Microsoft Kwetsbare Driver Blocklist: Volledige Gids

In de wereld van cybersecurity, de kernel van het besturingssysteem beschermen Windows Het is een van de belangrijkste prioriteiten voor zowel thuisgebruikers als bedrijven. In de loop der jaren heeft Microsoft steeds geavanceerdere mechanismen geïmplementeerd om de kernel tegen bedreigingen te beschermen, maar aanvallers blijven toegangspunten zoeken om geprivilegieerde code uit te voeren. Een van de gevaarlijkste – en steeds vaker voorkomende – methoden is het misbruiken van kwetsbaarheden in de drivers die op het systeem zijn geladen. Veel van deze drivers zijn legitiem en digitaal ondertekend, maar bevatten beveiligingslekken die kunnen worden uitgebuit.

Om deze realiteit aan te pakken, heeft Microsoft de zogenaamde Microsoft Vulnerable Driver Blocklist, bedoeld om de uitvoering van gevaarlijke drivers in de Windows-kernel te voorkomen. Deze functie, die steeds vaker voorkomt en standaard is ingeschakeld in de nieuwste versies van het besturingssysteem, vormt een belangrijk onderdeel van het beschermingsecosysteem dat bestaat uit Windows Defender en andere geavanceerde beveiligingsbeleidsregels.

Wat is de Microsoft Vulnerable Driver Blocklist?

La Microsoft-blokkeringslijst met kwetsbare stuurprogramma's Het is een verdedigingsmechanisme dat ervoor moet zorgen dat bepaalde stuurprogramma's, waarvan is vastgesteld dat ze mogelijk onveilig zijn of een direct gevaar vormen voor de integriteit van het systeem, niet in de Windows-kernel worden uitgevoerd. Deze drivers zijn doorgaans correct ondertekend en gedistribueerd door betrouwbare fabrikanten, maar ze kunnen soms kwetsbaarheden opleveren die door schadelijke software kunnen worden misbruikt om hogere rechten te verkrijgen, beveiligingssystemen te omzeilen of de normale werking van de machine in gevaar te brengen.

Microsoft onderhoudt en actualiseert deze lijst in samenwerking met fabrikanten van hardware (IHV en OEM) en met de beveiligingsgemeenschap, zodat er altijd bestuurders bij betrokken zijn waarvan de uitbuiting een reële bedreiging vormt. De belangrijkste functie is het automatisch blokkeren van de uitvoering van deze drivers om te voorkomen dat privilege-escalatie, de introductie van rootkits of de manipulatie van antimalwaretools plaatsvindt..

Waarom is een driver-blokkeringslijst nodig?

Aanvallers hebben allang ontdekt dat het niet altijd nodig is om een ​​aanval te ontwikkelen malware vanaf nul om controle te krijgen over het systeem op laag niveau. De techniek die bekendstaat als Bring Your Own Vulnerable Driver (BYOVD) maakt misbruik van het bestaan ​​van legitieme drivers met beveiligingslekken om geavanceerde bedreigingen te verspreiden.. Cybercriminelen kunnen vervolgens een kwetsbare driver (vaak oud, maar nog steeds ondertekend) installeren en laden en deze vervolgens misbruiken om toegang te krijgen tot interne bronnen van het besturingssysteem, antivirussoftware uit te schakelen, inloggegevens te achterhalen of rootkits te installeren.

Deze manoeuvres zijn zelfs gezien bij ransomware-operaties en gerichte aanvallen op grote bedrijven. Microsoft heeft vastgesteld dat deze techniek systematisch wordt gebruikt door zowel geavanceerde cybercriminelen als ontwikkelaars van basis-malware., wat de noodzaak onderstreept van een mechanisme dat controleert en beperkt welke drivers in de meest kritieke omgeving van het systeem kunnen worden uitgevoerd.

