Ізоляція ядра – це функція безпеки Microsoft Windows, яка захищає важливі основні процеси Windows від програм, створених зловмисниками, ізолюючи їх у пам'яті. Він робить це, запускаючи ці основні процеси в віртуалізованому середовищі. 

Примітка.: Те, що ви бачите на сторінці Ізоляція ядра, може дещо відрізнятися залежно від того, яку версію Windows ви використовуєте.

Цілісність пам’яті

Цілісність пам'яті, також відома як Цілісність коду, захищена гіпервізором (HVCI), – це функція безпеки Windows, яка ускладнює зловмисним програмам використання драйверів низького рівня для викрадення комп'ютера.

Драйвер – це програмне забезпечення, яке дає змогу операційній системі (у цьому випадку Windows) і пристрою (наприклад, клавіатурі або веб-камері) розмовляти один з одним. Коли пристрій хоче, щоб Windows щось виправив за допомогою драйвера, надішліть цей запит.

Порада.: Хочете дізнатися більше про драйвери? Див. статтю Що таке драйвер?

Цілісність пам'яті працює, створюючи ізольоване середовище за допомогою віртуалізації обладнання.

Подумайте про це, як про охоронця всередині заблокованого стенду. Це ізольоване середовище (заблокований стенд в нашій аналогії) запобігає підробці функції цілісності пам'яті зловмисником. Програма, яка хоче запустити шматок коду, який може бути небезпечним, повинен передати код цілісності пам'яті всередині цього віртуального стенду, щоб його можна було перевірити. Коли цілісність пам'яті зручна, що код безпечний, він передає код назад у Windows для запуску. Зазвичай це відбувається дуже швидко.

Без запуску цілісності пам'яті "охоронець" виділяється прямо у відкритому місці, де зловмиснику набагато легше заважати або саботувати охоронця, що полегшує для зловмисного коду прокрастися повз і викликати проблеми.

Як керувати цілісністю пам'яті?

Здебільшого цілісність пам'яті ввімкнуто за замовчуванням у Windows 11, і її можна ввімкнути для Windows 10.

Щоб увімкнути або вимкнути цю функцію, виконайте наведені нижче дії.

  1. Натисніть кнопку Пуск і введіть "Ізоляція ядра".

  2. Виберіть настройки системи "Ізоляція ядра" в результатах пошуку, щоб відкрити програму безпеки Windows.

На сторінці Ізоляція ядра ви знайдете цілісність пам'яті разом із перемикачем, щоб увімкнути або вимкнути його.

Сторінка основної ізоляції служби "Безпека у Windows"

Увага!: Для безпечного використання радимо ввімкнути цілісність пам'яті.

Щоб використовувати цілісність пам'яті, потрібно ввімкнути апаратну віртуалізацію в UEFI або BIOS системи. 

Що робити, якщо в мене є несумісний драйвер?

Якщо не вдається ввімкнути цілісність пам'яті, це може вказувати на те, що на комп'ютері вже інстальовано несумісний драйвер пристрою. Зверніться до виробника пристрою, щоб дізнатися, чи доступний у них оновлений драйвер. Якщо сумісні драйвери недоступні, ви можете видалити пристрій або програму, яка використовує цей несумісний драйвер.

Функція цілісності пам'яті Windows, яка показує, що драйвер несумісний

Примітка.: Якщо спробувати інсталювати пристрій із несумісним драйвером після ввімкнення цілісності пам'яті, може з'явитися таке саме повідомлення. Якщо так, застосовується та сама порада. Зверніться до виробника пристрою, щоб дізнатися, чи є у них оновлений драйвер, який можна завантажити, або не інсталюйте цей пристрій, доки не з'явиться сумісний драйвер.

Захист стека в режимі ядра

Захист стека в режимі ядра – це апаратна функція безпеки Windows, яка ускладнює зловмисним програмам використання драйверів низького рівня для викрадення комп'ютера.

