Hardware-Enhanced Kernel Mode Stack Protection (KHSP) ist eine in Windows 11 Version 22H2 eingeführte Sicherheitsfunktion, die Systeme vor verschiedenen Speicherangriffen schützt, wie z Stapelpufferüberlauf. Diese Funktion erhöht die Systemsicherheit erheblich, indem sie Hardwarefunktionen nutzt, um zu verhindern, dass Stack-bezogene Schwachstellen ausgenutzt werden.
Microsoft hat diese Funktion im Rahmen eines Updates für Microsoft Defender im April 11 zu Windows 22 2H2023 hinzugefügt. Dieses Update zielt darauf ab, den Schutz vor Malware und Exploit-Angriffen zu verbessern und eine zusätzliche Sicherheitsebene für Windows 11-Systeme bereitzustellen.
Wenn es aktiviert ist, funktioniert es Hardware-verstärkter Kernel-Modus-Stack-Schutz (KHSP) Verbessert die Windows-Sicherheit durch den Einsatz von Hardware zur Durchsetzung des Stack-Schutzes, wodurch es für Angreifer schwieriger wird, Schwachstellen auszunutzen. Die Aktivierung von KHSP ist ein wichtiger Schritt zur Stärkung des Schutzes vor Advanced Persistent Threats und anderen speicherbezogenen Angriffen.
Schnelle Links
Hardwareverstärkter Kernel-Modus-Stack-Schutz in Windows
Der hardwareverstärkte Kernel-Modus-Stack-Schutz in Windows ist eine wichtige Sicherheitsfunktion, die in erster Linie vor Stack-Buffer-Overflow-Angriffen schützt, bei denen ein Angreifer versucht, beliebigen Code auszuführen, indem er einen Puffer (einen temporären Cache) auf dem Stack (eine zum Speichern verwendete Datenstruktur) überläuft Funktionsaufrufe und lokale Variablen des Programms). Diese Funktion ist ein wichtiger Schritt zur Sicherheit des Betriebssystems, da sie die Immunität des Kernels gegen Malware-Angriffe erhöht und zur Systemstabilität beiträgt.
Bei diesen Angriffen versucht der Angreifer, die Absenderadresse oder Steuerdaten zu überschreiben, um die Programmausführung so umzuleiten, dass der vom Angreifer ausgewählte Schadcode ausgeführt wird. Diese Art von Angriff wird als Stack-Buffer-Overflow-Angriff bezeichnet, der Schwachstellen in der Speicherverwaltung ausnutzt.
Die Technik des Überschreibens der Rücksprungadresse oder der Steuerdaten, um den Programmausführungsfluss umzuleiten, wird als ROP-Angriff (Return-Oriented Programming) bezeichnet. ROP-Angriffe sind raffiniert und schwer zu erkennen, da sie bereits im System vorhandenen Code nutzen, um bösartige Befehle auszuführen.
Die hardwareverstärkte Stapelschutzfunktion im Kernelmodus in Windows erfordert einen temporären hardwarebasierten Stapel namens Shadow Stacks, um zu funktionieren. Dieser Stack bietet eine zusätzliche Schutzebene, indem er eine Sicherung der Absenderadressen bereitstellt.
Der Shadow Stack ist ein temporärer Speicherstapel, der den vom Betriebssystem verwendeten Standardstapel widerspiegelt. Der Stapel kann nicht von Anwendungen geändert werden, die unter Windows ausgeführt werden. Diese Trennung zwischen dem Haupt-Stack und dem Shadow-Stack stellt sicher, dass Rückadressen vor Manipulationen geschützt sind.
Shadow Stacks werden auf folgende Weise verwendet:
- Wenn Sie eine Programmfunktion aufrufen, wird die Rücksprungadresse sowohl im regulären Stack als auch im Shadow Stack gespeichert.
- Wenn eine Funktion zurückkehrt, prüft der hardwareverstärkte Kernel-Modus-Stack-Schutz, ob die Rücksprungadresse vom Core-Stack mit der im Shadow Stack gespeicherten Adresse übereinstimmt.
- Wenn die Rücksprungadressen übereinstimmen, kehrt die Funktion wie erwartet zurück und das Programm wird normal weiter ausgeführt.
- Wenn die Rücksprungadressen jedoch nicht übereinstimmen, kann dies auf einen Angriff hinweisen, beispielsweise auf einen Stapelpufferüberlauf oder einen ROP-Angriff. In diesem Fall beendet Windows den Prozess, um die Ausführung von Schadcode zu verhindern. Diese Maßnahme ist entscheidend, um eine Ausbreitung des Angriffs zu verhindern und potenzielle Schäden zu minimieren.
Mit Shadow Stacks kann der hardwareverstärkte Kernel-Modus-Stack-Schutz Angriffe abschwächen und so das System vor Schwachstellen, einschließlich Zero-Day-Schwachstellen, schützen. Dieser Schutz stellt einen wichtigen Schritt zur Verbesserung der Systemsicherheit und zur Reduzierung des Hackerrisikos dar.
