Senarai Sekat Pemacu Rentan Microsoft: Apakah itu dan cara menggunakannya

Hari ini, seguridad informática Ia adalah salah satu kebimbangan keutamaan mana-mana pengguna atau pentadbir sistem. Ancaman baharu sentiasa muncul yang cuba mengeksploitasi kelemahan. Di situlah Microsoft Vulnerable Driver Blocklist o Senarai Sekat Pemacu Rentan Microsoft. Ciri yang telah mendapat perkaitan istimewa dalam versi moden Windows.

Dan salah satu kawasan yang paling halus dalam keselamatan Windows ialah controladores o drivers. Perisian yang kecil tetapi penting itu mudah terdedah kepada semua jenis serangan, seperti yang digeruni BYOVD (“Bawa Pemandu Rentan Anda Sendiri”). Dalam artikel ini, kami akan menerangkan perkara yang anda perlu ketahui tentang senarai blok ini dan cara ia berfungsi.

Apakah Senarai Sekat Pemacu Rentan Microsoft?

 

Senarai Sekat Pemacu Rentan Microsoft ialah a ciri keselamatan terbina dalam Windows dan dalam penyelesaian perlindungan utamanya, seperti Microsoft Defender. Tujuannya adalah untuk menghalang pemuatan dan pelaksanaan pemacu berbahaya dalam sistem pengendalian. Pemacu ini, biasanya dibangunkan oleh pihak ketiga dan bukannya Microsoft sendiri, boleh mempunyai kelemahan keselamatan—atau bahkan direka bentuk secara berniat jahat—menjadikannya pintu masuk yang ideal untuk serangan lanjutan.

Senarai berfungsi seperti ini sejenis "senarai hitam" di mana pengawal yang memenuhi satu atau lebih ciri berikut digabungkan:

• Kelemahan yang diiktiraf: Pemacu yang kelemahannya boleh dieksploitasi untuk meningkatkan keistimewaan dalam kernel Windows atau perlindungan pintasan.
• Tingkah laku jahat: Pemacu yang menyertakan kod yang boleh menyebabkan kerosakan, memasang perisian hasad atau ditandatangani dengan sijil yang berkaitan dengan perisian hasad.
• Pelanggaran model keselamatan Windows: Pemacu yang, tanpa semestinya berniat jahat, boleh memintas sekatan keselamatan sistem pengendalian.

Pendek kata, senarai sekatan Microsoft bertindak sebagai perisai pencegahan yang menghalang pemandu yang berpotensi berbahaya daripada berlari, walaupun apabila mereka mempunyai tandatangan digital dan pensijilan yang sah. Ini menguatkan salah satu lapisan perlindungan Windows yang paling kritikal, kernel, dan merumitkan kerja penjenayah siber dengan ketara.

Cara senarai sekat berfungsi: cara ia melindungi komputer anda

La Microsoft Vulnerable Driver Blocklist Ia bukan unsur statik, tetapi mekanisme hidup yang sentiasa dikemas kini. Microsoft, dengan kerjasama pengeluar perkakasan (IHV) dan OEM, memantau secara proaktif ekosistem pemacu untuk mengenal pasti dan menyekat komponen yang menimbulkan ancaman.

Apabila pemandu dikenal pasti sebagai terdedah, berniat jahat atau tidak serasi dengan piawaian keselamatan Windows, ia ditambahkan pada senarai dan disekat secara automatik daripada memuatkan pada komputer yang senarai sekatan itu aktif. Ini dilakukan, bergantung pada versi dan konfigurasi sistem, dalam beberapa cara:

• Integriti Memori (HVCI atau Integriti Kod yang Dilindungi Hipervisor): Jika didayakan (secara lalai pada banyak PC Windows 11 baharu), senarai sekatan akan berkuat kuasa dengan menyekat pemacu yang disertakan di dalamnya.
• Mod Selamat: Peranti Windows yang berjalan dalam mod S, yang mempunyai persekitaran yang lebih terkawal dan selamat, turut mendayakan senarai sekatan secara lalai.
• Kawalan Aplikasi dalam Windows Defender (Kawalan Aplikasi untuk Perniagaan): Membenarkan pentadbir menggunakan senarai yang disyorkan melalui dasar keselamatan mereka sendiri.
• Windows Security (apl sistem): Sejak Windows 11 22H2, ciri ini didayakan secara lalai dan boleh diuruskan daripada antara muka Keselamatan Peranti > Pengasingan Teras.

Pemandu mana yang betul-betul menyekat senarai sekatan?

