Списък с блокирани уязвими драйвери на Microsoft: Какво представлява и как да се използва

Днес, компютърна сигурност Това е една от приоритетните задачи на всеки потребител или системен администратор. Постоянно се появяват нови заплахи, които се опитват да експлоатират уязвимости. Ето къде Списък с блокирани уязвими драйвери на Microsoft o Списък с блокирани уязвими драйвери на Microsoft. Функция, която е придобила особена актуалност в съвременните версии на Windows.

И една от най-деликатните области в сигурността на Windows е контролери или драйвери. Този малък, но жизненоважен софтуер е податлив на всякакви атаки, като например ужасяващите BYOVD („Донесете свой собствен уязвим шофьор“). В тази статия ще обясним какво трябва да знаете за този списък с блокирани адреси и как работи.

Какво представлява списъкът с уязвими драйвери за блокиране на Microsoft?

 

Списъкът с блокирани уязвими драйвери на Microsoft е функция за сигурност, вградена в Windows и в основните си решения за защита, като например Microsoft Defender. Целта му е да предотврати зареждането и изпълнението на опасни драйвери в операционната система. Тези драйвери, обикновено разработени от трети страни, а не от самата Microsoft, могат да имат пропуски в сигурността – или дори да бъдат злонамерено проектирани – което ги прави идеални шлюзове за напреднали атаки.

Списъкът работи така един вид „черен списък“ в които са вградени контролери, отговарящи на една или повече от следните характеристики:

• Разпознати уязвимостиДрайвери, чиито слабости могат да бъдат използвани за повишаване на привилегиите в ядрото на Windows или за заобикаляне на защитите.
• Злонамерено поведениеДрайвери, които включват код, който може да причини щети, да инсталира злонамерен софтуер или да е подписан със сертификати, свързани със злонамерен софтуер.
• Нарушение на модела за сигурност на WindowsДрайвери, които, без непременно да са злонамерени, могат да заобиколят ограниченията за сигурност на операционната система.

Накратко, списъкът с блокирани адреси на Microsoft действа като превантивен щит, който предотвратява шофирането на потенциално опасни шофьори, дори когато имат цифров подпис и валиден сертификат. Това укрепва един от най-критичните слоеве на защитата на Windows – ядрото, и значително усложнява работата на киберпрестъпниците.

Как работи списъкът с блокирани данни: как защитава компютъра ви

La Списък с блокирани уязвими драйвери на Microsoft Това не е статичен елемент, а жив механизъм, който се актуализира непрекъснато. Microsoft, в сътрудничество с производители на хардуер (IHV) и производители на оригинално оборудване (OEM), проактивно наблюдава екосистемата от драйвери, за да идентифицира и блокира компоненти, които представляват заплаха.

Когато даден драйвер бъде идентифициран като уязвим, злонамерен или несъвместим със стандартите за сигурност на Windows, той се добавя към списъка и автоматично се блокира зареждането му на компютри, където списъкът с блокирани кодове е активен. Това се прави, в зависимост от версията и конфигурацията на системата, по няколко начина:

• Цялостност на паметта (HVCI или Защитена от хипервизор цялост на кода)Ако е активирано (по подразбиране на много нови компютри с Windows 11), списъкът с блокирани устройства влиза в сила, като блокира драйверите, включени в него.
• Безопасен режимУстройствата с Windows, работещи в S режим, който предлага по-контролирана и сигурна среда, също имат активиран списък с блокирани адреси по подразбиране.
• Контрол на приложенията в Windows Defender (Контрол на приложения за бизнеса): Позволява на администраторите да прилагат препоръчителния списък чрез собствените си политики за сигурност.
• Защита на Windows (системно приложение): От Windows 11 22H2 насам функцията е активирана по подразбиране и може да се управлява от интерфейса Device Security > Core Isolation.

Кои точно драйвери блокира списъкът с блокирани драйвери?

