Seznam blokovaných zranitelných ovladačů společnosti Microsoft: Co to je a jak to používat

Dnes kybernetická bezpečnost Je to jedna z prioritních záležitostí každého uživatele nebo správce systému. Neustále se objevují nové hrozby, které se snaží zneužít zranitelnosti. To je místo, kde Seznam blokovaných zranitelných ovladačů od společnosti Microsoft o Seznam blokovaných zranitelných ovladačů společnosti Microsoft. Funkce, která získala zvláštní význam v moderních verzích systému Windows.

A jednou z nejcitlivějších oblastí zabezpečení systému Windows je řadiče nebo ovladače. Ten malý, ale zásadní software je náchylný ke všem druhům útoky, jako například ty obávané BYOVD („Přineste si vlastní zranitelný řidič“). V tomto článku si vysvětlíme, co potřebujete vědět o tomto seznamu blokovaných položek a jak funguje.

Co je seznam blokovaných zranitelných ovladačů společnosti Microsoft?

 

Seznam blokovaných zranitelných ovladačů společnosti Microsoft je bezpečnostní funkce zabudovaná do systému Windows a ve svých hlavních ochranných řešeních, jako například Microsoft Defender. Jeho účelem je zabránit načítání a spouštění nebezpečných ovladačů v operačním systému. Tyto ovladače, obvykle vyvinuté třetími stranami, nikoli samotným Microsoftem, mohou mít bezpečnostní chyby – nebo být dokonce navrženy se škodlivým úmyslem – což z nich činí ideální brány pro pokročilé útoky.

Seznam funguje takto jakýsi „černý seznam“ ve kterém jsou zabudovány regulátory splňující jednu nebo více z následujících charakteristik:

• Rozpoznané zranitelnostiOvladače, jejichž slabiny lze zneužít k eskalaci oprávnění v jádře Windows nebo k obcházení ochranných opatření.
• Škodlivé chováníOvladače, které obsahují kód, jenž může způsobit poškození, nainstalovat malware nebo jsou podepsány certifikáty souvisejícími se škodlivým softwarem.
• Porušení bezpečnostního modelu WindowsOvladače, které, aniž by byly nutně škodlivé, dokáží obejít bezpečnostní omezení operačního systému.

Stručně řečeno, seznam blokovaných adres od Microsoftu funguje jako preventivní štít, který brání potenciálně nebezpečným řidičům v jízdě, a to i v případě, že mají digitální podpis a platný certifikát. To posiluje jednu z nejdůležitějších vrstev ochrany Windows, jádro, a výrazně komplikuje práci kyberzločincům.

Jak funguje seznam blokovaných adres: jak chrání váš počítač

La Seznam blokovaných zranitelných ovladačů od společnosti Microsoft Není to statický prvek, ale živý mechanismus, který se neustále aktualizuje. Společnost Microsoft ve spolupráci s výrobci hardwaru (IHV) a výrobci originálního vybavení (OEM) proaktivně monitoruje ekosystém ovladačů, aby identifikovala a blokovala komponenty, které představují hrozbu.

Pokud je ovladač identifikován jako zranitelný, škodlivý nebo nekompatibilní se standardy zabezpečení systému Windows, je přidán do seznamu a jeho načítání v počítačích, kde je blokovaný seznam aktivní, je automaticky zablokováno. To se provádí v závislosti na verzi a konfiguraci systému několika způsoby:

• Integrita paměti (HVCI nebo Integrita kódu chráněná hypervizorem)Pokud je tato možnost povolena (ve výchozím nastavení na mnoha nových počítačích s Windows 11), blokovací seznam se projeví blokováním ovladačů, které jsou v něm obsaženy.
• Nouzový režimZařízení s Windows spuštěná v režimu S, který se pyšní kontrolovanějším a bezpečnějším prostředím, mají také ve výchozím nastavení povolen seznam blokovaných položek.
• Řízení aplikací v programu Windows Defender (Řízení aplikací pro firmy)Umožňuje správcům použít doporučený seznam prostřednictvím vlastních bezpečnostních zásad.
• Zabezpečení systému Windows (systémová aplikace)Od verze Windows 11 22H2 je tato funkce ve výchozím nastavení povolena a lze ji spravovat z rozhraní Zabezpečení zařízení > Izolace jader.

Které ovladače přesně blokuje seznam blokovaných ovladačů?