Tidak semua pemandu tertakluk kepada senarai sekatan, hanya mereka yang memenuhi kriteria objektif tertentu yang menjadikannya berpotensi bahaya. Antara sebab paling biasa mengapa pemandu ditambahkan ke senarai ini ialah:

• Kewujudan kelemahan keselamatan diketahui dan didokumentasikan.
• Penggunaannya telah dikesan dalam serangan aktif, termasuk eksploitasi oleh perisian tebusan, perisian hasad atau ancaman berterusan lanjutan.
• Penggunaan sijil yang berkaitan dengan kempen berniat jahat untuk tandatangan digital anda.
• Tingkah laku yang membenarkan memintas model keselamatan Windows, walaupun ia bukan perisian hasad klasik.

Nama lain yang mungkin ada dalam senarai termasuk pemacu lama untuk utiliti cakera, atur cara pengurusan perkakasan lanjutan, perisian virtualisasi, atau malah pemacu untuk peranti persisian tertentu yang keselamatannya telah terjejas.

Kemas Kini dan Sokongan Senarai Sekat

Salah satu kekuatan hebat Microsoft Vulnerable Driver Blocklist ialah Ia adalah senarai hidup dan dikekalkan dari semasa ke semasa. Microsoft mengemas kininya dengan setiap versi utama Windows yang baharu (biasanya sekali atau dua kali setahun dengan kemas kini utama). Selain itu, anda boleh mengeluarkan patch tertentu melalui Kemas Kini Windows atau sebagai muat turun manual sekiranya terdapat ancaman baharu.

Walaupun senarai sekatan menyediakan tahap pertahanan yang sangat tinggi, Pengaktifannya mungkin mempunyai kesan sampingan tertentu pada keserasian dan operasi perkakasan atau perisian. Contohnya, jika pemacu penting untuk peranti tertentu disekat, ia mungkin berhenti berfungsi dengan betul dan, dalam kes yang jarang berlaku, malah menyebabkan skrin biru kematian (BSOD).

Por ello, Microsoft mengesyorkan terlebih dahulu mengesahkan dasar dalam mod audit, menyemak peristiwa penyekatan sebelum memaksa sekatan kekal. Dalam persekitaran perusahaan, ini dilakukan melalui Kawalan Apl dan dasar yang sepadan, membolehkan anda memantau pemacu mana yang akan disekat dan membuat keputusan berdasarkan kes demi kes.

Sebagai peraturan umum, senarai sekatan diperhalusi secukupnya untuk meminimumkan positif palsu dan perlindungan keseimbangan terhadap kemungkinan isu keserasian. Walau bagaimanapun, konflik yang tidak dijangka mungkin berlaku pada sistem dengan perkakasan yang sangat khusus atau perisian yang lebih lama. Dalam kes itu, adalah idea yang baik untuk melaporkan isu ini melalui saluran Microsoft supaya kita boleh membincangkan mengalih keluar atau mengemas kini pemacu yang terjejas.

Bagaimana untuk mendayakan atau melumpuhkan Senarai Sekat Pemacu Rentan Microsoft

Bergantung pada versi Windows dan tetapan peranti, Senarai sekatan boleh didayakan atau dilumpuhkan secara lalai. Sejak keluaran Windows 11 versi 22H2, ciri ini telah didayakan pada semua peranti, tetapi ia masih boleh diurus secara manual.

Terdapat Dua kaedah utama untuk mengawal keadaan senarai sekatan:

• Daripada antara muka Windows Security:
  • Buka apl Windows Security (cari dalam menu Mula).
  • Pergi ke bahagian "Keselamatan Peranti" dan kemudian ke "Pengasingan Teras."
  • Pada skrin itu, dayakan atau lumpuhkan pilihan "Senarai Sekat Pemacu Rentan Microsoft" mengikut kesesuaian.
  • Dalam versi yang lebih lama (Windows 10 atau 11 21H2), pilihan mungkin tidak muncul atau mungkin memerlukan anda mendayakan HVCI terlebih dahulu.
• Menggunakan Windows Registry:
  • Buka editor pendaftaran (regedit.exe).
  • Navigasi ke HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CI\Config.
  • Edit atau cipta nilai DWORD "VulnerableDriverBlocklist", berikannya 1 untuk mendayakan ciri atau 0 untuk melumpuhkannya.

Selepas perubahan, adalah disyorkan untuk memulakan semula komputer anda untuk tetapan berkuat kuasa.