Samenwerking tussen Microsoft en fabrikanten om gevaarlijke drivers te identificeren

Een van de sterkste verdedigingspunten van Microsoft ligt in de directe samenwerking met grote hardwarefabrikanten en onafhankelijke softwareleveranciers. Wanneer er een kwetsbaarheid in een driver wordt ontdekt, werkt Microsoft samen met de fabrikant om deze zo snel mogelijk te informeren, de driver indien van toepassing toe te voegen aan de blokkeerlijst en de release van een update of patch te coördineren die het probleem oplost.. Hiermee worden enerzijds gebruikers beschermd tegen het uitvoeren van het kwetsbare stuurprogramma en anderzijds wordt ervoor gezorgd dat nieuwe, verbeterde versies veilig worden verspreid in het Windows-ecosysteem.

Ontwikkelaars en fabrikanten kunnen verdachte drivers rechtstreeks naar Microsoft sturen voor een beveiligingsanalyse. Ook kunnen ze patches en wijzigingen aanvragen als een driver na een update is hersteld. Het bedrijf biedt specifieke bronnen en kanalen voor het melden van incidenten, waardoor nieuwe drivers sneller worden gedetecteerd en aan de lijst kunnen worden toegevoegd..

Welke soorten bestuurders crashen?

Het beleid van Microsoft voor het bepalen welke drivers in deze lijst moeten worden opgenomen, is gebaseerd op het detecteren van drivers die aan ten minste één van de volgende criteria voldoen:

• Ze vertonen bekende beveiligingskwetsbaarheden die kunnen worden misbruikt om privileges te verhogen of de integriteit van de Windows-kernel in gevaar te brengen.
• Ze vertonen kwaadaardig gedrag, zoals het verspreiden van malware, rootkits of schadelijke software.
• Ze omvatten digitale handtekeningcertificaten die worden gebruikt om malware te ondertekenen of gereedschappen van hacking.
• Ze hanteren praktijken die het Windows-beveiligingsmodel omzeilen, hoewel niet strikt schadelijk, kan door aanvallers worden misbruikt om buitensporige controle over het systeem te krijgen.

Dankzij deze aanpak beschermt de lijst niet alleen tegen actieve kwetsbaarheden, maar ook tegen de volledige aanvalsketen op basis van verouderde of onvoldoende beveiligde drivers.. Als een driver in de lijst voorkomt, blokkeert het besturingssysteem het laden en uitvoeren ervan. Zo wordt voorkomen dat malware deze driver kan misbruiken.

Blocklist Evolution: Integratie en Updates

La Microsoft's blokkeerlijst met kwetsbare drivers Het is geleidelijk geïntegreerd in alle moderne versies van Windows. Sinds Windows 1809 versie 10 begon het als een optionele functie voor gebruikers en omgevingen die geavanceerde technologieën zoals Hypervisor Protected Code Integrity (HVCI) of de zogenaamde S-modus mogelijk maakten. Met de komst van Windows 11 en vooral sinds de 22H2 update is het standaard ingeschakeld op alle ondersteunde apparaten.

Dit betekent dat Alle gebruikers van Windows 11 22H2 (en hoger) hebben automatisch blokkeringslijstbeveiliging, zonder dat u enige aanvullende configuratie hoeft te doen.. Voor oudere versies of op Windows 10 is de activering van de lijst afhankelijk van de ingeschakelde beveiligingsfunctie, bijvoorbeeld Smart App Control, S-modus of HVCI. Deze kan echter ook handmatig worden toegevoegd via optionele updates. Windows update.

Hoe vaak wordt de blokkeerlijst bijgewerkt en hoe worden nieuwe functies verspreid?

Microsoft werkt de lijst met geblokkeerde drivers bij bij elke nieuwe hoofdversie van Windows., meestal een of twee keer per jaar, maar er kunnen ook extra updates worden geïnstalleerd via standaardonderhoud van het besturingssysteem. De nieuwste versies van de blokkeringslijst worden gelijktijdig verspreid als optionele Windows Update-updates voor gebruikers van Windows 10 (vanaf versie 20H2) en Windows 11 (21H2 en later).

