Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Şunun için geçerlidir: Windows Server 2025
Donanım Destekli Yığın Koruması güvenlik özelliği, kullanıcı modu işlemlerini korumak ve Windows 10'da yığının ele geçirilmesini önlemeye yardımcı olmak amacıyla tanıtılmıştır. Donanım destekli Stack Protection artık dönüş odaklı programlama tabanlı saldırılara (ROP) karşı koruma sağlayan Çekirdek Modu'ndaki yığınlara kadar genişletildi. ROP, saldırganların bir programın yürütme akışını ele geçirmesinin ve saldırgan tarafından istenen kodu yürütmek için saldırı zincirine devam etmelerinin yaygın bir yoludur.
Artık kullanıcı modu yığınları korunduğuna ve çekirdek modu kodundan dönüş adresi değişikliğini önlediğine göre saldırganlar bellek güvenliği güvenlik açıklarından yararlanamaz. Müşteriler, Çekirdek Modu Donanım Tabanlı Stack Koruma'nın virüs ve kötü amaçlı yazılım ile ilişkili sürücülerin kötü niyetli yüklerini yürütmesini nasıl engellediğini görmeye başladılar.
Donanım Zorlamalı Çekirdek Modu Yığın Koruması varsayılan olarak devre dışıdır, ancak önkoşullar karşılanırsa kullanıcılar bu özelliği etkinleştirebilir. Bu makale, Çekirdek Modu Donanım Destekli Yığın Koruması hakkında daha fazla bilgi sunar ve bu özelliğin Windows Güvenlik Uygulaması'nda ve Grup İlkesi aracılığıyla nasıl etkinleştirilebileceğini gösterir.
Önkoşullar
- Windows 11 2022 güncelleştirmesi veya daha yenisi
- Windows Güvenliği uygulaması sürüm 1000.25330.0.9000 veya üzeri
- Intel Denetim Akışı Zorlama Teknolojisini (CET) veya AMD Gölge Yığınlarını destekleyen donanım.
- Intel, 11. Nesil Intel Core Mobil işlemciler ve AMD Zen 3 Core (ve daha yenisi) için.
- Sanallaştırma tabanlı güvenlik (VBS) ve Hiper yönetici tarafından zorlanan kod bütünlüğü (HVCI) etkinleştirilir.
Denetim akışının bütünlüğünü zorlamak için gölge yığınları kullanma
Çekirdek modu Donanım tarafından zorlanan Yığın Koruması ile, tüm çekirdek yığınlarının denetim akışının bütünlüğünü zorlamak için karşılık gelen bir gölge yığını vardır. Saldırganlar bir bellek güvenliği güvenlik açığından yararlanırsa, sonraki adımları bir programın denetim akışını saldırganın istenen konumuna yönlendirmektir.
Gölge yığınlar, kontrol akışı kaçırmalarına karşı koruma sağlar. Windows, dolaylı çağrılarda bütünlüğü sağlamak için Kontrol Akışı Koruyucusu'nu ve dönüşlerde bütünlüğü sağlamak için Donanım Destekli Yığın Koruması'nı kullanarak, programın yürütme akışını yeniden yönlendirmeyi hedefleyen açıklardan yararlanmalara karşı koruma sağlar. Denetim Flow Guard, güvenliği aşılmış bir dolaylı çağrının denetim akışını rastgele konumlara yönlendirmesini önlemek için geçerli atlama hedeflerine açıklama eklemek için bir bit eşlem kullanır.
Gölge yığın, tüm çağrı yığınları için (donanım korumalı) bir ikincil yığın tutar ve bir CALL veya RET yönergesi yığına her değer gönderse veya bu değeri ortaya çıkarsa, buna karşılık gelen bir giriş gölge yığında yer alır. İade adresi uyuşmazlığı oluştuğunda, sistem istenmeyen program denetim davranışını önlemek için mavi bir ekran tetikler.
Daha fazla bilgi için Donanım tarafından zorlanan Stack Protection'ı anlama başlıklı blog gönderisine bakın.
Windows Güvenliği'nde Çekirdek modu Donanım destekli Yığın Korumasını etkinleştirme
Virtualization-Based Güvenliği (VBS) ve Hiper Yönetici tarafından uygulanmış Kod Bütünlüğü (HVCI), Çekirdek modu Donanım Destekli Yığın Koruması için önkoşuldur; devam etmeden önce bu özelliklerin etkin olduklarından emin olmalısınız. Bunlar, en düşük donanım gereksinimlerini karşılayan Windows sistemlerinde otomatik olarak kullanılabilir.
