Daftar Blokir Driver Rentan Microsoft: Apa itu dan bagaimana cara menggunakannya

Hoy en día, la seguridad informática Ini adalah salah satu perhatian prioritas setiap pengguna atau administrator sistem. Ancaman-ancaman baru terus bermunculan yang mencoba mengeksploitasi kerentanan. Disitulah tempatnya Microsoft Vulnerable Driver Blocklist o Daftar Blokir Driver Rentan Microsoft. Sebuah fitur yang telah memperoleh relevansi khusus dalam versi Windows modern.

Dan salah satu area paling sensitif dalam keamanan Windows adalah controladores o drivers. Perangkat lunak kecil namun penting ini rentan terhadap semua jenis serangan, seperti yang ditakuti BYOVD (“Bawa Pengemudi Rentan Anda Sendiri”). Dalam artikel ini, kami akan menjelaskan apa yang perlu Anda ketahui tentang daftar blokir ini dan cara kerjanya.

Apa itu Daftar Blokir Driver Rentan Microsoft?

 

Daftar Blokir Driver Rentan Microsoft adalah fitur keamanan yang tertanam di Windows dan dalam solusi perlindungan utamanya, seperti Microsoft Defender. Tujuannya adalah untuk mencegah pemuatan dan eksekusi driver berbahaya dalam sistem operasi. Driver ini, yang biasanya dikembangkan oleh pihak ketiga dan bukan Microsoft sendiri, dapat memiliki kelemahan keamanan—atau bahkan dirancang dengan niat jahat—yang menjadikannya gerbang ideal untuk serangan tingkat lanjut.

Daftarnya bekerja seperti ini semacam "daftar hitam" yang di dalamnya terdapat pengontrol yang memenuhi satu atau lebih karakteristik berikut:

• Kerentanan yang diketahui: Driver yang kelemahannya dapat dimanfaatkan untuk meningkatkan hak istimewa dalam kernel Windows atau melewati perlindungan.
• Perilaku jahat: Driver yang menyertakan kode yang dapat menyebabkan kerusakan, menginstal malware, atau ditandatangani dengan sertifikat yang terkait dengan perangkat lunak berbahaya.
• Pelanggaran model keamanan Windows: Driver yang, tanpa harus bersifat jahat, dapat menerobos batasan keamanan sistem operasi.

Singkatnya, daftar blokir Microsoft bertindak sebagai perisai pencegahan yang mencegah pengemudi yang berpotensi membahayakan untuk berlari, bahkan ketika mereka memiliki tanda tangan digital dan sertifikasi yang valid. Hal ini memperkuat salah satu lapisan perlindungan Windows yang paling penting, kernel, dan secara signifikan mempersulit pekerjaan penjahat dunia maya.

Cara kerja daftar blokir: cara melindungi komputer Anda

La Microsoft Vulnerable Driver Blocklist Ini bukan elemen statis, tapi mekanisme hidup yang terus diperbarui. Microsoft, bekerja sama dengan produsen perangkat keras (IHV) dan OEM, secara proaktif memantau ekosistem driver untuk mengidentifikasi dan memblokir komponen yang menimbulkan ancaman.

Jika suatu driver teridentifikasi sebagai rentan, berbahaya, atau tidak kompatibel dengan standar keamanan Windows, driver tersebut akan ditambahkan ke dalam daftar dan secara otomatis diblokir agar tidak dimuat pada komputer yang daftar blokirnya aktif. Hal ini dilakukan, tergantung pada versi dan konfigurasi sistem, dengan beberapa cara:

• Integritas Memori (HVCI atau Integritas Kode yang Dilindungi Hypervisor): Jika diaktifkan (secara default pada banyak PC Windows 11 baru), daftar blokir berlaku dengan memblokir driver yang disertakan di dalamnya.
• Modo Seguro: Perangkat Windows yang berjalan dalam mode S, yang menawarkan lingkungan yang lebih terkendali dan aman, juga memiliki daftar blokir yang diaktifkan secara default.
• Kontrol Aplikasi di Windows Defender (Kontrol Aplikasi untuk Bisnis): Memungkinkan administrator untuk menerapkan daftar yang direkomendasikan melalui kebijakan keamanan mereka sendiri.
• Keamanan Windows (aplikasi sistem): Sejak Windows 11 22H2, fitur ini diaktifkan secara default dan dapat dikelola dari antarmuka Keamanan Perangkat > Isolasi Inti.

Pengemudi mana saja yang sebenarnya diblokir oleh daftar blokir?