Als een beheerder er echter zeker van wil zijn dat hij altijd beschermd is met de meest recente versie van de blokkeerlijst, heeft hij hulpmiddelen zoals App-beheer voor bedrijven, waarmee u de bijgewerkte lijst met geblokkeerde drivers kunt toepassen, nog voordat deze via de standaardupdate binnenkomt. Microsoft publiceert ook downloads bijgewerkte bestandshandleidingen, samen met gedetailleerde instructies voor de implementatie ervan.

Hoe gebruikersbescherming werkt: integratie met Windows Defender en App Control

La blokkeerlijst integreert de werking ervan met andere verdedigingsmaatregelen van Windows, in het bijzonder met Windows Defender en App Control. In het geval van Defender voert het systeem een ​​grondige controle uit op de drivers die u wilt installeren, beoordeelt of ze op de zwarte lijst staan ​​en blokkeert indien nodig de uitvoering ervan en geeft waarschuwingen weer in het Windows Beveiligingscentrum.

Met App Control voor Bedrijven kunnen beheerders de Microsoft-blokkeerlijst afdwingen met behulp van beveiligingsbeleid.. Hoewel het een geavanceerde optie is die speciaal is gericht op bedrijven en professionele omgevingen, is het zeer nuttig voor het handhaven van een consistente verdediging in de volledige IT-infrastructuur. Als het niet mogelijk is om bepaalde functies te activeren, zoals de S-modus of HVCI, raadt Microsoft specifiek aan om de lijst met gevaarlijke drivers te blokkeren door gebruik te maken van App Control, hoewel het raadzaam is om het beleid eerst in de auditmodus te testen om incompatibiliteiten of het onbedoeld blokkeren van kritieke apparaten te voorkomen.

Stap voor stap: handmatig de blokkeringslijst downloaden en toepassen

Voor gebruikers of beheerders die er zeker van willen zijn dat ze over de meest recente versie van het vergrendelingsbestand beschikken, biedt Microsoft een handmatige procedure. Het proces omvat doorgaans het downloaden van de App Control Policy Update Tool, het verkrijgen van de binaire bestanden van de blokkeringslijst en het hernoemen van het beleidsbestand naar SiPolicy.p7b, kopieer het naar de directory %windir%\system32\CodeIntegrity en voer de update uit om het nieuwe beleid te activeren. Op deze manier wordt elke poging om een ​​driver te laden die als kwetsbaar is aangemerkt, automatisch door het systeem gestopt.

Om te controleren of het beleid operationeel is, opent u eenvoudigweg de Logboeken, gaat u naar het gebeurtenislogboek en Microsoft – Windows – CodeIntegrity – Operationeel en filter op gebeurtenis-ID 3099. Daar kunt u de details van het toegepaste beleid controleren en bevestigen dat het overeenkomt met de meest recente versie.

Kan het blokkeren van drivers compatibiliteitsproblemen veroorzaken?

Een van de meestgestelde vragen over deze beveiligingsfunctie is of het noodzakelijke drivers kan blokkeren en systeemstoringen kan veroorzaken. Het antwoord is dat, hoewel de lijst zorgvuldig is samengesteld om conflicten tot een minimum te beperken, er een mogelijkheid bestaat dat in zeer specifieke gevallen het blokkeren van een driver ervoor kan zorgen dat bepaalde hardware of software niet goed werkt., of zelfs een blauw scherm veroorzaken (BSOD).

Daarom raadt Microsoft systeembeheerders aan het beleid toe te passen en te testen, met name in de auditmodus, voordat het volledig wordt ingeschakeld. Controleer blokkerende gebeurtenissen om verstoring van essentiële werkcomponenten uit te sluiten.