Не всички шофьори са обект на списъка за блокиране, а само тези които отговарят на определени обективни критерии, които ги правят потенциални опасности. Сред най-честите причини, поради които даден драйвер е добавен към този списък, са:

• Наличие на уязвимости в сигурността известни и документирани.
• Употребата му е била открита при активни атаки, включително експлоатация от рансъмуер, зловреден софтуер или напреднали постоянни заплахи.
• Използване на сертификати, свързани със злонамерени кампании за вашия цифров подпис.
• Поведение, което позволява заобикаляне на модела за сигурност на Windows, въпреки че не е класически зловреден софтуер.

Други имена, които може да са в списъка, включват по-стари драйвери за дискови инструменти, програми за усъвършенствано управление на хардуер, софтуер за виртуализация или дори драйвери за определени периферни устройства, чиято сигурност е била компрометирана.

Актуализация и поддръжка на списъка с блокирани данни

Една от големите предимства на списъка с блокирани уязвими драйвери на Microsoft е, че Това е „жив“ списък и се поддържа с течение на времето. Microsoft го актуализира с всяка нова основна версия на Windows (обикновено веднъж или два пъти годишно с основни актуализации). Освен това можете да пускате специфични корекции чрез Windows Update или като ръчно изтегляне в случай на нови заплахи.

Въпреки че списъкът с блокирани файлове осигурява много високо ниво на защита, Активирането му може да има определени странични ефекти върху съвместимостта и работата на хардуера или софтуера. Например, ако е блокиран важен драйвер за определено устройство, той може да спре да работи правилно и в редки случаи дори да причини син екран на смъртта (BSOD).

Следователно, Microsoft препоръчва първо да се валидира политиката в режим на одит, като се прегледат блокиращите събития, преди да се наложи постоянно блокиране. В корпоративни среди това се прави чрез App Control и съответната политика, което ви позволява да наблюдавате кои драйвери биха били блокирани и да вземате решения за всеки отделен случай.

Като общо правило, списъкът с блокирани данни е достатъчно прецизиран, за да се минимизират фалшивите положителни резултати и балансирана защита срещу потенциални проблеми със съвместимостта. Въпреки това, в системи с много специфичен хардуер или по-стар софтуер могат да възникнат неочаквани конфликти. В такъв случай е добра идея да съобщите за проблема чрез каналите на Microsoft, за да можем да обсъдим премахването или актуализирането на засегнатия драйвер.

Как да активирате или деактивирате списъка с блокирани уязвими драйвери на Microsoft

В зависимост от версията на Windows и настройките на устройството, Списъкът с блокирани адреси може да бъде активиран или деактивиран по подразбиране. След пускането на Windows 11 версия 22H2, функцията е активирана на всички устройства, но все още може да се управлява ръчно.

там Два основни метода за контрол на състоянието на блок списъка:

• От интерфейса за защита на Windows:
  • Отворете приложението „Защита на Windows“ (търсете в менюто „Старт“).
  • Отидете в раздела „Защита на устройството“ и след това в „Изолация на ядрото“.
  • На този екран активирайте или деактивирайте опцията „Списък с блокирани драйвери на Microsoft“, според случая.
  • В по-стари версии (Windows 10 или 11 21H2) опцията може да не се появи или може да изисква първо да активирате HVCI.
• Използване на системния регистър на Windows:
  • Отворете редактора на системния регистър (regedit.exe).
  • Отидете до HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CI\Config.
  • Редактирайте или създайте DWORD стойността „VulnerableDriverBlocklist“, като ѝ зададете 1, за да активирате функцията, или 0, за да я деактивирате.

След промяната се препоръчва да рестартирате компютъра си, за да влязат в сила настройките.

