Microsoft se blokkeringslys vir kwesbare drywers: wat dit is en hoe om dit te gebruik

Vandag, die kuberveiligheid Dit is een van die prioriteitsbekommernisse van enige gebruiker of stelseladministrateur. Nuwe bedreigings ontstaan ​​voortdurend wat probeer om kwesbaarhede te benut. Dis waar die Microsoft se blokkeringslys vir kwesbare drywers o Microsoft se blokkeringslys vir kwesbare drywers. 'n Kenmerk wat besondere relevansie in moderne weergawes van Windows gekry het.

En een van die mees delikate areas in Windows-sekuriteit is die beheerders of drywers. Daardie klein maar noodsaaklike sagteware is vatbaar vir alle soorte aanvalle, soos die gevreesde BYOVD (“Bring Jou Eie Kwesbare Bestuurder”). In hierdie artikel sal ons verduidelik wat jy moet weet oor hierdie blokkeringslys en hoe dit werk.

Wat is die Microsoft Kwetsbare Drywer-blokkeringslys?

 

Microsoft se blokkeringslys vir kwesbare drywers is 'n sekuriteitsfunksie ingebou in Windows en in sy hoofbeskermingsoplossings, soos Microsoft Defender. Die doel daarvan is om die laai en uitvoering van gevaarlike drywers in die bedryfstelsel te voorkom. Hierdie drywers, gewoonlik ontwikkel deur derde partye eerder as Microsoft self, kan sekuriteitsfoute hê – of selfs kwaadwillig ontwerp wees – wat hulle ideale poorte vir gevorderde aanvalle maak.

Die lys werk so 'n soort "swartlys" waarin beheerders wat aan een of meer van die volgende eienskappe voldoen, ingesluit is:

• Erkende kwesbaarhedeDrywers waarvan die swakpunte uitgebuit kan word om voorregte in die Windows-kern te verhoog of beskermings te omseil.
• Kwaadwillige gedragDrywers wat kode insluit wat skade kan veroorsaak, wanware kan installeer, of onderteken is met sertifikate wat verband hou met kwaadwillige sagteware.
• Oortreding van die Windows-sekuriteitsmodelDrywers wat, sonder om noodwendig kwaadwillig te wees, die bedryfstelsel se sekuriteitsbeperkings kan omseil.

Kortliks, Microsoft se blokkeringslys tree op as 'n voorkomende skild wat verhoed dat potensieel gevaarlike bestuurders hardloop, selfs wanneer hulle 'n digitale handtekening en geldige sertifisering het. Dit versterk een van die mees kritieke lae van Windows-beskerming, die kern, en kompliseer die werk van kubermisdadigers aansienlik.

Hoe die blokkeringslys werk: hoe dit jou rekenaar beskerm

La Microsoft se blokkeringslys vir kwesbare drywers Dit is nie 'n statiese element nie, maar 'n lewende meganisme wat voortdurend opgedateer word. Microsoft, in samewerking met hardewarevervaardigers (IHV) en OEM's, monitor proaktief die drywer-ekosisteem om komponente wat 'n bedreiging inhou, te identifiseer en te blokkeer.

Wanneer 'n drywer as kwesbaar, kwaadwillig of onversoenbaar met Windows-sekuriteitsstandaarde geïdentifiseer word, word dit by die lys gevoeg en outomaties geblokkeer om op rekenaars te laai waar die blokkeringslys aktief is. Dit word, afhangende van die weergawe en konfigurasie van die stelsel, op verskeie maniere gedoen:

• Geheue-integriteit (HVCI of Hipervisor-beskermde kode-integriteit)Indien geaktiveer (standaard op baie nuwe Windows 11-rekenaars), tree die blokkeringslys in werking deur die drywers wat daarin ingesluit is, te blokkeer.
• Veilige modusWindows-toestelle wat in S-modus loop, wat spog met 'n meer beheerde en veilige omgewing, het ook die blokkeringslys by verstek geaktiveer.
• Toepassingsbeheer in Windows Defender (Toepassingsbeheer vir Besigheid)Laat administrateurs toe om die aanbevole lys deur hul eie sekuriteitsbeleide toe te pas.
• Windows Sekuriteit (stelselprogram)Sedert Windows 11 22H2 is die funksie standaard geaktiveer en kan dit bestuur word vanaf die Toestelsekuriteit > Kernisolasie-koppelvlak.

Watter drywers presies blokkeer die blokkeringslys?

