Microsoft-ի խոցելի դրայվերների արգելափակման ցանկ. Ի՞նչ է դա և ինչպե՞ս օգտագործել այն

Այսօր, կիբերանվտանգություն Դա ցանկացած օգտատիրոջ կամ համակարգի ադմինիստրատորի առաջնահերթ մտահոգություններից մեկն է։ Անընդհատ ի հայտ են գալիս նոր սպառնալիքներ, որոնք փորձում են շահագործել խոցելիությունները։ Ահա թե որտեղ է Microsoft-ի խոցելի դրայվերների արգելափակված ցանկ o Microsoft-ի խոցելի դրայվերների արգելափակված ցանկ։ Մի առանձնահատկություն, որը հատուկ արդիականություն է ձեռք բերել Windows-ի ժամանակակից տարբերակներում:

Եվ Windows-ի անվտանգության ամենանուրբ ոլորտներից մեկը կարգավորիչներ կամ վարորդներ. Այդ փոքր, բայց կարևոր ծրագիրը զգայուն է բոլոր տեսակի հարձակումներ, ինչպիսիք են սարսափելիները BYOVD («Բերեք ձեր սեփական խոցելի վարորդին»): Այս հոդվածում մենք կբացատրենք, թե ինչ պետք է իմանաք այս բլոկների ցանկի և դրա գործունեության մասին։

Ի՞նչ է Microsoft-ի խոցելի դրայվերների արգելափակման ցանկը։

 

Microsoft-ի խոցելի դրայվերների արգելափակման ցանկը... Windows-ում ներկառուցված անվտանգության գործառույթ և դրա հիմնական պաշտպանության լուծումներում, ինչպիսիք են Microsoft Defender. Դրա նպատակն է կանխել վտանգավոր դրայվերների բեռնումը և կատարումը օպերացիոն համակարգում։ Այս դրայվերները, որոնք սովորաբար մշակվում են երրորդ կողմերի, այլ ոչ թե Microsoft-ի կողմից, կարող են ունենալ անվտանգության թերություններ կամ նույնիսկ չարամիտ կերպով մշակված լինել՝ դարձնելով դրանք իդեալական դարպասներ առաջադեմ հարձակումների համար։

Ցանկը գործում է այսպես մի տեսակ «սև ցուցակ» որում ներառված են հետևյալ բնութագրերից մեկին կամ մի քանիսին համապատասխանող կարգավորիչներ՝

• Ճանաչված խոցելիություններԴրայվերներ, որոնց թույլ կողմերը կարող են օգտագործվել Windows-ի միջուկի արտոնությունները մեծացնելու կամ պաշտպանությունները շրջանցելու համար։
• չարամիտ վարքագիծԴրայվերներ, որոնք ներառում են վնաս պատճառող կոդ, տեղադրում են վնասակար ծրագրեր կամ ստորագրված են վնասակար ծրագրաշարի հետ կապված վկայականներով։
• Windows-ի անվտանգության մոդելի խախտումԴրայվերներ, որոնք, առանց պարտադիր վնասակար լինելու, կարող են շրջանցել օպերացիոն համակարգի անվտանգության սահմանափակումները։

Ամփոփելով՝ Microsoft-ի արգելափակված ցուցակը գործում է որպես կանխարգելիչ վահան, որը կանխում է պոտենցիալ վտանգավոր վարորդների վազքը, նույնիսկ եթե նրանք ունեն թվային ստորագրություն և վավեր վկայագիր։ Սա ամրապնդում է Windows-ի պաշտպանության ամենակարևոր շերտերից մեկը՝ միջուկը, և զգալիորեն բարդացնում է կիբերհանցագործների աշխատանքը։

Ինչպես է գործում արգելափակման ցուցակը. ինչպես է այն պաշտպանում ձեր համակարգիչը

La Microsoft-ի խոցելի դրայվերների արգելափակված ցանկ Այն ստատիկ տարր չէ, բայց կենդանի մեխանիզմ, որը անընդհատ թարմացվում է։ Microsoft-ը, համագործակցելով սարքավորումների արտադրողների (IHV) և OEM-ների հետ, նախաձեռնողաբար վերահսկում է դրայվերների էկոհամակարգը՝ սպառնալիք ներկայացնող բաղադրիչները հայտնաբերելու և արգելափակելու համար։

Երբ որևէ դրայվեր նույնականացվում է որպես խոցելի, վնասակար կամ անհամատեղելի Windows-ի անվտանգության ստանդարտների հետ, այն ավելացվում է ցանկին և ավտոմատ կերպով արգելափակվում է բեռնումը այն համակարգիչներում, որտեղ արգելափակման ցանկը ակտիվ է։ Դա արվում է, կախված համակարգի տարբերակից և կազմաձևից, մի քանի եղանակով.

