem? Skatiet rakstu Kas ir draiveris?

Kernel-mode aparatūras ieviestā steka aizsardzība darbojas, nepieļaujot uzbrukumus, kas modificē atpakaļadreses in kernel-mode atmiņā, lai palaistu ļaunprātīgu kodu. Šim drošības līdzeklim ir nepieciešams centrālais procesors, kas satur iespēju verificēt izpildītā koda atpakaļadreses.

Izpildot kodu kernel-mode, atpakaļadreses kernel-mode grupā var sabojāt ļaunprātīgas programmas vai draiveri, lai novirzītu parastu koda izpildi uz ļaunprātīgu kodu. Atbalstītos centrālos procesoros centrālais procesors saglabā otru derīgu atpakaļadreses kopiju tikai lasāmā ēnu grupā, ko draiveri nevar modificēt. Ja tiek modificēta atpakaļadrese parastajā grupā, centrālais procesors var noteikt šo neatbilstību, pārbaudot atpakaļadreses kopiju ēnu grēdā. Ja rodas šāda neatbilstība, datorā tiek parādīta apturēšanas kļūda, kas dažkārt tiek dēvēta par zilu ekrānu, lai novērstu ļaunprātīga koda izpildi.

Visi draiveri nav saderīgi ar šo drošības līdzekli, jo maz likumīgu draiveru piesaista atpakaļadreses modificēšanu citiem mērķiem. Microsoft ir saistījusi savu draiveri ar vairākiem draiveru izdevējiem, lai pārliecinātos, vai to jaunākie draiveri ir saderīgi ar kernel-mode hardware ieviesto steka aizsardzību.

Kā pārvaldīt kernel-mode aparatūrā ieviesto steka aizsardzību?

Kernel-mode Hardware-enforced Stack Protection is turned off by default.

Lai to ieslēgtu vai izslēgtu:

  1. Atlasiet pogu Sākt un ierakstiet "Core isolation" (Pamata atdalīšana).

  2. Meklēšanas rezultātos atlasiet Core Isolation system iestatījumus, lai atvērtu Windows drošības programmu.

Core atdalīšanas lapā ir atrodams kernel-mode hardware-enforced Stack Protection kopā ar slēdzi, lai to ieslēgtu vai izslēgtu.

Norāda kernel-mode aparatūras ieviestās grēdas aizsardzības UI pārslēgšanas atrašanās vietu Windows drošības programmas Core Isolation lapā.

Lai izmantotu kernel-mode aparatūru ieviesto grēdas aizsardzību, ir jābūt iespējotai atmiņas integritātes iespējošanai un ir nepieciešams darbināt centrālo procesoru, kas atbalsta Intel Control-Flow enforcement technology or AMD Shadow Stack.

Kā darīt, ja ir rakstīts, ka man ir nesaderīgs draiveris vai pakalpojums?

Ja nevarat ieslēgt kernel-mode aparatūras ieviesto steka aizsardzību, iespējams, ka jums ir instalēts nesaderīgs ierīces draiveris vai pakalpojums. Sazinieties ar ierīces ražotāju vai lietojumprogrammas izdevēju, lai uzzinātu, vai tiem ir pieejams atjaunināts draiveris. Ja ierīcēs nav pieejams saderīgs draiveris, iespējams, varat noņemt ierīci vai programmu, kas izmanto nesaderīgo draiveri.

Dažas lietojumprogrammas var instalēt pakalpojumu, nevis draiveri lietojumprogrammas instalēšanas laikā, un instalēt draiveri tikai tad, kad programma tiek palaista. Lai precīzāk noteiktu nesaderīgus draiverus, ir uzskaitīti arī pakalpojumi, kas ir saistīti ar nesaderīgiem draiveriem.

Nesaderīgi draiveri un pakalpojumi, kas paredzēts kernel-mode aparatūrai, ieviestā steka aizsardzība Windows drošības programmā, ar vienu nesaderīgu draiveri. Nesaderīgo draiveri sauc par "ExampleDriver.sys Example Company".

Piezīme.: Ja pēc kernel-mode Hardware-enforced Stack Protection ieslēgšanas mēģināt instalēt ierīci vai programmu ar nesaderīgu draiveri, iespējams, tiks parādīts tas pats ziņojums. Šādā gadījumā tas pats ieteikums ir spēkā — sazinieties ar ierīces ražotāju vai programmas izdevēju, lai uzzinātu, vai viņiem ir atjaunināts draiveris, ko varat lejupielādēt, vai neinstalējiet konkrētu ierīci vai programmu, līdz ir pieejams saderīgs draiveris.