Драйвер – це програмне забезпечення, яке дає змогу операційній системі (у цьому випадку Windows) і пристрою, наприклад клавіатурі або веб-камеру, спілкуватися один з одним. Коли пристрій хоче, щоб Windows щось виправив за допомогою драйвера, надішліть цей запит.

Порада.: Хочете дізнатися більше про драйвери? Див. статтю Що таке драйвер?

Захист стека в режимі ядра працює, запобігаючи атакам, які змінюють зворотні адреси в пам'яті в режимі ядра, для запуску зловмисного коду. Для цієї функції безпеки потрібен ЦП, який містить можливість перевіряти зворотні адреси запущеного коду.

Під час виконання коду в режимі ядра зворотні адреси в стеку в режимі ядра можуть бути пошкоджені зловмисними програмами або драйверами, щоб переспрямувати звичайне виконання коду на зловмисний код. На підтримуваних ЦП зберігає другу копію припустимих зворотних адрес у тіньовому стеку лише для читання, який драйвери не можуть змінювати. Якщо зворотну адресу в звичайному стосі змінено, ЦП може виявити цю невідповідність, перевіривши копію зворотної адреси в тіньовому стосі. Коли виникає ця невідповідність, комп'ютер пропонує STOP-помилку, іноді відому як синій екран, щоб запобігти виконанню зловмисного коду.

Не всі драйвери сумісні з цією функцією безпеки, оскільки невелика кількість законних драйверів беруть участь у зміні зворотної адреси для незасумних цілей. Корпорація Майкрософт взаємодіє з численними видавцями драйверів, щоб переконатися, що їхні найновіші драйвери сумісні з апаратним захистом стека в режимі ядра.

Як керувати захистом стека в режимі ядра?

Захист стека в режимі ядра вимкнуто за замовчуванням.

Щоб увімкнути або вимкнути цю функцію, виконайте наведені нижче дії.

  1. Натисніть кнопку Пуск і введіть "Ізоляція ядра".

  2. Виберіть настройки системи "Ізоляція ядра" в результатах пошуку, щоб відкрити програму безпеки Windows.

На сторінці Ізоляція ядра ви знайдете захист стека в режимі ядра разом із перемикачем, щоб увімкнути або вимкнути його.

Указує розташування інтерфейсу користувача захисту стека в режимі ядра Переключення на сторінці "Ізоляція ядра" програми "Безпека у Windows".

Щоб використовувати захист стека в режимі ядра, потрібно ввімкнути цілісність пам'яті , а також працювати з процесором, який підтримує технологію примусового застосування Intel Control-Flow або стек тіней AMD.

Що робити, якщо в мене є несумісний драйвер або служба?

Якщо не вдається ввімкнути захист стека в режимі ядра, можливо, ви вже інсталювали несумісний драйвер або службу пристрою. Зверніться до виробника пристрою або видавця програми, щоб дізнатися, чи доступний у них оновлений драйвер. Якщо у них немає сумісного драйвера, ви можете видалити пристрій або програму, яка використовує цей несумісний драйвер.

Деякі програми можуть інсталювати службу замість драйвера під час інсталяції програми та інсталювати драйвер, лише коли програму запущено. Для точнішого виявлення несумісних драйверів перелічено служби, які, як відомо, пов'язані з несумісними драйверами.

Сторінка несумісних драйверів і служб для захисту стека в режимі ядра в програмі "Безпека у Windows" з одним несумісним драйвером. Несумісний драйвер називається ExampleDriver.sys, опублікований "Приклад компанії".

Примітка.: Якщо спробувати інсталювати пристрій або програму з несумісним драйвером після ввімкнення захисту стека в режимі ядра, може з'явитися таке саме повідомлення. Якщо так, застосовується та сама порада. Зверніться до виробника пристрою або видавця програми, щоб дізнатися, чи є у них оновлений драйвер, який можна завантажити, або не інсталюйте цей пристрій або програму, доки сумісний драйвер не буде доступний.

