В Windows 11 (начиная с версии 22H2) появилась продвинутая функция безопасности — Аппаратная защита стека в режиме ядра (Kernel-mode Hardware-enforced Stack Protection). Эта технология призвана поставить заслон перед атаками, эксплуатирующими память, такими как переполнение буфера стека.
Разберемся, как это работает, зачем это нужно системному администратору и какие «подводные камни» могут возникнуть в процессе эксплуатации.
Что такое защита стека на аппаратном уровне?
Большинство современных эксплойтов используют технику ROP (Return-Oriented Programming). Суть проста: злоумышленник переполняет буфер в памяти и перезаписывает адрес возврата функции, чтобы заставить программу выполнить вредоносный код.
Для борьбы с этим Microsoft внедрила технологию Shadow Stacks (Теневые стеки). Работает она следующим образом:
- При вызове функции адрес возврата записывается одновременно в обычный стек и в защищенный «теневой» стек.
- При выходе из функции процессор сверяет оба адреса.
- Если адреса не совпадают (что сигнализирует о попытке взлома), Windows немедленно завершает процесс, предотвращая выполнение кода.
Важно: Эта функция требует поддержки на уровне процессора. Вам понадобятся современные CPU: Intel Tiger Lake или AMD Zen 3 (и новее). Также в BIOS должна быть включена функция виртуализации.
Как включить функцию: пошаговая инструкция
- Откройте Безопасность Windows (Windows Security).
- Перейдите в раздел Безопасность устройства (Device Security) → Изоляция ядра (Core isolation).
- Найдите пункт Аппаратная защита стека в режиме ядра и переключите тумблер в положение Вкл.
- После включения Windows проверит загруженные драйверы на совместимость.
- Если будут найдены конфликтующие драйверы, система предложит их список. Вам нужно будет обновить их или удалить, прежде чем функция заработает.
- Перезагрузите компьютер для вступления изменений в силу.
Возможные проблемы (Troubleshooting)
Несмотря на пользу для безопасности, эта функция может вызвать ряд проблем, типичных для практики системного администрирования:
- Конфликты с античитами: Пользователи сообщают, что включение этой функции часто «ломает» драйверы популярных игр (PUBG, Valorant/Riot Vanguard, Genshin Impact, DayZ).
- Несовместимость старых драйверов: Если вы используете специфическое оборудование со старым софтом, система может заблокировать загрузку таких драйверов.
- Синие экраны (BSOD): В редких случаях несовместимый драйвер, который система не успела заблокировать превентивно, может привести к критическому сбою.
Совет эксперта: Если после включения защиты приложение перестало запускаться или выдает ошибку о несовместимом драйвере, это верный признак того, что разработчикам пора обновить их ПО под современные стандарты безопасности Windows 11.
Оригинал статьи на английском: BleepingComputer
0 коментов:
Отправить комментарий
Оставь комментарий