Tidak semua pengemudi termasuk dalam daftar blokir, hanya mereka yang yang memenuhi kriteria objektif tertentu yang menjadikannya berpotensi membahayakan. Di antara alasan paling umum mengapa seorang pengemudi ditambahkan ke daftar ini adalah:

• Adanya kerentanan keamanan diketahui dan didokumentasikan.
• Penggunaannya telah terdeteksi dalam serangan aktif, termasuk eksploitasi oleh ransomware, malware, atau ancaman persisten tingkat lanjut.
• Penggunaan sertifikat yang terkait dengan kampanye jahat untuk tanda tangan digital Anda.
• Perilaku yang memungkinkan melewati model keamanan Windows, meskipun ini bukan malware klasik.

Nama lain yang mungkin ada dalam daftar tersebut termasuk driver lama untuk utilitas disk, program manajemen perangkat keras tingkat lanjut, perangkat lunak virtualisasi, atau bahkan driver untuk perangkat periferal tertentu yang keamanannya telah disusupi.

Pembaruan dan Dukungan Daftar Blokir

Salah satu kekuatan besar dari Microsoft Vulnerable Driver Blocklist adalah Ini merupakan daftar yang hidup dan dipelihara dari waktu ke waktu. Microsoft memperbaruinya dengan setiap versi utama Windows yang baru (biasanya sekali atau dua kali setahun dengan pembaruan besar). Selain itu, Anda dapat merilis patch tertentu melalui Pembaruan Windows atau sebagai unduhan manual jika ada ancaman baru.

Meskipun daftar blokir memberikan tingkat pertahanan yang sangat tinggi, Aktivasinya mungkin memiliki efek samping tertentu pada kompatibilitas dan operasi perangkat keras atau perangkat lunak. Misalnya, jika driver penting untuk perangkat tertentu diblokir, driver tersebut dapat berhenti berfungsi dengan baik dan, dalam kasus yang jarang terjadi, bahkan menyebabkan layar biru kematian (BSOD).

Por ello, Microsoft menyarankan agar terlebih dahulu memvalidasi kebijakan dalam mode audit dan meninjau peristiwa pemblokiran sebelum memaksakan pemblokiran permanen. Di lingkungan perusahaan, hal ini dilakukan melalui Kontrol Aplikasi dan kebijakan terkait, yang memungkinkan Anda memantau driver mana yang akan diblokir dan membuat keputusan berdasarkan kasus per kasus.

Sebagai aturan umum, daftar blokir disempurnakan secara memadai untuk meminimalkan positif palsu dan perlindungan keseimbangan terhadap potensi masalah kompatibilitas. Namun, konflik yang tidak terduga dapat terjadi pada sistem dengan perangkat keras yang sangat spesifik atau perangkat lunak yang lebih lama. Dalam kasus tersebut, sebaiknya laporkan masalah tersebut melalui saluran Microsoft sehingga kami dapat membahas penghapusan atau pembaruan driver yang terpengaruh.

Cara mengaktifkan atau menonaktifkan Daftar Blokir Driver Rentan Microsoft

Tergantung pada versi Windows dan pengaturan perangkat, Daftar blokir dapat diaktifkan atau dinonaktifkan secara default. Sejak dirilisnya Windows 11 versi 22H2, fitur tersebut telah diaktifkan di semua perangkat, tetapi masih dapat dikelola secara manual.

Ada Dua metode utama untuk mengendalikan status daftar blokir:

• Dari antarmuka Keamanan Windows:
  • Buka aplikasi Keamanan Windows (cari di menu Mulai).
  • Buka bagian “Keamanan Perangkat” dan kemudian “Isolasi Inti”.
  • Pada layar tersebut, aktifkan atau nonaktifkan opsi “Daftar Blokir Driver Rentan Microsoft” sebagaimana mestinya.
  • Pada versi lama (Windows 10 atau 11 21H2), opsi tersebut mungkin tidak muncul atau mungkin mengharuskan Anda mengaktifkan HVCI terlebih dahulu.
• Menggunakan Registri Windows:
  • Buka editor registri (regedit.exe).
  • Arahkan ke HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CI\Config.
  • Edit atau buat nilai DWORD “VulnerableDriverBlocklist”, tetapkan 1 untuk mengaktifkan fitur, atau 0 untuk menonaktifkannya.

Setelah perubahan, disarankan untuk memulai ulang komputer Anda agar pengaturan diterapkan.