Ne všichni řidiči spadají do seznamu blokovaných, pouze ti které splňují určitá objektivní kritéria, jež z nich činí potenciální nebezpečí. Mezi nejčastější důvody, proč je řidič přidán na tento seznam, patří:

• Existence bezpečnostních zranitelností známé a zdokumentované.
• Jeho použití bylo zjištěno při aktivních útocích, včetně zneužití ransomwarem, malwarem nebo pokročilými přetrvávajícími hrozbami.
• Použití certifikátů souvisejících se škodlivými kampaněmi pro váš digitální podpis.
• Chování, které umožňuje obejít model zabezpečení systému Windows, ačkoli se nejedná o klasický malware.

Mezi dalšími názvy, které se mohou na seznamu objevit, jsou starší ovladače pro diskové utility, pokročilé programy pro správu hardwaru, virtualizační software nebo dokonce ovladače pro určitá periferní zařízení, jejichž zabezpečení bylo ohroženo.

Aktualizace a podpora seznamu blokovaných

Jednou z velkých silných stránek seznamu blokovaných zranitelných ovladačů společnosti Microsoft je, že Je to živý seznam a je udržován v průběhu času. Společnost Microsoft jej aktualizuje s každou novou hlavní verzí systému Windows (obvykle jednou nebo dvakrát ročně u hlavních aktualizací). Kromě toho můžete v případě nových hrozeb vydat konkrétní záplaty prostřednictvím služby Windows Update nebo je stáhnout ručně.

Přestože seznam blokovaných položek poskytuje velmi vysokou úroveň ochrany, Jeho aktivace může mít určité vedlejší účinky na kompatibilitu a provoz hardwaru nebo softwaru. Například pokud je zablokován nezbytný ovladač pro konkrétní zařízení, může přestat správně fungovat a ve vzácných případech dokonce způsobit modrou obrazovku smrti (BSOD).

Proto, Společnost Microsoft doporučuje nejprve ověřit zásady v režimu auditu a zkontrolovat blokovací události před vynucením trvalého blokování. V podnikových prostředích se to provádí pomocí Správy aplikací a odpovídajících zásad, což vám umožňuje sledovat, které ovladače by byly blokovány, a činit rozhodnutí případ od případu.

Obecně platí, že seznam blokovaných položek je dostatečně propracovaný, aby se minimalizovaly falešně pozitivní výsledky a ochrana vyvážení proti potenciálním problémům s kompatibilitou. V systémech s velmi specifickým hardwarem nebo starším softwarem však může dojít k neočekávaným konfliktům. V takovém případě je vhodné problém nahlásit prostřednictvím kanálů společnosti Microsoft, abychom mohli prodiskutovat odebrání nebo aktualizaci dotčeného ovladače.

Jak povolit nebo zakázat seznam blokovaných zranitelných ovladačů od společnosti Microsoft

V závislosti na verzi systému Windows a nastavení zařízení, Seznam blokovaných adres lze ve výchozím nastavení povolit nebo zakázat. Od vydání Windows 11 verze 22H2 je tato funkce povolena na všech zařízeních, ale stále ji lze spravovat ručně.

Existují Dvě hlavní metody pro řízení stavu seznamu blokovaných položek:

• Z rozhraní Zabezpečení systému Windows:
  • Otevřete aplikaci Zabezpečení systému Windows (vyhledejte ji v nabídce Start).
  • Přejděte do sekce „Zabezpečení zařízení“ a poté do sekce „Izolace jádra“.
  • Na této obrazovce podle potřeby povolte nebo zakažte možnost „Seznam blokovaných zranitelných ovladačů společnosti Microsoft“.
  • Ve starších verzích (Windows 10 nebo 11 21H2) se tato možnost nemusí zobrazit nebo může vyžadovat nejprve povolení HVCI.
• Používání registru systému Windows:
  • Otevřete editor registru (regedit.exe).
  • Přejděte do sekce HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CI\Config.
  • Upravte nebo vytvořte hodnotu DWORD „VulnerableDriverBlocklist“ a přiřaďte jí hodnotu 1 pro povolení funkce nebo hodnotu 0 pro její zakázání.

Po provedení změny se doporučuje restartovat počítač, aby se nastavení projevila.

