Osnovna izolacija je bezbednosna funkcija operativnog sistema Microsoft Windows koja štiti važne osnovne procese operativnog sistema Windows od zlonamernog softvera tako što ih izoluje u memoriji. To radi tako što pokreće te osnovne procese u virtuelizovanom okruženju.
Napomena: Ono što vidite na stranici Osnovna izolacija može malo da se razlikuje u zavisnosti od verzije operativnog sistema Windows koju koristite.
Integritet memorije
Integritet memorije, poznat i kao Integritet koda zaštićen od hipervizora (HVCI) je Bezbednosna funkcija operativnog sistema Windows koja zlonamernim programima otežava korišćenje upravljačkih programa nižeg nivoa za otmu računar.
Upravljački program je softver koji omogućava operativnom sistemu (u ovom slučaju Windows) i uređaj (kao što je tastatura ili veb kamere, na dva primera) da razgovaraju jedan sa drugim. Kada uređaj želi da Windows uradi nešto, on koristi upravljački program za slanje tog zahteva.
Savet: Želite da saznate više o upravljačkim programima? Pogledajte članak Šta je to upravljački program?
Integritet memorije funkcioniše tako što kreira izolovano okruženje pomoću hardverske virtuelizacije.
Misli o tome kao o čuvaru unutar zaključane štande. Ovo izolovano okruženje (zaključana kabina u analogiji) sprečava funkciju integriteta memorije da bude neometana od strane napadača. Program koji želi da pokrene deo koda koji može biti opasan mora da doda kôd u integritet memorije unutar te virtuelne štandove kako bi bio verifikovan. Kada se integritet memorije ugodi da je kôd bezbedan, on će vratiti kôd u Windows da bi ga pokrenuti. Ovo se obično dešava veoma brzo.
Bez pokretanja integriteta memorije, "čuvar" se ističe na otvorenom, gde je mnogo lakše da napadač ometa ili sabotira čuvara, što olakšava zlonamernom kodu da se iskrada i izazove probleme.
Kako da upravljam integritetom memorije?
U većini slučajeva integritet memorije je podrazumevano uključen u operativnom sistemu Windows 11 i može da se uključi za Windows 10.
Da biste ga uključili ili isključili:
-
Kliknite na dugme Start i otkucajte "Osnovna izolacija".
-
Izaberite postavke sistema Core Izolacije iz rezultata pretrage da biste otvorili Windows bezbednosnu aplikaciju.
Na stranici Osnovna izolacija pronaći ćete integritet memorije zajedno sa preklopnikom da biste ga uključili ili isključili.
Važno: Radi bezbednosti preporučujemo da uključite integritet memorije.
Da biste koristili integritet memorije, morate da imate omogućenu hardversku virtuelizaciju u UEFI ili BIOS sistemu.
Šta ako piše da imam nekompatibilan upravljački program?
Ako se integritet memorije ne uključi, može vam reći da imate već instaliran kompatibilni upravljački program uređaja. Obratite se proizvođaču uređaja da biste proverili da li je dostupan ažurirani upravljački program. Ako nemaju dostupan kompatibilan upravljački program, možda ćete moći da uklonite uređaj ili aplikaciju koja koristi taj kompatibilni upravljački program.
Napomena: Ako pokušate da instalirate uređaj sa kompatibilnim upravljačkim programom nakon uključivanja integriteta memorije, možda ćete videti istu poruku. Ako je tako, primenjuju se isti saveti – obratite se proizvođaču uređaja da biste proverili da li ima ažuriran upravljački program koji možete da preuzmete ili nemojte da instalirate taj određeni uređaj dok ne bude dostupan kompatibilan upravljački program.
Zaštita steka nametnuta u režimu kernelskog režima
Zaštita steka nametnuta u režimu kernelskog režima je Windows bezbednosna funkcija zasnovana na hardveru koja otežava zlonamernim programima da koriste upravljačke programe nižeg nivoa za otmu računar.
