Microsoftov popis blokiranih ranjivih upravljačkih programa: Što je to i kako ga koristiti

Danas, kibernetička sigurnost To je jedna od prioritetnih briga svakog korisnika ili administratora sustava. Neprestano se pojavljuju nove prijetnje koje pokušavaju iskoristiti ranjivosti. To je mjesto gdje Popis blokiranih ranjivih upravljačkih programa tvrtke Microsoft o Popis blokiranih ranjivih upravljačkih programa tvrtke Microsoft. Značajka koja je dobila posebnu važnost u modernim verzijama sustava Windows.

A jedno od najosjetljivijih područja sigurnosti sustava Windows je kontroleri ili upravljački programi. Taj mali, ali vitalni softver podložan je svim vrstama napadi, poput onih strašnih BYOVD („Dovedite svog ranjivog vozača“). U ovom ćemo članku objasniti što trebate znati o ovom popisu blokiranih i kako funkcionira.

Što je Microsoftov popis blokiranih ranjivih upravljačkih programa?

 

Microsoftov popis blokiranih ranjivih upravljačkih programa je sigurnosna značajka ugrađena u Windows i u svojim glavnim zaštitnim rješenjima, kao što su Microsoft Defender. Njegova je svrha spriječiti učitavanje i izvršavanje opasnih upravljačkih programa u operativnom sustavu. Ovi upravljački programi, koje obično razvijaju treće strane, a ne sam Microsoft, mogu imati sigurnosne nedostatke - ili čak biti zlonamjerno dizajnirani - što ih čini idealnim ulazima za napredne napade.

Popis funkcionira ovako svojevrsna "crna lista" u koje su ugrađeni kontroleri koji ispunjavaju jednu ili više sljedećih karakteristika:

• Prepoznate ranjivosti: Upravljački programi čije se slabosti mogu iskoristiti za povećanje privilegija u Windows kernelu ili zaobilaženje zaštita.
• Zlonamjerno ponašanje: Upravljački programi koji uključuju kod koji može uzrokovati štetu, instalirati zlonamjerni softver ili su potpisani certifikatima povezanim sa zlonamjernim softverom.
• Kršenje sigurnosnog modela sustava Windows: Upravljački programi koji, bez da su nužno zlonamjerni, mogu zaobići sigurnosna ograničenja operacijskog sustava.

Ukratko, Microsoftova lista blokiranih adresa djeluje kao preventivni štit koji sprječava potencijalno opasne vozače da voze, čak i kada imaju digitalni potpis i važeći certifikat. To jača jedan od najvažnijih slojeva zaštite sustava Windows, jezgru, i značajno komplicira rad kibernetičkih kriminalaca.

Kako funkcionira popis blokiranih adresa: kako štiti vaše računalo

La Popis blokiranih ranjivih upravljačkih programa tvrtke Microsoft Nije statički element, već živi mehanizam koji se neprestano ažurira. Microsoft, u suradnji s proizvođačima hardvera (IHV) i proizvođačima originalne opreme (OEM), proaktivno prati ekosustav upravljačkih programa kako bi identificirao i blokirao komponente koje predstavljaju prijetnju.

Kada se upravljački program identificira kao ranjiv, zlonamjeran ili nekompatibilan sa sigurnosnim standardima sustava Windows, dodaje se na popis i automatski se blokira njegovo učitavanje na računalima na kojima je popis blokiranih aktivan. To se radi, ovisno o verziji i konfiguraciji sustava, na nekoliko načina:

• Integritet memorije (HVCI ili Integritet koda zaštićen hipervizorom): Ako je omogućeno (prema zadanim postavkama na mnogim novim računalima sa sustavom Windows 11), popis blokiranih pristupa se blokiranju upravljačkih programa koji se na njemu nalaze.
• Siguran način rada: Uređaji s Windowsima koji rade u S načinu rada, koji se može pohvaliti kontroliranijim i sigurnijim okruženjem, također imaju omogućenu listu blokiranih adresa prema zadanim postavkama.
• Kontrola aplikacija u programu Windows Defender (Kontrola aplikacija za tvrtke): Omogućuje administratorima primjenu preporučenog popisa putem vlastitih sigurnosnih politika.
• Sigurnost sustava Windows (sistemska aplikacija)Od verzije Windows 11 22H2, značajka je omogućena prema zadanim postavkama i može se upravljati iz sučelja Sigurnost uređaja > Izolacija jezgre.

Koje točno upravljačke programe blokira popis blokiranih?