Atmiņas piekļuves aizsardzība

Tas tiek dēvēts arī par "Kernel DMA protection" (Kernel DMA protection), tas aizsargā ierīci pret uzbrukumiem, kas var rasties, ja PCI (perifērijas komponentu intersavienojuma) portā var būt ļaunprātīga ierīce, piemēram, Thunderbolt ports.

Vienkāršs piemērs no šiem uzbrukumiem būtu, ja kāds pamet datoru uz īsu kafijas pauze, un, kad viņš bija prom, uzbrucējs veic darbības, iespraudīs USB ierīcei un pārtrauc darbības ar sensitīviem datora datiem vai veic ļaunprogrammatūras iesiešanu, kas tiem ļauj attāli kontrolēt datoru. 

Atmiņas piekļuves aizsardzība novērš šādus uzbrukumus, noraidot tiešu piekļuvi atmiņai šajās ierīcēs, izņemot īpašos apstākļos, īpaši, ja dators ir bloķēts vai lietotājs ir izrakstīts.

Ir ieteicams ieslēgt atmiņas piekļuves aizsardzību.

Padoms.: Ja vēlaties detalizētu tehnisko informāciju par to, skatiet rakstu Kernel DMA Protection.

Aparātprogrammatūras aizsardzība

Katrai ierīcei ir programmatūra, kas ierakstīta ierīces tikai lasāmajā atmiņā — pamatā ierakstīta sistēmas paneļa mikroshēmā —, kas tiek izmantota ierīces pamatfunkcijas, piemēram, ielādējot operētājsistēmu, kas izpilda visas programmas, kuras izmantojām. Tā kā šo programmatūru ir grūti (bet ne neiespējami), modificējam uz to kā aparātprogrammatūru.

Tā kā aparātprogrammatūra vispirms tiek ielādēta un darbojas operētājsistēmā, drošības rīkiem un līdzekļiem, kas darbojas operētājsistēmā, ir grūti noteikt to vai iedziļiniet tajā. Līdzīgi kā ar māju, kas ir atkarīga no labiem pamatiem, datoram nepieciešama aparātprogrammatūra, lai tā būtu drošībā, nodrošinot datora operētājsistēmas, lietojumprogrammu un klientu datu drošību.

Windows Defender System Guard ir līdzekļu kopa, kas palīdz nodrošināt, ka uzbrucēji nevar iegūt jūsu ierīci, lai sāktu darbu ar neuzticamu vai ļaunprātīgu aparātprogrammatūru.

Ieteicams to ieslēgt, ja jūsu ierīce to atbalsta.

Platformas, kas piedāvā aparātprogrammatūras aizsardzību, parasti aizsargā arī sistēmas pārvaldības režīmu (System Management Mode — SMM), īpaši priviliģētu operētājsistēmas režīmu ar dažādām grādiem. Kāda no trim vērtībām ir paredzama ar lielāku skaitli, kas norāda lielāku SMM aizsardzības pakāpi:

  • Jūsu ierīce atbilst aparātprogrammatūras aizsardzības versijai. Tas nodrošina pamata drošības riskus, kas palīdz SMM resnoties no ļaunprogrammatūras izmantošanas un neļauj operētājsistēmai izdairēt noslēpumus (ieskaitot VBS)

  • Jūsu ierīce atbilst aparātprogrammatūras aizsardzības versijai. Papildus aparātprogrammatūras aizsardzības versijai 2. versija nodrošina, ka SMM nevar atspējot Virtualization bāzes drošību (VBS) un kernel DMA aizsardzību

  • Jūsu ierīce atbilst aparātprogrammatūras aizsardzības versijai 3: papildus aparātprogrammatūras aizsardzības versijai, tā vēl vairāk saasina SMM, neļaujot piekļūt noteiktiem reģistriem, kas var radīt problēmas ar OS (ieskaitot VBS)

Padoms.: Ja vēlaties detalizētu tehnisko informāciju, skatiet rakstu Windows Defender System Guard: uz aparatūru pamatota uzticēšanās sakne palīdz aizsargāt operētājsistēmu Windows

Lokālās drošības iestādes aizsardzība

Lokālās drošības iestādes (Local Security Authority — LSA) aizsardzība ir Windows drošības līdzeklis, kas palīdz novērst akreditācijas datu zādzību, kas tiek izmantoti, lai pierakstītos operētājsistēmā Windows.   

Lokālās drošības iestāde (Local Security Authority — LSA) ir kritiski svarīgs process sistēmā Windows, kas iesaista lietotāju autentifikācijā. Tā ir atbildīga par akreditācijas datu pārbaudi pieteikšanās procesa laikā un autentifikācijas pilnvaru un biļešu pārvaldību, kas tiek izmantotas, lai iespējotu vienoto pierakstīšanos pakalpojumiem. LSA aizsardzība palīdz novērst neuzticamas programmatūras darbību LSA vai piekļuvi LSA atmiņai.  