Rekomendasi untuk pengguna dan perusahaan

Untuk mendapatkan manfaat maksimal dari perlindungan yang disediakan oleh Daftar Blokir Driver Rentan Microsoft, baik pengguna rumahan maupun administrator sistem harus mengikuti beberapa langkah sederhana: praktik baik:

• Selalu perbarui sistem operasi sepenuhnya, karena versi yang lebih baru sering kali menyertakan perbaikan penting pada daftar blokir dan perlindungan kernel Windows.
• Periksa secara berkala apakah daftar blokir aktif dari aplikasi Keamanan Windows (terutama setelah pembaruan sistem utama atau perubahan pengaturan).
• Di lingkungan perusahaan, terapkan kebijakan Kontrol Aplikasi untuk Bisnis untuk memastikan bahwa semua perangkat mewarisi versi terbaru dari daftar dan memantau potensi masalah sebelum menerapkan pemblokiran permanen.
• Validasi kebijakan dalam mode audit terlebih dahulu, untuk meminimalkan konflik kompatibilitas dan mengatasi kemungkinan positif palsu.
• Nantikan buletin keamanan Microsoft dan produsen perangkat keras untuk mempelajari tentang kemungkinan driver baru yang terkena dampak.
• Kirimkan driver yang mencurigakan ke Microsoft Menggunakan alat dan portal resmi, berkontribusi pada peningkatan perlindungan global yang berkelanjutan.

Manajemen lanjutan dari Daftar Blokir Driver Rentan Microsoft: unduh dan aplikasi manual

Untuk pengguna tingkat lanjut dan bisnis, Microsoft menawarkan kemampuan untuk Unduh versi terbaru daftar blokir dalam format biner atau XML dari portal unduhan Anda. Ini berguna dalam skenario di mana kontrol maksimum dibutuhkan atau ketika, karena alasan keamanan atau kepatuhan, Anda tidak ingin hanya bergantung pada pembaruan otomatis.

Prosedur yang lazim dilakukan adalah sebagai berikut:

1. Unduh Alat Pembaruan Kebijakan App Control.
2. Dapatkan dan ekstrak biner Daftar Blokir Pengemudi yang Rentan.
3. Pilih file yang sesuai (versi audit atau yang diterapkan) dan ganti namanya menjadi SiPolicy.p7b.
4. Salin SiPolicy.p7b ke lokasi %windir%\system32\CodeIntegrity.
5. Jalankan alat pembaruan untuk mengaktifkan dan memperbarui semua kebijakan Kontrol Aplikasi.

Setelah menghidupkan ulang komputer, Anda dapat memverifikasi bahwa kebijakan telah diterapkan dengan benar dengan meninjau peristiwa 3099 di Windows Event Viewer, di bawah log CodeIntegrity.

Dampak pada pengalaman pengguna dan masalah yang diketahui

Meski memiliki kelebihan, tidak semuanya cerah. Manajemen daftar blokir dapat menyebabkan ketidaknyamanan bagi pengguna akhir, terutama pada sistem dengan kebutuhan yang sangat disesuaikan. Masalah yang paling umum biasanya meliputi:

• Ketidakcocokan dengan perangkat keras lama atau program lama yang pengembangannya telah dihentikan dan pengemudinya belum diperbarui untuk memenuhi standar keselamatan baru.
• Kemungkinan positif palsu yang memblokir driver yang sah, tetapi tidak biasa, yang dapat membuat perangkat tidak dapat dioperasikan.
• Kasus Blue Screen of Death (BSOD) jika elemen boot penting terblokir secara tidak sengaja.

Mengapa daftar blokir penting saat ini

Serangan BYOVD, eksploitasi driver yang terlupakan, dan kecanggihan malware membuat hal ini menjadi sangat perlindungan inti sistem lebih penting dari sebelumnya. Penjahat dunia maya telah membuktikan bahwa mereka dapat mengeksploitasi celah apa pun, dan pengemudi yang rentan mewakili salah satu pintu belakang paling berbahaya, yang beroperasi pada tingkat yang sangat rendah sehingga mereka dapat menonaktifkan atau memanipulasi hampir semua tindakan keamanan lainnya.

Strategi Microsoft untuk mempertahankan daftar blokir terpusat dan dinamis yang terhubung ke vendor dan komunitas keamanan adalah respon terbaik terhadap ancaman yang memengaruhi pengguna individu dan organisasi besar.

Menjaga Daftar Blokir Driver Rentan Microsoft tetap aktif dan terkini adalah salah satu cara paling sederhana dan paling efektif untuk memperkuat keamanan Windows dan mempersulit penjahat dunia maya. Disarankan agar administrator menggunakannya bersama dengan kebijakan perlindungan lainnya dan agar pengguna rumahan meninjau pengaturan di Keamanan Windows secara berkala; Ini secara signifikan meningkatkan perlindungan dan ketenangan pikiran data dan sistem Anda.