Da Shadow Stacks jedoch Technologie erfordern Intel Control-Flow Enforcement Technology (CET)Allerdings ist die Funktion nur auf neueren CPUs verfügbar. Die CET-Technologie von Intel ist für die sichere Erstellung und Verwaltung von Shadow Stacks unerlässlich.
Um den hardwareverstärkten Kernel-Modus-Stack-Schutz in Windows nutzen zu können, muss das Gerät daher über eine Intel Tiger Lake- oder AMD Zen3-CPU und höher mit aktivierter CPU-Virtualisierung im BIOS verfügen. Weitere Informationen zum Aktivieren der virtuellen Verarbeitung finden Sie in der Dokumentation Ihres CPU-Herstellers.
So aktivieren Sie den hardwaregestützten Stapelschutz im Kernelmodus
Obwohl die Hardware-erzwungene Stapelschutzfunktion im Kernelmodus von Windows möglicherweise kompliziert zu verstehen ist, ist sie relativ einfach zu aktivieren. Diese Funktion erhöht die Sicherheit von Windows 11, indem sie zusätzlichen Schutz vor Pufferüberlaufangriffen und anderen Exploit-Angriffen bietet, die auf den Systemkern abzielen, wodurch Ihr System sicherer wird.
Wenn Sie Windows 11 Version 22H2 mit den neuesten Updates verwenden, öffnen Sie die Windows-Sicherheits-App und gehen Sie zu Gerätesicherheit (Gerätesicherheit) -> Grundisolierung (Kernisolation).
Wenn Sie über die erforderliche Hardware verfügen und die CPU-Virtualisierung aktiviert ist, wird eine Einstellung mit dem Namen „Hardwareverstärkter Kernel-Modus-Stack-Schutz” (Hardware-erzwungener Stapelschutz im Kernel-Modus), wie unten gezeigt. Bitte beachten Sie, dass die Aktivierung der Virtualisierung erforderlich ist, damit diese Sicherheitsfunktion funktioniert.
Um die Funktion zu aktivieren, schalten Sie sie einfach auf „Ein“ und Windows überprüft die geladenen Gerätetreiber, um festzustellen, ob es welche gibt, die mit der Sicherheitsfunktion in Konflikt stehen könnten. Dieser Vorgang gewährleistet eine optimale Kompatibilität und verhindert etwaige Probleme nach der Aktivierung des Schutzes.
Wenn widersprüchliche Treiber erkannt werden, werden Sie aufgefordert, die Liste der Treiber zu überprüfen, um sie auf neuere Versionen zu aktualisieren, bevor Sie die Funktion aktivieren können. Es wird empfohlen, die Treiber regelmäßig zu aktualisieren, um das System stabil und sicher zu halten.
Sobald die Treiber auf die neuesten Versionen aktualisiert wurden, können Sie versuchen, die Funktion erneut zu aktivieren und prüfen, ob weitere Konflikte vorliegen. Dies erfordert möglicherweise einen Neustart Ihres Computers.
Wenn keine widersprüchlichen Treiber gefunden werden, fordert Windows Sie möglicherweise auf, Ihren Computer neu zu starten, damit die Treiber wirksam werden. Um systemweite Änderungen zu übernehmen, ist ein Neustart erforderlich.
Dies kann zu unerwartetem Verhalten führen
Wenn Sie den hardwaregestützten Stapelschutz im Kernelmodus in Windows 11 aktivieren, kann es leider vorkommen, dass einige Programme, insbesondere Spiele, nicht mehr richtig funktionieren, weil ihre Treiber mit dieser Sicherheitsfunktion in Konflikt stehen.
Dies geschieht normalerweise, wenn Windows einen Treiber, der mit der Stapelschutzfunktion in Konflikt steht, nicht erkennt und ihn trotzdem wirksam werden lässt. Dieser Konflikt kann manchmal zum Absturz von Windows führen, aber in den meisten Fällen funktioniert das Programm nicht mehr, Windows zeigt eine Meldung zur Treiberinkompatibilität an und fordert Sie auf, die Sicherheitsfunktion zu deaktivieren.
Benutzer, die diese Funktion aktiviert haben, haben zahlreiche Konflikte mit Urheberrechtsschutztreibern und Anti-Cheat-Software gemeldet, die in Spielen verwendet werden, darunter PUBG, وValorant (Riot Vanguard) und Blutjagd, و Destiny 2, و Genshin Impact, و Phantasy Star Online 2 (Game Guard) und Dayz. Es wird erwartet, dass diese Funktion Probleme mit Anti-Betrugssoftware und anderen Treibern verursacht.
Da jedoch die Anzahl der Benutzer dieser Sicherheitsfunktion in Windows zunimmt, werden wir wahrscheinlich aktualisierte Versionen davon sehen Software zur Betrugsbekämpfung Und der Urheberrechtsschutz unterstützt den Stapelschutz, um diese Probleme zu vermeiden.
