Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Примечание.
Некоторые возможности управления приложениями для бизнеса доступны только в определенных версиях Windows. Дополнительные сведения о доступности функций управления приложениями.
Корпорация Майкрософт предъявляет строгие требования к коду, выполняемму в ядре. Таким образом, злоумышленники обращаются к уязвимостям в допустимых и подписанных драйверах ядра для запуска вредоносных программ в ядре. Одной из сильных сторон платформы Windows является тесное сотрудничество с независимыми поставщиками оборудования (IHV) и изготовителями оборудования. Корпорация Майкрософт тесно сотрудничает с нашими IHV и сообществом по безопасности, чтобы обеспечить наивысший уровень безопасности драйверов для наших клиентов. При обнаружении уязвимостей в драйверах мы сотрудничаем с нашими партнерами, чтобы обеспечить их быстрое исправление и развертывание в экосистеме. Список блокировок уязвимых драйверов предназначен для защиты систем от драйверов, не разработанных корпорацией Майкрософт, в экосистеме Windows с любым из следующих атрибутов:
- Известные уязвимости системы безопасности, которые могут быть использованы злоумышленниками для повышения привилегий в ядре Windows
- Вредоносное поведение (вредоносная программа) или сертификаты, используемые для подписывания вредоносных программ
- Поведение, которое не является вредоносным, но обходит модель Безопасность Windows и может быть использовано злоумышленниками для повышения привилегий в ядре Windows
Драйверы можно отправить в корпорацию Майкрософт для анализа безопасности на странице отправки драйверов портал для обнаружения угроз (Microsoft). Дополнительные сведения об отправке драйверов см. в статье Повышение безопасности ядра с помощью нового центра отчетов о уязвимых и вредоносных драйверах Майкрософт. Чтобы сообщить о проблеме или запросить изменение в списке блокировок, включая обновление правила блокировки после исправления драйвера, посетите портал портал для обнаружения угроз (Microsoft).
Примечание.
Блокировка драйверов может привести к сбоям устройств или программного обеспечения, а в редких случаях — к синему экрану. Список блокировки уязвимых драйверов не гарантирует блокировку каждого драйвера, обнаруженного с уязвимостями. Корпорация Майкрософт пытается сбалансировать риски безопасности, связанные с уязвимыми драйверами, и потенциально повлиять на совместимость и надежность создания списка блокировок. Как всегда, корпорация Майкрософт рекомендует использовать явный подход к списку разрешений для обеспечения безопасности везде, где это возможно.
Список блокировок уязвимых драйверов Майкрософт
При обновлении Windows 11 2022 список блокировки уязвимых драйверов включен по умолчанию для всех устройств и может быть включен или выключен с помощью приложения Безопасность Windows. За исключением Windows Server 2016, список блокировки уязвимых драйверов также применяется, если активен режим целостности памяти (также известный как целостность кода, защищенная гипервизором или HVCI), интеллектуальное управление приложениями или S-режим. Пользователи могут согласиться на HVCI с помощью приложения Безопасность Windows, а HVCI включен по умолчанию для большинства новых Windows 11 устройств.
Примечание.
Безопасность Windows обновляется отдельно от ОС и поставляется в комплекте. Версия с уязвимым переключателем списка блокировок драйверов находится в окончательном кольце проверки и будет отправлена всем клиентам очень скоро. Изначально вы сможете просматривать только состояние конфигурации, и переключатель будет отображаться серым цветом. Возможность включения или выключения переключателя будет доступна в будущем обновлении Windows.
Для участников программы предварительной оценки Windows параметр включения или отключения списка блокировки уязвимых драйверов Майкрософт с помощью параметров Безопасность Windows неактивен при включении HVCI, интеллектуального управления приложениями или S-режима. Необходимо отключить HVCI или интеллектуальное управление приложениями или выключить устройство из S-режима и перезапустить устройство, прежде чем вы сможете отключить список заблокированных драйверов Майкрософт.