Hoe u de blokkeerlijst in Windows-beveiliging in- of uitschakelt

In nieuwere versies van het besturingssysteem is het beheren van de functie eenvoudiger dan ooit. Open eenvoudigweg de Windows-beveiligingsapp, ga naar 'Apparaatbeveiliging' en ga naar het gedeelte 'Kernelisolatie'..

Daar ziet de gebruiker de optie om de Microsoft's blokkeerlijst met kwetsbare drivers. Wijzig eenvoudigweg de status naar wens en start het apparaat opnieuw op om de wijzigingen door te voeren. Dit proces is identiek in Windows 11 22H2 en hoger; In oudere versies kan het nodig zijn om de functie Geheugenintegriteit of HVCI aanvullend in te schakelen om bescherming te bieden.

Link naar aanvalsoppervlakreductie (ASR)

Kernelverdediging is niet alleen gebaseerd op de driver-bloklijst, maar maakt deel uit van een breder raamwerk genaamd Vermindering van aanvalsoppervlak (ASR), dat een reeks regels omvat die zijn ontworpen om de mogelijkheden voor misbruik door malware en hackers tot een minimum te beperken. Een van de meest aanbevolen ASR-regels die standaard is ingeschakeld in veel omgevingen, is precies de regel die misbruik van kwetsbare ondertekende drivers blokkeert.

Het ASR-regelsysteem is geïntegreerd in Microsoft Defender voor Eindpunt en stelt u in staat om beleid in te stellen om de eindgebruiker te blokkeren, te controleren of te waarschuwen. Elke regel heeft zijn eigen identificatie (GUID) en kan individueel worden geconfigureerd vanuit het beheercentrum of met behulp van hulpmiddelen zoals PowerShell.

Lijst met ASR-regels met betrekking tot bestuurders en andere veelvoorkomende risico's

Naast de regel die kwetsbare bestuurders blokkeert, bevat het ASR-regelpakket nog veel meer maatregelen die relevant zijn voor de veiligheid van bedrijven en personen:

• Voorkom dat Adobe Reader onderliggende processen aanmaakt.
• Voorkom dat Office-toepassingen onderliggende processen maken of code in andere processen injecteren.
• Blokkeer de uitvoering van mogelijk verborgen scripts.
• Voorkom dat JavaScript of VBScript gedownloade uitvoerbare inhoud start.
• Blokkeer ongetekende processen van eenheden USB of gekopieerde/nagemaakte systeemtools.
• Blokkeer het maken van gevaarlijke WebShells of API-aanroepen vanuit Office-macro's.
• Gebruik geavanceerde bescherming tegen ransomware en andere geavanceerde aanvallen.

U kunt voor elke regel instellen of deze in de blokkerings-, controle- of waarschuwingsmodus moet staan, zodat deze kan worden aangepast aan de behoeften van elke organisatie.. Deze flexibiliteit is essentieel voor het waarborgen van de veiligheid zonder dat dit ten koste gaat van de compatibiliteit of de dagelijkse workflow.

Hoe worden ASR-regels toegepast en beheerd?

ASR-regels kunnen via verschillende mechanismen worden toegepast:

• Vanaf de console Microsoft Defender voor Endpoint, het instellen van beleid op bedrijfs-, groeps- of apparaatniveau.
• gebruik Microsoft Intune, waarmee alle regels en hun distributie per profiel centraal beheerd kunnen worden.
• Lokaal, met behulp van PowerShell om een ​​specifieke regel op een computer te activeren of te controleren.

Elke regel wordt geïdentificeerd door een unieke GUID en er kunnen statuscombinaties worden ingesteld:
niet geconfigureerd, geblokkeerd, audit of waarschuwing. De waarschuwingsmodus is vooral handig in omgevingen waarin u de gebruiker wilt informeren over het risico zonder de actie automatisch te blokkeren, zodat de gebruiker na de waarschuwing een beslissing kan nemen.