Nisu svi vozači predmet liste blokiranih, samo oni koje ispunjavaju određene objektivne kriterije koji ih čine potencijalnim opasnostima. Među najčešćim razlozima zašto se vozač dodaje na ovaj popis su:

• Postojanje sigurnosnih ranjivosti poznato i dokumentirano.
• Njegova upotreba je otkrivena u aktivnim napadima, uključujući iskorištavanje putem ransomwarea, zlonamjernog softvera ili naprednih trajnih prijetnji.
• Korištenje certifikata povezanih sa zlonamjernim kampanjama za vaš digitalni potpis.
• Ponašanje koje omogućuje zaobilaženje sigurnosnog modela sustava Windows, iako se ne radi o klasičnom zlonamjernom softveru.

Ostala imena koja se mogu naći na popisu uključuju stare upravljačke programe za uslužne programe za diskove, napredne programe za upravljanje hardverom, softver za virtualizaciju ili čak upravljačke programe za određene periferne uređaje čija je sigurnost ugrožena.

Ažuriranje i podrška za blokirane

Jedna od velikih prednosti Microsoftove liste blokiranih ranjivih upravljačkih programa je ta što To je živi popis i održava se tijekom vremena. Microsoft ga ažurira sa svakom novom glavnom verzijom sustava Windows (obično jednom ili dvaput godišnje s glavnim ažuriranjima). Osim toga, možete objaviti određene zakrpe putem Windows Updatea ili kao ručno preuzimanje u slučaju novih prijetnji.

Iako lista blokiranih pruža vrlo visoku razinu obrane, Njegova aktivacija može imati određene nuspojave na kompatibilnost i rad hardvera ili softvera. Na primjer, ako je blokiran ključni upravljački program za određeni uređaj, on može prestati ispravno raditi, a u rijetkim slučajevima čak može uzrokovati plavi ekran smrti (BSOD).

Stoga, Microsoft preporučuje da se prvo provjeri valjanost pravila u načinu revizije, pregledaju događaji blokiranja prije prisilnog trajnog blokiranja. U poslovnim okruženjima to se radi putem Kontrole aplikacija i odgovarajućih pravila, što vam omogućuje praćenje koji bi upravljački programi bili blokirani i donošenje odluka za svaki pojedinačni slučaj.

Općenito, popis blokiranih je dovoljno profinjen kako bi se smanjili lažno pozitivni rezultati i zaštita ravnoteže od potencijalnih problema s kompatibilnošću. Međutim, na sustavima s vrlo specifičnim hardverom ili starijim softverom mogu se pojaviti neočekivani sukobi. U tom slučaju, dobra je ideja prijaviti problem putem Microsoftovih kanala kako bismo mogli razgovarati o uklanjanju ili ažuriranju pogođenog upravljačkog programa.

Kako omogućiti ili onemogućiti popis blokiranih ranjivih upravljačkih programa tvrtke Microsoft

Ovisno o verziji sustava Windows i postavkama uređaja, Popis blokiranih može se prema zadanim postavkama omogućiti ili onemogućiti. Od izlaska Windowsa 11 verzije 22H2, značajka je omogućena na svim uređajima, ali se njome i dalje može upravljati ručno.

Postoje Dvije glavne metode za kontrolu stanja liste blokiranih adresa:

• Iz sučelja Sigurnosti sustava Windows:
  • Otvorite aplikaciju Sigurnost sustava Windows (potražite je u izborniku Start).
  • Idite na odjeljak "Sigurnost uređaja", a zatim na "Izolacija jezgre".
  • Na tom zaslonu omogućite ili onemogućite opciju "Popis blokiranih ranjivih upravljačkih programa tvrtke Microsoft" prema potrebi.
  • U starijim verzijama (Windows 10 ili 11 21H2), opcija se možda neće pojaviti ili će možda prvo zahtijevati da omogućite HVCI.
• Korištenje Windows registra:
  • Otvorite uređivač registra (regedit.exe).
  • Idite na HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CI\Config.
  • Uredite ili stvorite DWORD vrijednost "VulnerableDriverBlocklist", dodijelivši joj 1 za omogućavanje značajke ili 0 za onemogućavanje.

Nakon promjene, preporučuje se ponovno pokrenuti računalo kako bi postavke stupile na snagu.