Upravljački program je softver koji omogućava operativnom sistemu (u ovom slučaju Windows) i uređaj kao što je tastatura ili veb kamere, razgovarajte jedan sa drugim. Kada uređaj želi da Windows uradi nešto, on koristi upravljački program za slanje tog zahteva.
Savet: Želite da saznate više o upravljačkim programima? Pogledajte članak Šta je to upravljački program?
Kernel režim Stack Protection funkcioniše tako što sprečava napade koji menjaju povratne adrese u memoriji u režimu jezgra da bi pokrenuli zlonamerni kôd. Ova bezbednosna funkcija zahteva CPU koji sadrži mogućnost verifikacije povratnih adresa pokrenutog koda.
Prilikom izvršavanja koda u međuslovnom režimu, zlonamerni programi ili upravljački programi mogu da oštete povratne adrese na naslaganom jezgru režima kako bi preusmerili izvršavanje normalnog koda na zlonamerni kôd. Na podržanim CPU-ovima, CPU održava drugu kopiju važećih povratnih adresa na steku senki samo za čitanje koji upravljački programi ne mogu da izmene. Ako je povratna adresa u redovnom nizu izmenjena, CPU može da otkrije ovo neslaganje tako što će proveriti kopiju povratne adrese u steku senke. Kada dođe do ovog neusklađivanja, računar traži grešku zaustavljanja, koja se ponekad naziva plavi ekran, da bi sprečio izvršavanje zlonamernog koda.
Nisu svi upravljački programi kompatibilni sa ovom bezbednosnom funkcijom, jer mali broj legitimnih upravljačkih programa učestvuje u izmenama povratne adrese u nenamerne svrhe. Microsoft je angažovao brojne izdavače upravljačkih programa da bi se uverio da su najnoviji upravljački programi kompatibilni sa kernel-režimom Zaštita steka nametnutom pomoću kernel režima.
Kako da upravljam zaštitom steka nametnutom u režimu kernelskog režima?
Zaštita steka nametnuta hardverom u režimu kernela podrazumevano je isključena.
Da biste ga uključili ili isključili:
-
Kliknite na dugme Start i otkucajte "Osnovna izolacija".
-
Izaberite postavke sistema Core Izolacije iz rezultata pretrage da biste otvorili Windows bezbednosnu aplikaciju.
Na stranici izolacije sistema Core pronaći ćete Izolaciju režima Kernel u režimu Steka, kao i preklopnik da biste ga uključili ili isključili.
Da biste koristili zaštitu steka nametnutu u režimu kernelskog režima, morate da imate omogućen integritet memorije i morate da pokrenete CPU koji podržava Tehnologiju sprovođenja Intel Control-Flow tehnologiju sprovođenja ili AMD stek senke.
Šta ako piše da imam kompatibilni upravljački program ili uslugu?
Ako se zaštita steka nametnuta u režimu Kernel-režima ne uključi, ona može da vam kaže da imate već instaliran kompatibilni upravljački program uređaja ili uslugu. Obratite se proizvođaču uređaja ili izdavaču aplikacije da biste proverili da li je dostupan ažurirani upravljački program. Ako nemaju dostupan kompatibilan upravljački program, možda ćete moći da uklonite uređaj ili aplikaciju koja koristi taj kompatibilni upravljački program.
Neke aplikacije mogu da instaliraju uslugu umesto upravljačkog programa tokom instalacije aplikacije i instaliraju upravljački program samo kada se aplikacija pokrene. Za preciznije otkrivanje nekih kompatibilnih upravljačkih programa nabrajaju se i usluge za koje je poznato da su povezane sa nekimpatibilnim upravljačkim programima.
Napomena: Ako pokušate da instalirate uređaj ili aplikaciju sa nekim kompatibilnim upravljačkim programom nakon uključivanja zaštite steka nametnutom u režimu Kernel, možda ćete videti istu poruku. Ako je tako, primenjuju se isti saveti – obratite se proizvođaču uređaja ili izdavaču aplikacije da biste proverili da li ima ažuriran upravljački program koji možete da preuzmete ili da ne instalirate taj određeni uređaj ili aplikaciju dok ne bude dostupan kompatibilan upravljački program.
