Windows блокирует опасные драйверы: как работает встроенный список защиты в «Изоляции ядра»

В ОС Windows 11 и Windows 10 есть встроенный механизм защиты, который блокирует потенциально опасные драйверы до того, как они смогут нанести вред системе.

Безопасность Windows остается одной из ключевых тем для Microsoft, учитывая, что операционные системы компании используют более миллиарда человек по всему миру. Редмонд применяет многоуровневый подход к защите, сочетая различные механизмы противодействия угрозам. Недавно Microsoft анонсировала предстоящие улучшения безопасности для Windows 11, однако уже сейчас в системе присутствует важная встроенная функция, направленная на защиту от вредоносных драйверов.

Список блокировки уязвимых драйверов входит в состав технологии «Изоляция ядра» (Core Isolation). «Изоляция ядра» — это набор механизмов, изолирующих критически важные процессы Windows в памяти, чтобы защитить их от вредоносного кода. В рамках этой архитектуры действует и список блокировки: он содержит перечень драйверов, запуск которых в системе по умолчанию запрещен.

Настройка функции Изоляция ядра в меню Безопасность Windows > Безопасность устройства > Сведения об изоляции ядра

Драйверы обеспечивают взаимодействие системы с оборудованием — камерами, микрофонами, клавиатурами и другими устройствами. В прошлом фиксировались случаи, когда уязвимые или скомпрометированные драйверы использовались злоумышленниками для эксплуатации Windows. В 2022 году Microsoft решила сократить эту поверхность атаки и начала поддерживать централизованный список драйверов, признанных скомпрометированными и небезопасными.

Поддержка списка ведется в сотрудничестве с независимыми производителями оборудования и OEM-компаниями. Когда обнаруживается уязвимость в драйвере, Microsoft совместно с вендором работает над ее устранением. Если риск признан высоким, а вероятность проблем с совместимостью — низкой, конкретная версия драйвера добавляется в список блокировки.

Важно понимать, что этот список не является исчерпывающим. В него не включаются абсолютно все уязвимые драйверы. Полная блокировка без уведомления пользователя может привести к негативным последствиям — сбоям в работе устройств или даже появлению «синего экрана смерти» (BSOD). Поэтому поддержание списка требует баланса между безопасностью и стабильностью системы.

Обновление списка происходит через Центр обновления Windows.  Как правило, обновление выполняется в рамках крупных функциональных обновлений — примерно один-два раза в год. Если производитель выпускает исправленную версию драйвера, он может обратиться к Microsoft для корректировки политики блокировки.

В большинстве установок Windows список блокировки активирован по умолчанию. Он также применяется при включенной функции контроля целостности кода с защитой гипервизором (HVCI), включенном «Интеллектуальном управлении приложениями» (Smart App Control) или при работе системы в S-режиме. При этом используется принцип «запретить известное небезопасное и разрешить остальное»: уязвимые драйверы явно блокируются, а остальные допускаются к работе. Хотя Microsoft рекомендует модель явного «белого» списка, при которой допускаются только конкретно одобренные драйверы, на практике реализовать такой подход в массовой системе затруднительно.

Файлы, связанные со списком блокировки, находятся в каталоге System32, и дополнительная настройка для обычных пользователей не требуется. При необходимости функцию можно включить или отключить через приложение «Безопасность Windows» либо в параметрах системы в разделе Конфиденциальность и безопасность > Безопасность Windows. Для корпоративных администраторов Microsoft также предоставляет офлайн-политику в формате XML, которую можно загрузить отдельно.