Windows Defender: Blokkering av sårbare drivere beskytter mot ondsinnede eller utnyttbare drivere

0
47

Martin Brinkmann 28. mars 2022 Windows 10, Windows 11 Nyheter | 0

Blokkeringsliste for sårbare drivere er en ny sikkerhetsfunksjon i Windows Defender på Windows 10, Windows 11 og Windows Server 2016 eller nyere enheter som beskytter mot ondsinnede eller utnyttbare drivere.

Windows Defender sårbare driverblokkeringsliste

Annonsert av Microsofts visepresident for Enterprise and OS Security, David Weston, på Twitter, er Microsoft Vulnerable Driver Blocklist en ny sikkerhetsfunksjon som er aktivert som standard på Windows 10 i S-modusenheter og på enheter som har kjerneisolasjonsfunksjonen Minneintegritet , som Microsoft også kan referere til som Hypervisor-beskyttet kodeintegritet (HVCI), aktivert.

Minneintegritet, eller HVCI, bruker Microsofts Hyper-V-teknologi for å beskytte Windows-kjernemodusprosesser mot skadelig kode injeksjoner. Funksjonen var ikke aktivert på eksisterende enheter når den først ble sendt, men den ser ut til å være aktivert som standard på enheter med nye installasjoner av Windows.

ANNONSE

Noen brukere rapporterte problemer med enkelte enheter med HVCI aktivert, og at deaktivering løste problemene de opplevde.

Kjerneideen bak den nye beskyttelsesfunksjonen er å opprettholde en liste over drivere som vil bli blokkert av Windows Defender fordi driverne har minst én av følgende attributter:

  • Kjente sikkerhetssårbarheter som kan være utnyttet av angripere for å heve privilegier i Windows-kjernen
  • Sond oppførsel (skadelig programvare) eller sertifikater som brukes til å signere skadelig programvare
  • Atferd som ikke er ondsinnet, men omgår Windows-sikkerhetsmodellen og kan utnyttes av angripere for å heve privilegier i Windows-kjernen

Microsoft samarbeider med maskinvareleverandører og OEM-er for å opprettholde blokkeringslisten. Mistenkte drivere kan sendes til Microsoft for analyse, og produsenter kan be om at det gjøres endringer i drivere som er på den sårbare blokkeringslisten, for eksempel etter at et problem er rettet.

Enheter som kjører Windows 10 i S-modus og enheter med HVCI aktivert beskyttelse mot disse sikkerhetstruslene når funksjonen er rullet ut til enheter.

ANNONSE

minneintegritet

Windows-brukere og -administratorer kan aktivere forutsetningen for minneintegritet på følgende måte på ikke-Windows 10 S-modus-enheter:

  1. Velg Start og deretter Innstillinger, eller bruk hurtigtasten Windows-I for å åpne Innstillinger-applikasjonen.
  2. I Windows 10, gå til  Oppdater & Sikkerhet > Windows-sikkerhet. Velg Åpne Windows-sikkerhet.
  3. På Windows 11, gå til Personvern & Sikkerhet > Windows-sikkerhet > Velg Åpne Windows-sikkerhet.
  4. Velg Enhetssikkerhet fra sidefeltet på venstre side.
  5. Aktiver “kjerneisolasjonsdetaljer”-koblingen.
  6. Slå på minneintegritet innstilling til På for å aktivere funksjonen.
  7. Start enheten på nytt.

Windows-administratorer vil se den nye blokkeringslisten for sårbare drivere fra Microsoft på kjerneisolasjonssiden til Windows-sikkerhet når funksjonen blir tilgjengelig. Funksjonen kan slås på eller av, og også administreres på andre måter. David Weston bemerker at å slå den på vil aktivere en mer aggressiv blokkeringsliste.

ANNONSE

Microsoft oppgir at de anbefaler å aktivere HVCI eller bruke S-modus, men at administratorer også kan blokkere driverne på listen ved å bruke en eksisterende Windows Defender Programkontrollpolicy. Dokumentasjonen viser en XML-fil som inneholder de blokkerte driverne klare til bruk.

Nå du: er minneintegritet aktivert på enhetene dine, hvis du bruker Windows Defender?

ANNONSE