Zaštita pristupa memoriji
Poznat i kao "Kernel DMA zaštita", ovo štiti vaš uređaj od napada do kojih može doći kada je zlonamerni uređaj priključen na PCI (Peripheral Component Interconnect) port kao što je Thunderbolt port.
Jednostavan primer jednog od ovih napada bio bi ako neko ostavi računar na kratkom pauzi za kafu, a dok je bio odsutni, napadač se priključi, priključi USB uređaj i odšeta sa osetljivim podacima sa računara ili ubrizgava malver koji im omogućava da daljinski kontrolišu računar.
Zaštita pristupa memoriji sprečava ove vrste napada tako što uskraćuje direktan pristup memoriji tim uređajima osim u posebnim okolnostima, naročito kada je računar zaključan ili kada je korisnik odjavljen.
Preporučujemo da imate uključenu zaštitu pristupa memoriji.
Savet: Ako želite više tehničkih detalja o ovom članku Pogledajte odeljak Kernel DMA Protection.
Zaštita firmvera
Svaki uređaj ima neki softver koji je napisan u memoriju uređaja samo za čitanje – koji je u osnovi napisan u čip na sistemskoj tabli – koji se koristi za osnovne funkcije uređaja, kao što je učitavanje operativnog sistema koji pokreće sve aplikacije koje smo navikli da koristimo. Pošto je taj softver težak (ali ne nemoguć) za izmenu, mi ga nazivamo firmverom.
Pošto se firmver učitava prvi i pokreće u okviru operativnog sistema, bezbednosne alatke i funkcije koje se pokreću u operativnom sistemu teško ga je otkriti ili se braniti od njega. Kao i kuća koja zavisi od dobrog osnova kako bi bio bezbedan, računaru je potreban firmver da bi bio bezbedan kako bi operativni sistem, aplikacije i korisnički podaci na tom računaru bili bezbedni.
System Guard Windows zaštitnika je skup funkcija koje vam pomažu da se uverite da napadači ne mogu da dohvate da vaš uređaj počne nepouzdanim ili zlonamernim firmverom.
Preporučujemo da je uključite ako vaš uređaj to podržava.
Platforme koje nude zaštitu firmvera obično štite i režim upravljanja sistemom ( SMM), izuzetno privilegovan operativni režim, da bi menjale stepene. Možete da očekujete jednu od tri vrednosti, sa većim brojem koji ukazuje na veći stepen SMM zaštite:
-
Vaš uređaj ispunjava verziju zaštite firmvera 1: ovo nudi temeljna bezbednosna umanjivanja koja pomažu usluzi SMM da se odupre iskorišćavanju malvera i sprečava izuzimanje tajni iz operativnog sistema (uključujući VBS)
-
Vaš uređaj ispunjava dve verzije zaštite od firmvera: pored verzije zaštite od firmvera jedan, verzija 2 osigurava da SMM ne može da onemogući bezbednost zasnovanu na virtuelizacijama (VBS) i kernel DMA zaštitu
-
Vaš uređaj ispunjava tri verzije zaštite od firmvera: pored verzije zaštite od firmvera, on dodatno očvrsće SMM tako što sprečava pristup određenim registrima koji imaju mogućnost da ugrožavaju operativni sistem (uključujući VBS)
Savet: Ako želite više tehničkih detalja o ovome, pogledajte članak System Guard Windows zaštitnika: Kako osnovni direktor za pouzdanost zasnovan na hardveru pomaže u zaštiti operativnog sistema Windows
Zaštita lokalnog bezbednosnog autoriteta
Zaštita lokalnog bezbednosnog autoriteta (LSA) je Windows bezbednosna funkcija koja sprečava krađu akreditiva koji se koriste za prijavljivanje u Windows.
Lokalni bezbednosni autoritet (LSA) je ključni proces u operativnom sistemu Windows koji se bavi potvrdom identiteta korisnika. Ona je odgovorna za verifikaciju akreditiva tokom procesa prijavljivanja i upravljanje tokenima potvrde identiteta i tiketima koji se koriste za omogućavanje jedinstvenog prijavljivanja za usluge. LSA zaštita sprečava pokretanje nepouzdanog softvera u LSA ili pristup LSA memoriji.