• Հիշողության ամբողջականություն (HVCI կամ Հիպերվիզորի կողմից պաշտպանված կոդի ամբողջականություն)Եթե ​​միացված է (ըստ լռելյայնի՝ շատ նոր Windows 11 համակարգիչների վրա), արգելափակման ցանկը ուժի մեջ է մտնում՝ արգելափակելով դրանում ներառված դրայվերները։
• Անվտանգ ռեժիմS ռեժիմով աշխատող Windows սարքերը, որն առաջարկում է ավելի վերահսկվող և անվտանգ միջավայր, նույնպես լռելյայնորեն միացված են արգելափակված ցանկը։
• Ծրագրերի կառավարում Windows Defender-ում (Ծրագրերի կառավարում բիզնեսի համար)Թույլ է տալիս ադմինիստրատորներին կիրառել առաջարկվող ցանկը իրենց սեփական անվտանգության քաղաքականության միջոցով։
• Windows-ի անվտանգություն (համակարգային հավելված)Windows 11 22H2-ից սկսած, այս գործառույթը միացված է լռելյայնորեն և կարող է կառավարվել Սարքի անվտանգություն > Միջուկի մեկուսացում ինտերֆեյսից։

Ո՞ր դրայվերներն է արգելափակված ցուցակով։

Ոչ բոլոր վարորդներն են ենթարկվում արգելափակման ցուցակին, միայն նրանք որոնք համապատասխանում են որոշակի օբյեկտիվ չափանիշների, որոնք դրանք դարձնում են պոտենցիալ վտանգ։ Այս ցանկում վարորդի ավելացման ամենատարածված պատճառներից են՝

• Անվտանգության խոցելիությունների առկայություն հայտնի և փաստաթղթավորված։
• Դրա օգտագործումը հայտնաբերվել է ակտիվ հարձակումներում, ներառյալ՝ փրկագին ստացող ծրագրերի, վնասակար ծրագրերի կամ առաջադեմ, մշտական ​​սպառնալիքների կողմից շահագործումը։
• Վնասարար արշավների հետ կապված վկայականների օգտագործումը ձեր թվային ստորագրության համար։
• Վարքագիծ, որը թույլ է տալիս շրջանցել Windows-ի անվտանգության մոդելը, չնայած դա դասական վնասակար ծրագիր չէ։

Ցանկում կարող են լինել նաև սկավառակի կոմունալ ծառայությունների, առաջադեմ սարքավորումների կառավարման ծրագրերի, վիրտուալիզացիայի ծրագրաշարի կամ նույնիսկ որոշակի ծայրամասային սարքերի դրայվերներ, որոնց անվտանգությունը խախտվել է։

Բլոկների ցանկի թարմացում և աջակցություն

Microsoft Vulnerable Driver Blocklist-ի մեծ ուժեղ կողմերից մեկն այն է, որ Այն կենդանի ցանկ է և պահպանվում է ժամանակի ընթացքում։ Microsoft-ը այն թարմացնում է Windows-ի յուրաքանչյուր նոր հիմնական տարբերակի հետ (սովորաբար տարին մեկ կամ երկու անգամ՝ հիմնական թարմացումների դեպքում): Բացի այդ, դուք կարող եք թողարկել որոշակի թարմացումներ Windows Update-ի միջոցով կամ ձեռքով ներբեռնել նոր սպառնալիքների դեպքում։

Չնայած բլոկների ցանկը ապահովում է պաշտպանության շատ բարձր մակարդակ, Դրա ակտիվացումը կարող է որոշակի կողմնակի ազդեցություններ ունենալ սարքավորումների կամ ծրագրային ապահովման համատեղելիության և աշխատանքի վրա։ Օրինակ, եթե որոշակի սարքի համար կարևոր դրայվերը արգելափակված է, այն կարող է դադարել ճիշտ աշխատել և, հազվադեպ դեպքերում, նույնիսկ առաջացնել մահվան կապույտ էկրան (BSOD):

Հետևաբար, Microsoft-ը խորհուրդ է տալիս նախ վավերացնել քաղաքականությունը աուդիտի ռեժիմում, վերանայել արգելափակման իրադարձությունները, նախքան մշտական ​​արգելափակում պարտադրելը։ Ձեռնարկությունների միջավայրերում սա արվում է App Control-ի և համապատասխան քաղաքականության միջոցով, որը թույլ է տալիս վերահսկել, թե որ դրայվերներն են արգելափակվելու և որոշումներ կայացնել յուրաքանչյուր դեպքի համար առանձին։