Список блокировок обновляется с каждым новым крупным выпуском Windows, как правило, 1–2 раза в год. Самый актуальный список блокировок теперь также доступен для пользователей Windows 10 20H2 и Windows 11 21H2 в качестве дополнительного обновления с клиентский компонент Центра обновления Windows. Корпорация Майкрософт будет периодически публиковать будущие обновления за счет регулярного обслуживания Windows.
Клиенты, которым всегда нужен самый актуальный список блокировок драйверов, также могут использовать элемент управления приложениями для бизнеса, чтобы применить последний рекомендуемый список блокировок драйверов. Для вашего удобства мы предоставляем скачивание наиболее актуального списка блокировок уязвимых драйверов, а также инструкции по его применению на вашем компьютере в конце этой статьи.
Блокировка уязвимых драйверов с помощью элемента управления приложениями
Корпорация Майкрософт рекомендует включить HVCI или S-режим для защиты устройств от угроз безопасности. Если этот параметр невозможен, корпорация Майкрософт рекомендует заблокировать этот список драйверов в рамках существующей политики Управления приложениями для бизнеса. Блокировка драйверов ядра без достаточного тестирования может привести к неисправности устройств или программного обеспечения, а в редких случаях — к синему экрану. Рекомендуется сначала проверить эту политику в режиме аудита и просмотреть события блока аудита.
Важно.
Корпорация Майкрософт также рекомендует включить правило сокращения направлений атаки (ASR) Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами , чтобы предотвратить запись приложения на диск уязвимого подписанного драйвера. Правило ASR не блокирует загрузку уже существующего в системе драйвера, однако включение списка блокировки уязвимых драйверов Майкрософт или применение этой политики управления приложениями помешает загрузке существующего драйвера.
Действия по скачиванию и применению двоичного файла списка заблокированных драйверов
Если вы предпочитаете применить список блокировок уязвимых драйверов, выполните следующие действия.
- Скачивание средства обновления политики элемента управления приложениями
- Скачивание и извлечение двоичных файлов списка блокировок уязвимых драйверов
- Выберите версию только аудита или принудительно и переименуйте файл в SiPolicy.p7b.
- Скопируйте SiPolicy.p7b в папку %windir%\system32\CodeIntegrity
- Запустите средство обновления политики элемента управления приложениями, скачаемое на шаге 1 выше, чтобы активировать и обновить все политики управления приложениями на компьютере.
Чтобы проверка, что политика успешно применена на компьютере, выполните следующие действия:
- Откройте средство просмотра событий
- Перейдите к журналам приложений и служб — Microsoft — Windows — CodeIntegrity — Operational
- Выберите Фильтр текущего журнала...
- Замените "<Все идентификаторы> событий" на "3099" и нажмите кнопку ОК.
- Найдите событие 3099, в котором значения PolicyNameBuffer и PolicyIdBuffer соответствуют параметрам Name и Id PolicyInfo, которые находятся в нижней части XML-кода политики управления приложениями списка приложений. ПРИМЕЧАНИЕ. На компьютере может быть несколько событий 3099, если также присутствуют другие политики управления приложениями.
Примечание.
Если уже запущены какие-либо уязвимые драйверы, которые будут заблокированы политикой, необходимо перезагрузить компьютер, чтобы эти драйверы были заблокированы. Выполнение процессов не завершается при активации новой политики управления приложениями без перезагрузки.
XML-файл списка блокировок уязвимых драйверов
Рекомендуемый xml-файл политики списка блокировок можно скачать из Центра загрузки Майкрософт.
Эта политика содержит правила Разрешить все . Если ваша версия Windows поддерживает несколько политик управления приложениями, рекомендуется развернуть эту политику вместе с существующими политиками управления приложениями. Если вы планируете объединить эту политику с другой политикой, может потребоваться удалить правила Разрешить все , прежде чем объединять их, если другая политика применяет явный список разрешений. Дополнительные сведения см. в разделе Создание политики запрета элемента управления приложениями.
Примечание.
Чтобы использовать эту политику с Windows Server 2016, необходимо преобразовать XML-код политики на устройстве под управлением более новой операционной системы.