Preporuke za korisnike i tvrtke

Kako bi maksimalno iskoristili zaštitu koju pruža Microsoftov popis blokiranih ranjivih upravljačkih programa, i kućni korisnici i administratori sustava trebali bi slijediti nekoliko jednostavnih koraka: dobre prakse:

• Uvijek održavajte operativni sustav potpuno ažuriranim, jer novije verzije često uključuju ključna poboljšanja liste blokiranih i zaštite kernela sustava Windows.
• Povremeno provjeravajte je li popis blokiranih aktivan iz aplikacije Sigurnost sustava Windows (osobito nakon većih ažuriranja sustava ili promjena postavki).
• U poslovnim okruženjima implementirajte pravila Kontrole aplikacija za tvrtke kako bi se osiguralo da svi uređaji nasljeđuju najnoviju verziju popisa i pratili potencijalni problemi prije implementacije trajnih blokada.
• Prvo provjerite pravila u načinu revizije, kako bi se smanjili sukobi kompatibilnosti i riješili mogući lažno pozitivni rezultati.
• Pratite Microsoftove sigurnosne biltene i proizvođača hardvera kako biste saznali više o mogućim novim pogođenim upravljačkim programima.
• Pošaljite sumnjive upravljačke programe Microsoftu Korištenjem službenih alata i portala, doprinoseći kontinuiranom poboljšanju globalne zaštite.

Napredno upravljanje popisom blokiranih ranjivih upravljačkih programa tvrtke Microsoft: preuzimanje i ručna primjena

Za napredne korisnike i tvrtke, Microsoft nudi mogućnost Preuzmite najnoviju verziju popisa blokiranih u binarnom ili XML formatu s portala za preuzimanje. Ovo je korisno u scenarijima gdje je potrebna maksimalna kontrola ili kada se, iz sigurnosnih ili razloga usklađenosti, ne želite oslanjati isključivo na automatska ažuriranja.

Uobičajeni postupak je sljedeći:

1. Preuzmite alat za ažuriranje pravila Kontrola aplikacija.
2. Nabavite i izdvojite binarne datoteke s popisa blokiranih ranjivih upravljačkih programa.
3. Odaberite odgovarajuću datoteku (revizijsku ili primijenjenu verziju) i preimenujte je u SiPolicy.p7b.
4. Kopirajte SiPolicy.p7b na lokaciju %windir%\system32\CodeIntegrity.
5. Pokrenite alat za ažuriranje kako biste aktivirali i ažurirali sve politike Kontrole aplikacija.

Nakon ponovnog pokretanja računala, možete provjeriti je li pravilo ispravno primijenjeno pregledom događaja 3099 u pregledniku događaja sustava Windows, u zapisniku CodeIntegrity.

Utjecaj na korisničko iskustvo i poznati problemi

Unatoč prednostima, nije sve tako sjajno. Upravljanje popisom blokiranih adresa može uzrokovati određene neugodnosti za krajnjeg korisnika, posebno u sustavima s visoko prilagođenim potrebama. Najčešći problemi obično uključuju:

• Nekompatibilnost sa starijim hardverom ili naslijeđenim programima čiji je razvoj zaustavljen i čiji upravljački programi nisu ažurirani kako bi zadovoljili nove sigurnosne standarde.
• Mogući lažni rezultati koji blokiraju savršeno legitimne, ali neobične upravljačke programe, što može učiniti uređaje neupotrebljivima.
• Slučajevi plavog ekrana smrti (BSOD) ako je bitan element za pokretanje greškom blokiran.

Zašto je lista blokiranih danas bitna

BYOVD napadi, iskorištavanje zaboravljenih upravljačkih programa i sofisticiranost zlonamjernog softvera čine to takvim zaštita jezgre sustava važnije je nego ikad. Kibernetički kriminalci dokazali su da mogu iskoristiti bilo koju rupu u zakonu, a ranjivi upravljački programi predstavljaju jedan od najopasnijih stražnjih vrata, djelujući na tako niskoj razini da mogu onemogućiti ili manipulirati gotovo bilo kojom drugom sigurnosnom mjerom.

Microsoftova strategija održavanja centraliziranog, dinamičkog popisa blokiranih adresa povezanog s dobavljačima i sigurnosnom zajednicom je najbolji odgovor na prijetnju koja pogađa i pojedinačne korisnike i velike organizacije.

Održavanje aktivnog i ažurnog popisa blokiranih ranjivih upravljačkih programa tvrtke Microsoft jedan je od najjednostavnijih i najučinkovitijih načina za jačanje sigurnosti sustava Windows i otežavanje djelovanja kibernetičkim kriminalcima. Preporučuje se da administratori koriste ovu opciju zajedno s drugim zaštitnim pravilima, a kućni korisnici da povremeno pregledavaju postavke u Sigurnosti sustava Windows; To značajno povećava zaštitu i bezbrižnost vaših podataka i sustava.