Захист доступу до пам'яті

Також відомий як "Kernel DMA protection" це захищає ваш пристрій від атак, які можуть виникнути, коли зловмисний пристрій підключено до порту PCI (peripheral Component Interconnect), як порт Thunderbolt.

Простим прикладом однієї з цих атак було б, якщо хтось залишає свій ПК для швидкої перерви на каву, і поки вони були відсутні, зловмисник крокує, підключає USB-пристрій і йде з конфіденційними даними з комп'ютера або вводить шкідливе програмне забезпечення, яке дозволяє їм керувати ПК віддалено. 

Захист доступу до пам'яті запобігає цим видам атак, забороняючи прямий доступ до пам'яті на ці пристрої, за винятком особливих обставин, особливо коли ПК заблоковано або користувач вийшов із системи.

Радимо ввімкнути захист доступу до пам'яті.

Порада.: Щоб отримати докладніші відомості про це, див. статтю Захист DMA ядра.

Захист мікропрограми

Кожен пристрій має деяке програмне забезпечення, яке було написано лише для читання пам'яті пристрою - в основному написано на чіп на системній дошці - що використовується для основних функцій пристрою, таких як завантаження операційної системи, яка запускає всі програми, які ми звикли використовувати. Оскільки це програмне забезпечення важко (але не неможливо) змінити ми називаємо його мікропрограмою.

Оскільки мікропрограма спочатку завантажується та працює під операційною системою, засоби безпеки та функції, які працюють в операційній системі, важко виявити або захиститися від неї. Як будинок, який залежить від хорошого фундаменту, щоб бути безпечним, комп'ютер потребує його прошивки, щоб забезпечити безпеку операційної системи, програм і даних клієнтів на цьому комп'ютері.

Windows Defender System Guard – це набір функцій, який допомагає гарантувати, що зловмисники не зможуть змусити ваш пристрій почати роботу з ненадійною або зловмисною мікропрограмою.

Радимо ввімкнути його, якщо ваш пристрій підтримує цю функцію.

Платформи, які пропонують захист мікропрограм, зазвичай також захищають режим керування системою (SMM), привілейований режим роботи, до різних ступенів. Ви можете очікувати одне з трьох значень із більшим числом, яке вказує на вищий ступінь захисту SMM:

  • Ваш пристрій відповідає версії захисту мікропрограми: вона пропонує засоби захисту системи безпеки, які допомагають SMM протистояти експлуатації зловмисним програмам і запобігає ексфільтруванню секретів з ОС (включно з VBS)

  • Ваш пристрій відповідає захисту мікропрограми версії 2: на додаток до захисту мікропрограми версії 1, версія 2 гарантує, що SMM не може вимкнути захист на основі віртуалізації (VBS) і Ядра DMA захисту

  • Ваш пристрій відповідає захисту мікропрограм версії 3: на додаток до захисту мікропрограми версії 2, він ще більше загартує SMM шляхом запобігання доступу до деяких реєстрів, які мають можливість поставити під загрозу ОС (в тому числі VBS)

Порада.: Якщо ви хочете отримати додаткові технічні відомості про це, див. статтю Захисник Windows System Guard: Як апаратний корінь довіри допомагає захистити Windows

Захист локального центру безпеки

Захист місцевого центру безпеки (LSA) – це функція безпеки Windows, яка допомагає запобігти викраденню облікових даних, які використовуються для входу у Windows.   

Локальне управління безпеки (LSA) – це важливий процес у Windows, який бере участь у автентифікації користувачів. Вона несе відповідальність за перевірку облікових даних під час процесу входу та керування маркерами автентифікації та квитками, які використовуються для ввімкнення єдиного входу в служби. Захист LSA запобігає запуску ненадійного програмного забезпечення в LSA або доступу до пам'яті LSA.  