Препоръки за потребители и компании

За да се възползват максимално от защитата, осигурена от списъка за блокиране на уязвими драйвери на Microsoft, както домашните потребители, така и системните администратори трябва да следват няколко прости стъпки: добри практики:

• Винаги поддържайте операционната система напълно актуализирана, тъй като по-новите версии често включват важни подобрения в списъка с блокирани адреси и защитата на ядрото на Windows.
• Периодично проверявайте дали списъкът с блокирани адреси е активен от приложението „Защита на Windows“ (особено след големи системни актуализации или промени в настройките).
• В корпоративни среди внедрете политики за контрол на приложенията за бизнеса за да се гарантира, че всички устройства наследяват най-новата версия на списъка и да се следи за потенциални проблеми, преди да се внедрят постоянни блокировки.
• Първо валидирайте правилата в режим на одит, за да се сведат до минимум конфликтите със съвместимост и да се разрешат евентуални фалшиви положителни резултати.
• Очаквайте бюлетини за сигурността на Microsoft и производителя на хардуера, за да научите за евентуални нови засегнати драйвери.
• Изпращане на подозрителни драйвери до Microsoft Използване на официални инструменти и портали, допринасящи за непрекъснатото подобряване на глобалната защита.

Разширено управление на списъка с уязвими драйвери на Microsoft: изтегляне и ръчно приложение

За напреднали потребители и фирми, Microsoft предлага възможността да Изтеглете най-новата версия на списъка с блокирани файлове в двоичен или XML формат от вашия портал за изтегляне. Това е полезно в сценарии, където е необходим максимален контрол или когато от съображения за сигурност или съответствие не искате да разчитате единствено на автоматични актуализации.

Обичайната процедура е следната:

1. Изтеглете инструмента за актуализиране на правилата Контрол на приложението.
2. Изтеглете и извлечете двоичните файлове от списъка за блокиране на уязвими драйвери.
3. Изберете подходящия файл (одитна или приложена версия) и го преименувайте на SiPolicy.p7b.
4. Копирайте SiPolicy.p7b в местоположението %windir%\system32\CodeIntegrity.
5. Стартирайте инструмента за актуализиране, за да активирате и актуализирате всички правила за контрол на приложенията.

След рестартиране на компютъра можете да проверите дали политиката е приложена правилно, като прегледате събитията 3099 в програмата за преглед на събития на Windows, под дневника на CodeIntegrity.

Въздействие върху потребителското изживяване и известни проблеми

Въпреки предимствата, не всичко е блестящо. Управлението на блок-листи може да причини известни неудобства за крайния потребител, особено в системи с високо персонализирани нужди. Най-често срещаните проблеми обикновено включват:

• Несъвместимост със по-стар хардуер или стари програми чието развитие е спряло и чиито драйвери не са актуализирани, за да отговарят на новите стандарти за безопасност.
• Възможни фалшиви положителни резултати които блокират напълно легитимни, но необичайни драйвери, което може да направи устройствата неработещи.
• Случаи на син екран на смъртта (BSOD) ако важен елемент от зареждането е блокиран по погрешка.

Защо списъкът с блокирани файлове е от съществено значение днес

BYOVD атаките, експлоатацията на забравени драйвери и сложността на зловредния софтуер го правят такъв защитата на ядрото на системата е по-важно от всякога. Киберпрестъпниците са доказали, че могат да използват всяка „вратичка“, а уязвимите драйвери представляват едни от най-опасните „задни вратички“, работещи на толкова ниско ниво, че могат да деактивират или манипулират практически всяка друга мярка за сигурност.

Стратегията на Microsoft за поддържане на централизиран, динамичен списък с блокирани адреси, свързан с доставчиците и общността по сигурността, е най-добрият отговор на заплаха, която засяга както отделни потребители, така и големи организации.

Поддържането на активен и актуален списък с блокирани уязвими драйвери на Microsoft е един от най-лесните и ефективни начини за засилване на сигурността на Windows и затрудняване на киберпрестъпниците. Препоръчително е администраторите да го използват заедно с други политики за защита, а домашните потребители периодично да преглеждат настройките в „Защита на Windows“; Това значително повишава защитата и спокойствието на вашите данни и система.