Nie alle bestuurders is onderhewig aan die blokkeringslys nie, slegs dié wat aan sekere objektiewe kriteria voldoen wat hulle potensiële gevare maak. Van die mees algemene redes waarom 'n bestuurder by hierdie lys gevoeg word, is:

• Die bestaan ​​van sekuriteitskwesbaarhede bekend en gedokumenteer.
• Die gebruik daarvan is in aktiewe aanvalle opgespoor, insluitend uitbuiting deur ransomware, wanware of gevorderde aanhoudende bedreigings.
• Gebruik van sertifikate wat verband hou met kwaadwillige veldtogte vir jou digitale handtekening.
• Gedrag wat die omseiling van die Windows-sekuriteitsmodel toelaat, alhoewel dit nie klassieke wanware is nie.

Ander name wat dalk op die lys is, sluit in ouer drywers vir skyfhulpprogramme, gevorderde hardewarebestuursprogramme, virtualiseringsagteware, of selfs drywers vir sekere randapparatuur waarvan die sekuriteit in die gedrang is.

Bloklysopdatering en -ondersteuning

Een van die groot sterk punte van Microsoft se blokkeringslys vir kwesbare drywers is dat Dit is 'n lewende lys en word oor tyd in stand gehou. Microsoft werk dit op met elke nuwe hoofweergawe van Windows (gewoonlik een of twee keer per jaar met groot opdaterings). Daarbenewens kan u spesifieke opdaterings vrystel deur Windows Update of as 'n handmatige aflaai in geval van nuwe bedreigings.

Alhoewel die blokkeringslys 'n baie hoë vlak van verdediging bied, Die aktivering daarvan kan sekere newe-effekte op hardeware- of sagteware-versoenbaarheid en -werking hê. Byvoorbeeld, as 'n noodsaaklike drywer vir 'n spesifieke toestel geblokkeer word, kan dit ophou om behoorlik te werk en, in seldsame gevalle, selfs 'n blou skerm van die dood (BSOD) veroorsaak.

Daarom, Microsoft beveel aan dat die beleid eers in ouditmodus bekragtig word, blokkeringsgebeurtenisse hersien word voordat 'n permanente blokkering afgedwing word. In ondernemingsomgewings word dit gedoen deur App Control en die ooreenstemmende beleid, wat jou toelaat om te monitor watter drywers geblokkeer sal word en besluite van geval tot geval te neem.

As 'n algemene reël word die blokkeringslys voldoende verfyn om vals positiewe te verminder en balansbeskerming teen potensiële versoenbaarheidsprobleme. Onverwagte konflikte kan egter voorkom op stelsels met baie spesifieke hardeware of ouer sagteware. In daardie geval is dit 'n goeie idee om die probleem deur Microsoft-kanale aan te meld sodat ons die verwydering of opdatering van die betrokke drywer kan bespreek.

Hoe om die Microsoft Kwetsbare Drywerblokkeringslys te aktiveer of deaktiveer

Afhangende van die weergawe van Windows en toestelinstellings, Die blokkeringslys kan standaard geaktiveer of gedeaktiveer word. Sedert die vrystelling van Windows 11 weergawe 22H2 is die funksie op alle toestelle geaktiveer, maar dit kan steeds handmatig bestuur word.

Daar is Twee hoofmetodes om die status van die blokkeringslys te beheer:

• Vanaf die Windows-sekuriteitskoppelvlak:
  • Maak die Windows Sekuriteit-app oop (soek in die Start-kieslys).
  • Gaan na die afdeling "Toestelsekuriteit" en dan na "Kernisolasie".
  • Aktiveer of deaktiveer die opsie "Microsoft Vulnerable Driver Blocklist" soos toepaslik op daardie skerm.
  • In ouer weergawes (Windows 10 of 11 21H2) mag die opsie dalk nie verskyn nie, of vereis dit dat jy eers HVCI aktiveer.
• Gebruik van die Windows-register:
  • Maak die registerredigeerder (regedit.exe) oop.
  • Navigeer na HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CI\Config.
  • Wysig of skep die DWORD-waarde "VulnerableDriverBlocklist", en ken dit 1 toe om die funksie te aktiveer, of 0 om dit te deaktiveer.

Na die verandering word dit aanbeveel om jou rekenaar te herbegin sodat die instellings in werking kan tree.

