Это видео глубоко погружает в суть безопасности Windows, показывая 3 критических изменения в реестре, которые активируют изоляцию ядра, даже если несовместимые драйверы не указаны в списке! Если вы видите в списке несовместимые драйверы, ознакомьтесь с нашим руководством, часть 1: [https://youtu.be/eIKSmU7VAfU].
Теперь, во второй части, мы покажем вам:
5 важных мер предосторожности для защиты вашего компьютера перед редактированием реестра (не пропустите этот бонус!)
3 мощных способа взлома реестра для обхода конфликтов драйверов и обеспечения целостности памяти
Расширенные советы и рекомендации по обеспечению надежной безопасности Windows, включая максимально безопасный вход в систему!
Больше никаких разочарований у водителей! Присоединяйтесь к нам, и мы раскроем весь потенциал Core Isolation и защитим ваш компьютер от атак на память. Посмотрите сейчас и ощутите мощь по-настоящему безопасной системы!
Почему несовместимые драйверы не позволяют использовать целостность памяти?
1. https://answers.microsoft.com/en-us/windows/forum/all/can-not-enable-memory-integrity-shows-no/5702e3eb-cbf9-46d7-8757-08ea53a67878
2. https://answers.microsoft.com/en-us/windows/forum/all/windows-11-how-can-i-identify-inсовместимые-drivers/01efdc26-89d6-4f45-96cb-a02cb53c5e94
Временные коды:
00:00 Введение
00:18 Объяснитель
00:40 Проверка целостности памяти
01:30 Реестр мер безопасности Редактировать
02:11 Гипервизор принудительно проверил целостность кода, изменение 1
03:35 Включить предотвращение выполнения данных SystemPropertiesAdvanced.exe
04:23 Функция управления памятьюНастройкиOverride Reg Chg 2
05:02 Аппаратная защита стека в режиме ядра, изменение 3
05:47 **Бонус** Самый безопасный вход в систему!
06:07 Обзор всех изменений фикса
6:37 Завершение
Команды
Аппаратная защита стека в режиме ядра (изменение реестра 1/3)
Компьютер//HKEY_LOCAL_MACHINE//SYSTEM//CurrentControlSet//Control//DeviceGuard//Scenarios//HypervisorEnforcedCodeIntegrity
Включено двойное слово: 00000001
Предотвращение выполнения данных (DEP): это функция безопасности, которая помогает защитить ваш компьютер от вредоносных программ и других атак. Это достигается путем предотвращения выполнения кода из памяти, которая не предназначена для выполнения кода.
SystemPropertiesAdvanced.exe: позволяет управлять DEP через настройки системы.
bcdedit.exe /set {current} nx всегда включен
Установлено всегда включено и не может быть изменено в настройках системы.
bcdedit.exe /set {current} nx OptIn
Это снова включит способность SystemPropertiesAdvanced.exe управлять DEP.
Защищенный ядром режим (KPM) Переопределение настроек функций (изменение реестра 2/3)
Компьютер//HKEY_LOCAL_MACHINE//SYSTEM//CurrentControlSet//Control//Менеджер сеансов//Управление памятью
ВозможностиНастройкиПереопределить dword:00000009
Функция защищенного режима ядра (KPM) защищает ядро от вредоносных атак. KPM — это более старая функция, использующая программное обеспечение, не позволяющее злоумышленникам модифицировать ядро. Это достигается путем создания отдельного пространства памяти для ядра, предотвращая доступ программ пользовательского режима. KPM могут обойти злоумышленники, имеющие доступ к самому ядру.
Разница между значениями 3 и 9 для функций KPM переопределяет значения DWORD: 3 включает все функции защищенного режима ядра, за исключением бита NX, а 9 включает все функции защищенного режима ядра, включая бит NX. Бит NX предотвращает выполнение кода из памяти, помеченной как неисполняемая.
Бит NX (бит No Execute) предотвращает выполнение кода из памяти, помеченной как неисполняемая. Это защищает систему от атак вредоносного ПО, использующих уязвимости переполнения буфера.
Установка значения 9 обеспечивает дополнительный уровень безопасности, предотвращая выполнение вредоносным ПО кода из памяти, помеченного как неисполняемый. Это также может оказать негативное влияние на производительность. Если вас больше волнует производительность, то установка значения 3 может оказаться более подходящим.
Защита целостности памяти с изоляцией ядра (изменение реестра 3/3)
Компьютер//HKEY_LOCAL_MACHINE//SYSTEM//CurrentControlSet//Control//DeviceGuard//Сценарии//KernelShadowStacks
Включено двойное слово: 00000001
WasEnabledПо dword:00000001
При загрузке проверяется значение реестра /WasEnabledBy/, чтобы определить, следует ли включить целостность памяти. Значение 1 или 2 включит его. Сбой загрузки не приведет к отключению целостности памяти, если значение не равно 1 и система не обнаружит проблему с целостностью памяти. Если значение равно 2, система не отключит целостность памяти, даже если обнаружит проблему с целостностью памяти, которая может усложнить загрузку с ошибочным драйвером.
Аппаратная защита стека в режиме ядра (KMHESP) защищает ядро от вредоносных атак. KMHESP — это новая функция, которая использует аппаратную поддержку, чтобы не дать злоумышленникам изменить стек (память, используемую ядром для хранения временных данных). Усложняет злоумышленникам использование уязвимостей переполнения буфера стека. Распространенный способ атаки на ядро. Будучи основанным на аппаратном обеспечении, он более совершенен, чем KPM, но не полностью совместим со всем оборудованием.
#KernelMode #StackProtection #WindowsSecurity #MemoryIntegrity #CoreIsolation
Пожалуйста, воспользуйтесь возможностью подключиться и поделиться этим видео со своими друзьями и семьей, если вы считаете его полезным.
No Comments