Kā pārvaldīt lokālās drošības iestādes aizsardzību

LSA aizsardzība pēc noklusējuma tiek ieslēgta jaunos Windows 11 versijas 22H2 un 23H2 instalācijas izdevumos uzņēmuma pārvaldītajos ierīcēs. Tā pēc noklusējuma ir ieslēgta visās jaunajās Windows 11 versijās 24H2 un jaunākās versijās. 

Ja veicat jaunināšanu uz Windows 11 24H2 un LSA aizsardzība vēl nav iespējota, LSA aizsardzība mēģinās iespējot pēc jaunināšanas. LSA aizsardzība tiek paņemta novērtēšanas režīmā pēc jaunināšanas un 5 dienu laikā meklēs saderības problēmas. Ja nav konstatēta neviena kļūda, LSA aizsardzība tiks automātiski ieslēgta nākamajā atkārtotas palaišanas reizē pēc novērtēšanas loga beigām.  

Lai to ieslēgtu vai izslēgtu: 

  1. Uzdevumjoslā atlasiet Sākums un ierakstiet "Pamata atdalīšana".

  2. Meklēšanas rezultātos atlasiet Core Isolation system iestatījumus, lai atvērtu Windows drošības programmu.

Lapā Core isolation (Atdalīšanas lapa) ir atrodams lokālās drošības iestādes aizsardzība kopā ar slēdzi, kas to ieslēgs vai izslēdz. Kad esat mainījis šo iestatījumu, ir jāveic atkārtota palaišana, lai tas stāsies spēkā. 

LSA aizsardzības kontrole Windows drošības programmas Core Isolation lapā

Kā ko darīt, ja ir nesaderīga programmatūra? 

Ja LSA aizsardzība ir iespējota un bloķē programmatūras ielādi LSA pakalpojumā, tiek parādīts paziņojums, kas norāda failu, kas tika bloķēts. Iespējams, varat noņemt programmatūru, ielādējot failu, vai atspējot brīdinājumus par nākamajiem brīdinājumiem, ja tas ir bloķēts ielādei LSA.  

Brīdinājums, kas tiek palaists, kad LSA aizsardzība bloķē faila ielādi.

Microsoft Defender Credential Guard

Piezīme.: Programmatūra Microsoft Defender Credential Guard tiek rādīta tikai ierīcēs, kurās darbojas Windows 10 vai 11 Enterprise versijas.

Ja izmantojat savu darba vai mācību datoru, tas ne tikai pierakstīsies un iegūs piekļuvi dažādām lietām, piemēram, failiem, printeriem, programmām un citiem resursiem jūsu organizācijā. Padarot šo procesu drošu, bet lietotājam vienkāršu, tas nozīmē, ka jūsu datorā jebkurā laikā ir vairāki autentifikācijas marķieri (ko bieži dēvē par "noslēpumiem").

Ja uzbrucējs var iegūt piekļuvi vienam vai vairākiem no šiem noslēpumiem, viņi var tos izmantot, lai piekļūtu organizācijas resursiem (sensitīviem failiem utt.), kas ir slepens. Microsoft Defender Akreditācijas datu aizsardzība palīdz aizsargāt šos noslēpumus, ievietojot tos aizsargātā, virtualizētā vidē, kur tikai noteikti pakalpojumi var tiem piekļūt, ja tas ir nepieciešams.

Ieteicams to ieslēgt, ja jūsu ierīce to atbalsta.

Padoms.: Ja vēlaties detalizētu tehnisko informāciju, skatiet rakstu Kā darbojas Defender akreditācijas datu aizsardzība.

Microsoft neaizsargātu draiveru bloķēšanas saraksts

Draiveris ir programmatūras daļa, kas ļauj operētājsistēmai (šajā gadījumā Windows) un ierīcei (piemēram, tastatūrai vai tīmekļa kamerai, kā diviem piemēriem) sarunāties savā starpā. Ja ierīce vēlas, lai Operētājsistēma Windows izdara kādu uzdevumu, kas šo pieprasījumu sūtītu, tiek izmantots draiveris. Tāpēc draiveriem jūsu sistēmā ir daudz sensitīvas piekļuves.

Sākot ar Windows 11 2022 atjauninājumu, tagad ir bloķēto draiveru saraksts ar zināmām drošības ievainojamībām un ir parakstīti ar sertifikātiem, kas ir izmantoti, lai parakstītu ļaunprogrammatūru vai apiet Windows drošības modeli.

Ja jums ir atmiņas integritāte, Smart App Control vai Windows S režīms ir ieslēgts, tiks ieslēgts arī neaizsargāto draiveru bloķēšanas saraksts.

Skatiet arī

Aizsardzība ar programmu Windows drošība

Microsoft drošības palīdzība un apmācība

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.