Aanbevelings vir gebruikers en maatskappye

Om die meeste uit die beskerming te kry wat deur die Microsoft Vulnerable Driver Blocklist gebied word, moet beide tuisgebruikers en stelseladministrateurs 'n paar eenvoudige stappe volg: goeie praktyke:

• Hou die bedryfstelsel altyd volledig opgedateer, aangesien nuwer weergawes dikwels belangrike verbeterings aan die blokkeringslys en Windows-kernbeskerming insluit.
• Kontroleer gereeld of die blokkeringslys aktief is vanaf die Windows-sekuriteitsprogram (veral na groot stelselopdaterings of instellingsveranderings).
• Implementeer App Control for Business-beleide in ondernemingsomgewings om te verseker dat alle toestelle die nuutste weergawe van die lys erf en monitor vir potensiële probleme voordat permanente blokke geïmplementeer word.
• Valideer beleide eers in ouditmodus, om versoenbaarheidskonflikte te verminder en moontlike vals positiewe op te los.
• Bly ingeskakel vir Microsoft-sekuriteitsbulletins en die hardewarevervaardiger om meer te wete te kom oor moontlike nuwe geaffekteerde drywers.
• Dien verdagte drywers aan Microsoft in Deur amptelike gereedskap en portale te gebruik, dra dit by tot die voortdurende verbetering van globale beskerming.

Gevorderde bestuur van die Microsoft Kwetsbare Drywerblokkeringslys: aflaai en handmatige toepassing

Vir gevorderde gebruikers en besighede bied Microsoft die vermoë om Laai die nuutste weergawe van die blokkeringslys in binêre of XML-formaat af vanaf jou aflaaiportaal. Dit is nuttig in scenario's waar maksimum beheer vereis word of wanneer jy, om sekuriteits- of voldoeningsredes, nie uitsluitlik op outomatiese opdaterings wil staatmaak nie.

Die gewone prosedure is soos volg:

1. Laai die Beleidsopdateringshulpmiddel af App-beheer.
2. Verkry en onttrek die binêre lêers van die blokkeringslys vir kwesbare drywers.
3. Kies die toepaslike lêer (oudit- of toegepaste weergawe) en hernoem dit na SiPolicy.p7b.
4. Kopieer SiPolicy.p7b na die %windir%\system32\CodeIntegrity-ligging.
5. Voer die opdateringshulpmiddel uit om alle App-beheerbeleide te aktiveer en op te dateer.

Nadat u die rekenaar herbegin het, kan u verifieer dat die beleid korrek toegepas is deur die 3099-gebeurtenisse in die Windows-gebeurteniskyker onder die CodeIntegrity-logboek na te gaan.

Impak op gebruikerservaring en bekende probleme

Ten spyte van die voordele, is nie alles helder nie. Bloklysbestuur kan ongerief vir die eindgebruiker veroorsaak, veral in stelsels met hoogs aangepaste behoeftes. Die mees algemene probleme sluit gewoonlik in:

• Onversoenbaarheid met ouer hardeware of nalatenskapprogramme waarvan die ontwikkeling gestaak is en waarvan die drywers nie opgedateer is om aan nuwe veiligheidsstandaarde te voldoen nie.
• Moontlike vals positiewes wat heeltemal wettige, maar ongewone, drywers blokkeer, wat toestelle onbruikbaar kan maak.
• Blouskerm van die Dood (BSOD) Gevalle as 'n noodsaaklike opstartelement per ongeluk geblokkeer word.

Waarom die blokkeringslys vandag noodsaaklik is

BYOVD-aanvalle, uitbuiting van vergete drywers en die gesofistikeerdheid van wanware maak dit so die beskerming van die stelselkern is belangriker as ooit. Kubermisdadigers het bewys dat hulle enige skuiwergat kan benut, en kwesbare bestuurders verteenwoordig een van die gevaarlikste agterdeure, wat op so 'n lae vlak werk dat hulle feitlik enige ander sekuriteitsmaatreël kan deaktiveer of manipuleer.

Microsoft se strategie om 'n gesentraliseerde, dinamiese blokkeringslys te handhaaf wat gekoppel is aan verskaffers en die sekuriteitsgemeenskap is die beste reaksie op 'n bedreiging wat beide individuele gebruikers en groot organisasies raak.

Om die Microsoft se blokkeringslys vir kwesbare drywers aktief en op datum te hou, is een van die eenvoudigste en doeltreffendste maniere om Windows-sekuriteit te versterk en dit vir kubermisdadigers moeiliker te maak. Dit word aanbeveel dat administrateurs dit saam met ander beskermingsbeleide gebruik en dat tuisgebruikers die instellings in Windows Sekuriteit gereeld hersien; Dit verhoog die beskerming en gemoedsrus van u data en stelsel aansienlik.