Որպես ընդհանուր կանոն, արգելափակումների ցանկը բավականաչափ կատարելագործված է՝ կեղծ դրականները նվազագույնի հասցնելու համար և հավասարակշռության պաշտպանություն հնարավոր համատեղելիության խնդիրների դեմ։ Այնուամենայնիվ, անսպասելի կոնֆլիկտներ կարող են առաջանալ շատ հատուկ սարքավորումներով կամ ավելի հին ծրագրակազմով համակարգերի վրա։ Այդ դեպքում լավ գաղափար է խնդրի մասին հաղորդել Microsoft-ի միջոցով, որպեսզի կարողանանք քննարկել տուժած դրայվերի հեռացումը կամ թարմացումը։

Ինչպես միացնել կամ անջատել Microsoft-ի խոցելի դրայվերների արգելափակման ցանկը

Կախված Windows-ի տարբերակից և սարքի կարգավորումներից՝ Արգելափակման ցանկը կարող է միացված կամ անջատված լինել ըստ լռելյայնի։ Windows 11-ի 22H2 տարբերակի թողարկումից ի վեր, այս գործառույթը միացված է բոլոր սարքերում, բայց այն դեռևս կարող է կառավարվել ձեռքով։

Կան Բլոկների ցանկի վիճակը վերահսկելու երկու հիմնական մեթոդ՝

• Windows-ի անվտանգության ինտերֆեյսից:
  • Բացեք Windows Security հավելվածը (որոնեք «Սկիզբ» ընտրացանկում):
  • Անցեք «Սարքի անվտանգություն» բաժին, ապա՝ «Միջուկի մեկուսացում»։
  • Այդ էկրանին, անհրաժեշտության դեպքում, միացրեք կամ անջատեք «Microsoft Vulnerable Driver Blocklist» տարբերակը։
  • Ավելի հին տարբերակներում (Windows 10 կամ 11 21H2) այս տարբերակը կարող է չհայտնվել կամ պահանջել նախ միացնել HVCI-ը։
• Windows-ի գրանցամատյանի օգտագործումը:
  • Բացեք գրանցամատյանի խմբագրիչը (regedit.exe):
  • Անցեք HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CI\Config պանակին։
  • Խմբագրեք կամ ստեղծեք «VulnerableDriverBlocklist» DWORD արժեքը՝ այն նշանակելով 1՝ գործառույթը միացնելու համար, կամ 0՝ այն անջատելու համար։

Փոփոխություններից հետո խորհուրդ է տրվում վերագործարկել համակարգիչը, որպեսզի կարգավորումներն ուժի մեջ մտնեն։

Առաջարկություններ օգտատերերի և ընկերությունների համար

Microsoft Vulnerable Driver Blocklist-ի կողմից տրամադրվող պաշտպանությունից առավելագույնս օգտվելու համար, թե՛ տնային օգտատերերը, թե՛ համակարգի ադմինիստրատորները պետք է հետևեն մի քանի պարզ քայլի. լավ սովորություններ՝

• Մշտապես պահեք օպերացիոն համակարգը լիովին թարմացված, քանի որ ավելի նոր տարբերակները հաճախ ներառում են բլոկների ցանկի և Windows միջուկի պաշտպանության կարևոր բարելավումներ։
• Պարբերաբար ստուգեք, թե արդյոք արգելափակված ցուցակը ակտիվ է Windows Security հավելվածից (հատկապես համակարգի խոշոր թարմացումներից կամ կարգավորումների փոփոխություններից հետո):
• Ձեռնարկությունների միջավայրերում տեղակայեք App Control for Business քաղաքականությունները ապահովելու համար, որ բոլոր սարքերը ժառանգեն ցուցակի վերջին տարբերակը և վերահսկեն հնարավոր խնդիրները՝ նախքան մշտական ​​​​արգելափակումներ ներդնելը։
• Նախ վավերացրեք քաղաքականությունները աուդիտի ռեժիմում, համատեղելիության կոնֆլիկտները նվազագույնի հասցնելու և հնարավոր կեղծ դրական արդյունքները լուծելու համար։
• Հետևեք Microsoft-ի անվտանգության նորություններին և սարքավորումների արտադրողին՝ տեղեկանալու հնարավոր նոր ազդակիր դրայվերների մասին։
• Կասկածելի դրայվերներ ուղարկել Microsoft-ին Օգտագործելով պաշտոնական գործիքներ և պորտալներ՝ նպաստելով գլոբալ պաշտպանության շարունակական բարելավմանը։

Microsoft-ի խոցելի դրայվերների արգելափակման ցանկի առաջադեմ կառավարում. ներբեռնում և ձեռնարկի կիրառում