Kako da upravljam zaštitom lokalnog bezbednosnog autoriteta
LSA zaštita je podrazumevano uključena u novim instalacijama operativnog sistema Windows 11 verzije 22H2 i 23H2 na uređajima kojima upravlja preduzeće. Podrazumevano je uključena u svim novim instalacijama operativnog sistema Windows 11 verzije 24H2 i novijih verzija.
Ako nadograđujete na Windows 11 24H2, a LSA zaštita nije već omogućena, LSA zaštita će pokušati da se omogući nakon nadogradnje. LSA zaštita će ući u režim procene nakon nadogradnje i proveriće probleme sa kompatibilnošću tokom perioda od 5 dana. Ako nema otkrivenih problema, LSA zaštita će se automatski uključiti pri sledećem ponovnom pokretanju sistema kada se prozor za procenu završi.
Da biste ga uključili ili isključili:
-
Kliknite na dugme Start na traci zadataka i otkucajte "Osnovna izolacija".
-
Izaberite postavke sistema Core Izolacije iz rezultata pretrage da biste otvorili Windows bezbednosnu aplikaciju.
Na stranici izolacije sistema Core pronaći ćete zaštitu lokalnog bezbednosnog autoriteta zajedno sa preklopnikom da biste ga uključili ili isključili. Kada promenite postavku, morate ponovo pokrenuti računar da bi ona primenila.
Šta ako imam kompatibilni softver?
Ako je LSA zaštita omogućena i blokira učitavanje softvera u LSA uslugu, prikazaće se obaveštenje koje ukazuje na datoteku koja je blokirana. Možda ćete moći da uklonite softver koji učitava datoteku ili možete da onemogućite buduća upozorenja za tu datoteku kada bude blokirano učitavanje u LSA.
Akreditive microsoft zaštitnika
Napomena: Akreditive Microsoft zaštitnika se pojavljuje samo na uređajima koji rade pod Enterprise verzijama operativnog sistema Windows 10 ili 11.
Dok koristite poslovni ili školski računar, on će se tiho prijavljivati i dobiti pristup raznim stvarima kao što su datoteke, štampači, aplikacije i drugi resursi u organizaciji. Pravljenje tog procesa bezbednim, a ipak lakim za korisnika, znači da računar na sebi ima više tokena potvrde identiteta (koji se često nazivaju "tajnama") u bilo kom trenutku.
Ako napadač može da dobije pristup jednoj ili više tajni, možda će moći da ih koristi da bi dobio pristup organizacionom resursu (osetljivim datotekama itd.) za koje je tajna. Akreditive Zaštitnik Microsoft zaštitnika pomaže u zaštiti tih tajni tako što ih stavlja u zaštićeno, virtuelizovano okruženje u kojem samo određene usluge mogu da im pristupe kada je to potrebno.
Preporučujemo da je uključite ako vaš uređaj to podržava.
Savet: Ako želite više tehničkih detalja o ovome, pogledajte članak Kako funkcioniše čuvar akreditiva zaštitnika.
Lista blokiranja Microsoft ranjivog upravljačkog programa
Upravljački program je softver koji omogućava operativnom sistemu (u ovom slučaju Windows) i uređaj (kao što je tastatura ili veb kamere, na dva primera) da razgovaraju jedan sa drugim. Kada uređaj želi da Windows uradi nešto, on koristi upravljački program za slanje tog zahteva. Zbog toga upravljački programi imaju mnogo osetljivog pristupa u sistemu.
Počevši od ispravke za Windows 11 2022, sada imamo listu upravljačkih programa koji imaju poznate bezbednosne ranjivosti, potpisani su certifikatima koji su korišćeni za potpisivanje malvera ili koji zaobilaže model Windows bezbednosti.
Ako imate uključen memorijski integritet, Smart App Control ili Windows S režim, uključiće se i ranjiva lista blokiranih upravljačkih programa.