Doporučení pro uživatele a firmy

Aby domácí uživatelé i správci systému co nejlépe využili ochranu poskytovanou seznamem blokovaných zranitelných ovladačů společnosti Microsoft, měli by postupovat podle několika jednoduchých kroků: osvědčené postupy:

• Vždy udržujte operační systém plně aktualizovaný, protože novější verze často obsahují zásadní vylepšení seznamu blokovaných adres a ochrany jádra systému Windows.
• Pravidelně kontrolujte, zda je seznam blokovaných adres aktivní z aplikace Zabezpečení systému Windows (zejména po velkých aktualizacích systému nebo změnách nastavení).
• V podnikových prostředích nasaďte zásady App Control for Business aby se zajistilo, že všechna zařízení zdědí nejnovější verzi seznamu, a aby se před implementací trvalých bloků monitorovaly potenciální problémy.
• Nejprve ověřte zásady v režimu auditu, aby se minimalizovaly konflikty kompatibility a vyřešily možné falešně pozitivní výsledky.
• Zůstaňte naladěni na bezpečnostní bulletiny společnosti Microsoft a výrobce hardwaru, aby se dozvěděl o možných nových ovladačích, kterých se to týká.
• Odeslat podezřelé ovladače společnosti Microsoft Používání oficiálních nástrojů a portálů, přispívání k neustálému zlepšování globální ochrany.

Pokročilá správa seznamu blokovaných zranitelných ovladačů společnosti Microsoft: stažení a ruční aplikace

Pro pokročilé uživatele a firmy nabízí Microsoft možnost Stáhněte si nejnovější verzi seznamu blokovaných položek v binárním nebo XML formátu z portálu pro stahování. To je užitečné v situacích, kdy je vyžadována maximální kontrola, nebo když se z důvodů zabezpečení či dodržování předpisů nechcete spoléhat pouze na automatické aktualizace.

Obvyklý postup je následující:

1. Stáhněte si nástroj pro aktualizaci zásad Ovládání aplikací.
2. Získejte a extrahujte binární soubory seznamu blokovaných zranitelných ovladačů.
3. Vyberte příslušný soubor (auditní nebo aplikovanou verzi) a přejmenujte jej na SiPolicy.p7b.
4. Zkopírujte soubor SiPolicy.p7b do umístění %windir%\system32\CodeIntegrity.
5. Spusťte nástroj pro aktualizaci, abyste aktivovali a aktualizovali všechny zásady Správy aplikací.

Po restartování počítače můžete ověřit, zda byla zásada správně použita, kontrolou událostí 3099 v Prohlížeči událostí systému Windows v protokolu CodeIntegrity.

Dopad na uživatelskou zkušenost a známé problémy

Navzdory výhodám není všechno zářivé. Správa blokovaných seznamů může koncovému uživateli způsobit určité nepříjemnosti, zejména v systémech s vysoce přizpůsobenými potřebami. Mezi nejčastější problémy obvykle patří:

• Nekompatibilita se starším hardwarem nebo staršími programy jejichž vývoj byl zastaven a jejichž ovladače nebyly aktualizovány tak, aby splňovaly nové bezpečnostní normy.
• Možné falešné poplachy které blokují naprosto legitimní, ale neobvyklé ovladače, což může způsobit, že zařízení budou nefunkční.
• Případy modré obrazovky smrti (BSOD) pokud je omylem zablokován důležitý prvek zavazadlového prostoru.

Proč je dnes seznam blokovaných adres nezbytný

Útoky BYOVD, zneužívání zapomenutých ovladačů a sofistikovanost malwaru to způsobují. ochrana jádra systému je důležitější než kdy jindy. Kyberzločinci prokázali, že dokáží zneužít jakoukoli mezeru v systému a zranitelné ovladače představují jedny z nejnebezpečnějších zadních vrátek, které fungují na tak nízké úrovni, že dokáží deaktivovat nebo manipulovat prakticky s jakýmkoli jiným bezpečnostním opatřením.

Strategie společnosti Microsoft spočívající v udržování centralizovaného, ​​dynamického seznamu blokovaných adres propojeného s dodavateli a bezpečnostní komunitou je nejlepší reakce na hrozbu, která postihuje jak jednotlivé uživatele, tak i velké organizace.

Udržování aktivního a aktuálního seznamu blokovaných zranitelných ovladačů společnosti Microsoft je jedním z nejjednodušších a nejúčinnějších způsobů, jak posílit zabezpečení systému Windows a ztížit práci kyberzločincům. Doporučuje se, aby jej správci používali ve spojení s dalšími zásadami ochrany a aby domácí uživatelé pravidelně kontrolovali nastavení v Zabezpečení systému Windows. To výrazně zvyšuje ochranu a klid vašich dat a systému.