Առաջադեմ օգտատերերի և բիզնեսների համար Microsoft-ը առաջարկում է հետևյալ հնարավորությունը՝ Ներբեռնեք բլոկների ցանկի վերջին տարբերակը երկուական կամ XML ձևաչափով ձեր ներբեռնման պորտալից։ Սա օգտակար է այն դեպքերում, երբ անհրաժեշտ է առավելագույն վերահսկողություն, կամ երբ անվտանգության կամ համապատասխանության նկատառումներից ելնելով չեք ցանկանում հույսը դնել միայն ավտոմատ թարմացումների վրա։

Սովորական ընթացակարգը հետևյալն է.

1. Ներբեռնեք քաղաքականության թարմացման գործիքը Հավելվածի կառավարում.
2. Ստացեք և արդյունահանեք խոցելի վարորդի բլոկլիստի երկուական ֆայլերը։
3. Ընտրեք համապատասխան ֆայլը (աուդիտի կամ կիրառական տարբերակ) և վերանվանեք այն SiPolicy.p7b:
4. Պատճենեք SiPolicy.p7b ֆայլը %windir%\system32\CodeIntegrity պանակում։
5. Գործարկեք թարմացման գործիքը՝ բոլոր App Control քաղաքականությունները ակտիվացնելու և թարմացնելու համար:

Համակարգիչը վերագործարկելուց հետո կարող եք ստուգել, ​​որ քաղաքականությունը ճիշտ է կիրառվել՝ վերանայելով 3099 իրադարձությունները Windows Event Viewer-ում՝ CodeIntegrity գրանցամատյանի տակ։

Ազդեցությունը օգտագործողի փորձի և հայտնի խնդիրների վրա

Առավելություններին չնայած, ամեն ինչ չէ, որ պայծառ է։ Բլոկների ցանկի կառավարումը կարող է որոշակի անհարմարություններ պատճառել վերջնական օգտատիրոջը, հատկապես խիստ անհատականացված կարիքներ ունեցող համակարգերում։ Ամենատարածված խնդիրները սովորաբար ներառում են.

• Անհամատեղելիություն հին սարքավորումների կամ ժառանգական ծրագրերի հետ որոնց մշակումը դադարեցվել է, և որոնց վարորդները չեն թարմացվել՝ նոր անվտանգության չափանիշներին համապատասխանելու համար։
• Հնարավոր կեղծ պոզիտիվներ որոնք արգելափակում են լիովին օրինական, բայց անսովոր դրայվերներ, որոնք կարող են սարքերը անգործունակ դարձնել։
• Մահվան կապույտ էկրանի (BSOD) դեպքեր եթե սխալմամբ արգելափակվել է որևէ կարևոր բեռնման տարր։

Ինչու է բլոկների ցանկը կարևոր այսօր

BYOVD հարձակումները, մոռացված դրայվերների շահագործումը և վնասակար ծրագրերի բարդությունը դա դարձնում են այդքան բարդ։ համակարգի միջուկի պաշտպանությունը ավելի կարևոր է, քան երբևէ։ Կիբերհանցագործները ապացուցել են, որ կարող են շահագործել ցանկացած օրենսդրական անցք, իսկ խոցելի դրայվերները ներկայացնում են ամենավտանգավոր հետին դռներից մեկը, որոնք գործում են այնքան ցածր մակարդակով, որ կարող են անջատել կամ մանիպուլյացիայի ենթարկել գրեթե ցանկացած այլ անվտանգության միջոց։

Microsoft-ի ռազմավարությունը՝ պահպանել կենտրոնացված, դինամիկ բլոկների ցանկ, որը կապված է մատակարարների և անվտանգության համայնքի հետ, հետևյալն է. լավագույն արձագանքը սպառնալիքին, որը ազդում է ինչպես անհատ օգտատերերի, այնպես էլ խոշոր կազմակերպությունների վրա։

Microsoft-ի խոցելի դրայվերների արգելափակված ցանկը ակտիվ և թարմացված պահելը Windows-ի անվտանգությունը ամրապնդելու և կիբեռհանցագործների համար գործը դժվարացնելու ամենապարզ և ամենաարդյունավետ եղանակներից մեկն է։ Խորհուրդ է տրվում, որ ադմինիստրատորները այն օգտագործեն այլ պաշտպանության քաղաքականությունների հետ համատեղ, իսկ տնային օգտատերերը պարբերաբար վերանայեն Windows Security-ի կարգավորումները։ Սա զգալիորեն մեծացնում է ձեր տվյալների և համակարգի պաշտպանությունը և հանգստությունը։