Pengesyoran untuk pengguna dan syarikat

Untuk memanfaatkan sepenuhnya perlindungan yang disediakan oleh Senarai Sekat Pemacu Rentan Microsoft, kedua-dua pengguna rumah dan pentadbir sistem harus mengikuti beberapa langkah mudah: amalan baik:

• Sentiasa pastikan sistem pengendalian dikemas kini sepenuhnya, kerana versi yang lebih baharu selalunya menggabungkan penambahbaikan penting pada senarai sekatan dan perlindungan kernel Windows.
• Semak secara berkala sama ada senarai sekatan itu aktif daripada aplikasi Windows Security (terutamanya selepas kemas kini sistem utama atau perubahan tetapan).
• Dalam persekitaran perusahaan, gunakan dasar Kawalan Apl untuk Perniagaan untuk memastikan bahawa semua peranti mewarisi versi terkini senarai dan memantau isu yang berpotensi sebelum melaksanakan blok kekal.
• Sahkan dasar dalam mod audit dahulu, untuk meminimumkan konflik keserasian dan menyelesaikan kemungkinan positif palsu.
• Nantikan buletin keselamatan Microsoft dan pengeluar perkakasan untuk mengetahui tentang kemungkinan pemacu baharu yang terjejas.
• Serahkan pemacu yang mencurigakan kepada Microsoft Menggunakan alat dan portal rasmi, menyumbang kepada peningkatan berterusan perlindungan global.

Pengurusan lanjutan Senarai Sekat Pemacu Rentan Microsoft: muat turun dan aplikasi manual

Untuk pengguna dan perniagaan lanjutan, Microsoft menawarkan keupayaan untuk Muat turun versi terkini senarai sekatan dalam format binari atau XML daripada portal muat turun anda. Ini berguna dalam senario di mana kawalan maksimum diperlukan atau apabila, atas sebab keselamatan atau pematuhan, anda tidak mahu bergantung semata-mata pada kemas kini automatik.

Prosedur biasa adalah seperti berikut:

1. Muat turun Alat Kemas Kini Dasar App Control.
2. Dapatkan dan ekstrak binari Senarai Sekat Pemandu Terdedah.
3. Pilih fail yang sesuai (audit atau versi yang digunakan) dan namakan semula kepada SiPolicy.p7b.
4. Salin SiPolicy.p7b ke lokasi %windir%\system32\CodeIntegrity.
5. Jalankan alat kemas kini untuk mengaktifkan dan mengemas kini semua dasar Kawalan Apl.

Selepas memulakan semula komputer, anda boleh mengesahkan bahawa dasar itu digunakan dengan betul dengan menyemak peristiwa 3099 dalam Windows Event Viewer, di bawah log CodeIntegrity.

Kesan pada pengalaman pengguna dan isu yang diketahui

Walaupun mempunyai kelebihan, tidak semuanya cerah. Pengurusan senarai sekat boleh menyebabkan sedikit kesulitan untuk pengguna akhir, terutamanya dalam sistem dengan keperluan yang sangat disesuaikan. Masalah yang paling biasa biasanya termasuk:

• Ketidakserasian dengan perkakasan lama atau program lama pembangunannya telah terhenti dan pemandunya tidak dikemas kini untuk memenuhi piawaian keselamatan baharu.
• Kemungkinan positif palsu yang menyekat pemandu yang sah, tetapi luar biasa, yang boleh menyebabkan peranti tidak boleh beroperasi.
• Kes Skrin Biru Kematian (BSOD). jika elemen but penting disekat secara tidak sengaja.

Mengapa senarai sekat itu penting hari ini

Serangan BYOVD, eksploitasi pemandu yang terlupa dan kecanggihan perisian hasad menjadikannya begitu perlindungan teras sistem adalah lebih penting daripada sebelumnya. Penjenayah siber telah membuktikan mereka boleh mengeksploitasi sebarang kelemahan, dan pemandu yang terdedah mewakili salah satu pintu belakang yang paling berbahaya, beroperasi pada tahap yang rendah sehingga mereka boleh melumpuhkan atau memanipulasi hampir mana-mana langkah keselamatan lain.

Strategi Microsoft untuk mengekalkan senarai blok dinamik berpusat yang disambungkan kepada vendor dan komuniti keselamatan adalah tindak balas terbaik terhadap ancaman yang memberi kesan kepada pengguna individu dan organisasi besar.

Memastikan Senarai Sekat Pemacu Rentan Microsoft aktif dan terkini ialah salah satu cara paling mudah dan berkesan untuk mengukuhkan keselamatan Windows dan menjadikannya lebih sukar bagi penjenayah siber. Adalah disyorkan bahawa pentadbir menggunakannya bersama-sama dengan dasar perlindungan lain dan pengguna rumah menyemak tetapan dalam Windows Security secara berkala; Ini dengan ketara meningkatkan perlindungan dan ketenangan fikiran data dan sistem anda.