AŞAĞıDAKI adımlarla VBS ve HVCI'yi etkinleştirin:
Windows Güvenliği uygulamasını açın.
Cihaz Güvenlik > Çekirdeği yalıtım ayrıntıları > Bellek bütünlüğü'ne gidin.
Özelliği Açık konuma getirin.
Bu değişikliği yaptıktan sonra cihazınızı yeniden başlatmanız gerekir.
Çekirdek modu donanım destekli yığın korumasını açın.
Windows Güvenliği uygulamasını açın.
Cihaz Güvenlik > Çekirdeği yalıtım ayrıntıları > Çekirdek modu Donanım tarafından zorlanan Yığın Koruması'na gidin.
Özelliği Açık konuma getirin.
Yerel Grup İlkesi Düzenleyicisi'nde Çekirdek modunda donanım destekli yığın korumasını etkinleştir
Kurumsal müşteriler için Donanım Destekli Çekirdek Modu Yığın Koruması, Grup Politikası kullanılarak etkinleştirilebilir.
Yerel Grup İlkesi Düzenleyicisi'ni açın.
Bilgisayar Yapılandırması > Yönetim Şablonları > Sistem > Cihaz Koruması > Sanallaştırma Tabanlı Güvenlik'i açın'a gidin.
Sanallaştırma Tabanlı Güvenliğin Etkin olduğunu onaylayın.
Seçenekler'in altında Çekirdek modu Donanım tarafından zorlanan Stack Protection'ı bulun. Zorlama modunda etkin'i seçin.
seçin, sonra daUygula'yı seçin. O zaman tamam.
Uyumsuz sürücüler
Henüz uyumlu olmayan küçük bir sürücü kümesi vardır. Denetim akışı ilkelerine ulaşmak için dönüş adreslerini ele geçirme gibi kötü amaçlı olabilecek davranışlar sergileyen sürücüler uyumlu değildir ve çekirdek modu donanım tarafından zorlanan yığın koruması için güvenlik açığı olan sürücü blok listesine eklenir. Gölge yığın uyumlu bir şekilde kod gizleme gerçekleştirmek için sürücü satıcılarıyla çalıştıktan sonra bu sürücülere izin verilir.
İyi bir kullanıcı deneyimi sağlamak ve mavi ekranlarla karşılaşmaktan kaçınmak için Windows, çekirdek modunda donanım tarafından zorlanan yığın koruması için bilinen uyumsuz sürücüler için bir blok listesi tutar. Bunlar, çekirdekteki dönüş adreslerini ele geçirmesi bilinen sürücülerdir. Bu özellik etkinleştirildiğinde, sürücünün yüklenmesi engellenir (dönüş adresi ele geçirme girişimi olduğunda mavi ekranla karşılaşmak yerine). Ayrıca, sistemde zaten blok listesinde yüklü bir sürücü varsa, bu özellik etkinleştirilemez. İlişkili sürücüyü kaldırarak bu özelliği etkinleştirebilirsiniz.
Uyumsuz sürücüleri gözden geçirme
Uyumsuzluklar çözümleninceye kadar, sürücü satıcısının güncelleştirilmiş bir sürümüyle veya sürücüyü yükleyen uygulama kaldırılana kadar özellik etkinleştirilemiyor. Uyumsuz sürücülerin listesini görmek için "Uyumsuz sürücüleri gözden geçir" seçeneğini belirleyin.
Bazı uygulamalar, Çekirdek modunda Donanım destekli Yığın Koruması ile uyumlu olmayan sürücüler kullanır. Örneğin, IP'yi korumak ve kontrol akışını karartmak için kullanılan, gölge yığınlarla uyumlu olmayan gizleme motorlarını kullanan uygulamalar. Güvenli olmayan sürücü bu güvenlik özelliği etkinken yüklemeyi denediğinde "Bu cihaza bir sürücü yüklenemiyor" diyen bir istem görürsünüz.
İsteğe bağlı olarak güvenlik özelliğini devre dışı bırakabilirsiniz, ancak bunu yapmak cihazınızın güvenliğini düşürebilir. Windows Güvenliği uygulamasında bu özelliği istediğiniz zaman yeniden etkinleştirebilirsiniz.