Новая функция безопасности в Microsoft Defender защищает от вредоносных и уязвимых драйверов

Новая функция «Список блокировки уязвимых драйверов» (Microsoft Vulnerable Driver Blocklist) была анонсирована Дэвидом Уэстоном (David Weston), директором по корпоративной безопасности и безопасности ОС Microsoft, в твиттере. Она по умолчанию включена на устройства Windows 10 в S-режиме, а также на устройствах с включенной защитой целостности памяти на основе гипервизора, которая является функцией изоляцией ядра.

Защита целостности кода или Hypervisor-protected code integrity (HVCI) использует технологию виртуализации Microsoft под названием Hyper-V для защиты процессов режима ядра против инъекций вредоносного кода. Когда новый функционал поставлялся в текущие системы, он не был активен, но включался на новых установках Windows.

Некоторые пользователи сообщали о проблемах при включении HVCI, причем отключение технологии, как правило, исправляло ошибки.

Основная идея новой защитной функции заключается в поддержании списка драйверов, которые будут заблокированы Защитником Windows, если драйверы соответствуют хотя бы одному из следующих критериев:

• Известные уязвимости в системе безопасности, которые злоумышленники могут использовать для повышения привилегий в ядре Windows.
• Вредоносное поведение (вредоносное ПО) или сертификаты, используемые для подписи вредоносного ПО
• Действия, которые не являются вредоносными, но обходят модель безопасности Windows и могут быть использованы злоумышленниками для повышения привилегий в ядре Windows.

Microsoft сотрудничает с поставщиками оборудования и OEM-производителями для формирования списка блокировки. Подозрительные драйверы могут быть отправлены в Microsoft для анализа, а производители могут запросить внесение изменений в драйверы, которые находятся в черном списке.

Устройства, работающие под управлением Windows 10 в S-режиме, и устройства с включенным HVCI защищают от этих угроз безопасности после развертывания этой функции на устройствах.

Как включить защиту от уязвимых драйверов

Администраторы Windows могут включить необходимое условие целостности памяти на устройствах Windows без S-режима, следующим образом:

• Перейдите в Пуск > Параметры или используйте сочетание клавиш Windows-I, чтобы открыть приложение «Параметры».
• В Windows 10 перейдите в раздел Обновление и безопасность > Безопасность Windows. Выберите Открыть службу «Безопасность Windows».
• В Windows 11 перейдите в раздел Конфиденциальность и защита > Безопасность Windows > Открыть службу «Безопасность Windows».
• Выберите Безопасность устройства на боковой панели слева.
• Нажмите ссылку Сведения об изоляции ядра.
• Установите для параметра Целостность памяти значение Вкл., чтобы включить эту функцию.
• Перезагрузите устройство.

Администраторы Windows увидят новый черный список уязвимых драйверов Майкрософт на странице изоляции ядра в приложении «Безопасность Windows», как только эта функция станет доступной. Эту функцию можно включать и выключать, а также управлять ею с помощью других средств. Дэвид Уэстон отмечает, при включении функции создается более агрессивный черный список.

Microsoft рекомендует включать HVCI или использовать S-режим, но администраторы также могут блокировать драйверы в списке с помощью существующей политики управления приложениями Защитника Windows. В документации указан XML-файл, содержащий готовые к использованию заблокированные драйверы.