Бесплатно Экспресс-аудит сайта:

30.03.2022

Новая функция безопасности Windows блокирует уязвимые драйверы

Microsoft предоставила пользователям Windows возможность блокировать драйверы с уязвимостями с помощью Windows Defender Application Control (WDAC) и «черного списка» уязвимых драйверов.

Новая опция является частью набора функций безопасности Core Isolation для устройств, использующих безопасность на основе виртуализации. Функция работает на устройствах под управлением Windows 10, Windows 11 и Windows Server 2016 и более поздних версий с включенной функцией Hypervisor-Protected Code Integrity (HVCI), а также на системах под управлением Windows 10 в S-режиме.

Программный уровень безопасности WDAC, который блокирует уязвимые драйверы, защищает системы Windows от потенциально вредоносного программного обеспечения, гарантируя запуск только надежных драйверов и приложений.

«Черный список» уязвимых драйверов, используемый новой защитной опцией Windows, обновляется с помощью независимых поставщиков оборудования (IHV) и производителей оригинального оборудования (OEM).

WDAC защищает Windows-системы от драйверов, разработанных сторонними производителями, с любым из следующих атрибутов:

  • Известные уязвимости в системе безопасности, которые злоумышленники могут использовать для повышения привилегий в ядре Windows.

  • Вредоносное поведение (вредоносное ПО) или сертификаты, используемые для подписи вредоносного ПО.

  • Действия, которые не являются вредоносными, но обходят модель безопасности Windows и могут быть использованы злоумышленниками для повышения привилегий в ядре Windows.

Параметр «Черный список уязвимых драйверов Microsoft» можно включить в разделе «Безопасность Windows» > «Безопасность устройства» > «Изоляция ядра». После включения он блокирует определенные драйверы на основе их хэша SHA256, атрибутов файла, таких как имя файла и номер версии, или сертификата подписи кода, используемого для подписи драйвера.