Як керувати захистом локального центру безпеки

Захист LSA увімкнуто за замовчуванням під час нових інсталяцій Windows 11 версії 22H2 та 23H2 на корпоративних керованих пристроях. Його ввімкнуто за замовчуванням для всіх нових інсталяцій Windows 11 версії 24H2 та пізніших версій. 

Якщо ви оновлюєте систему до Windows 11 24H2, а захист LSA ще не ввімкнуто, захист LSA спробує активувати після оновлення. Захист LSA перейде в режим оцінювання після оновлення та перевірить наявність проблем сумісності протягом 5-денного періоду. Якщо проблем не виявлено, захист LSA буде автоматично ввімкнуто під час наступного перезавантаження після завершення ознайомлення.  

Щоб увімкнути або вимкнути цю функцію, виконайте наведені нижче дії. 

  1. Натисніть кнопку Пуск на панелі завдань і введіть "Ізоляція ядра".

  2. Виберіть настройки системи "Ізоляція ядра" в результатах пошуку, щоб відкрити програму безпеки Windows.

На сторінці Ізоляція ядра ви знайдете захист місцевого центру безпеки разом із перемикачем, щоб увімкнути або вимкнути його. Змінивши настройку, перезавантажте її, щоб вона набула сили. 

Керування захистом LSA на сторінці "Ізоляція ядра" програми "Безпека у Windows"

Що робити, якщо у мене є несумісне програмне забезпечення? 

Якщо ввімкнуто захист LSA і він блокує завантаження програмного забезпечення в службу LSA, з'явиться сповіщення про заблокований файл. Ви можете видалити програмне забезпечення, яке завантажує файл, або вимкнути майбутні попередження для цього файлу, коли його заблоковано для завантаження в LSA.  

Оповіщення запускається, коли захист LSA блокує завантаження файлу.

Засіб захисту облікових даних Microsoft Defender

Примітка.: Засіб Credential Guard Для Microsoft Defender відображається лише на пристроях із корпоративними версіями Windows 10 або 11.

Під час роботи на робочому або навчальному комп'ютері ви спокійно входитимете та отримуватимете доступ до різноманітних елементів, як-от файлів, принтерів, програм та інших ресурсів у вашій організації. Щоб зробити цей процес безпечним, але простий для користувача, це означає, що на комп'ютері є кілька маркерів автентифікації (які часто називають "секретами") на ньому в будь-який момент часу.

Якщо зловмисник може отримати доступ до одного або кількох секретів, вони можуть використовувати їх, щоб отримати доступ до ресурсів організації (конфіденційних файлів тощо), для яких використовується секрет. Засіб Microsoft Defender Credential Guard допомагає захистити ці секрети, помістивши їх у захищене віртуалізоване середовище, у якому за потреби доступ до них можуть отримати лише певні служби.

Радимо ввімкнути його, якщо ваш пристрій підтримує цю функцію.

Порада.: Щоб отримати докладніші відомості про цю функцію, див. статтю Як працює Засіб захисту облікових даних Захисника.

Список заблокованих драйверів (Microsoft)

Драйвер – це програмне забезпечення, яке дає змогу операційній системі (у цьому випадку Windows) і пристрою (наприклад, клавіатурі або веб-камері) розмовляти один з одним. Коли пристрій хоче, щоб Windows щось виправив за допомогою драйвера, надішліть цей запит. Через це драйвери мають великий конфіденційний доступ у вашій системі.

Починаючи з оновлення Windows 11 2022, тепер ми маємо список заблокованих драйверів, які мають відомі вразливості системи безпеки, підписані за допомогою сертифікатів, які використовувалися для підписання зловмисного програмного забезпечення або які обходять модель безпеки Windows.

Якщо у вас увімкнуто цілісність пам'яті, режим Smart App Control або Windows S, вразливий список заблокованих драйверів також буде ввімкнуто.

Додаткові відомості

Захистіть себе за допомогою Безпеки у Windows

Довідка та навчання для системи безпеки Microsoft

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.