Virus ngày càng tinh vi hơn và các tính năng bảo mật được thiết kế để chống lại chúng cũng vậy. Bảo vệ ngăn xếp được thực thi bằng phần cứng ở chế độ hạt nhân là một biện pháp bảo vệ tiên tiến khác có trong Windows 11.
Cái tên này có thể khó nghe nhưng nó mô tả chính xác chức năng của tính năng bảo mật về mặt kỹ thuật. Nhưng điều đó có nghĩa là gì trong tiếng Anh đơn giản? Nó thậm chí có cần thiết không? Hãy cùng tìm hiểu.
Nội dung bài viết
Một khóa học về sự cố tràn bộ đệm ngăn xếp
Trước khi có thể hiểu chức năng bảo vệ ngăn xếp được thực thi bằng phần cứng, bạn phải hiểu các cuộc tấn công tràn bộ đệm ngăn xếp là gì, bởi vì đó là những gì nó đang cố gắng chống lại. Và trước khi bạn có thể nắm bắt được cái đóbạn cần phải có ý tưởng về ý nghĩa của Ngăn xếp.
Nói một cách đơn giản nhất, ngăn xếp đề cập đến các địa chỉ bộ nhớ đang được sử dụng bởi một chương trình đang hoạt động. Mỗi tiến trình hoặc ứng dụng đang chạy đều được gán một ngăn xếp, bao gồm cả các tiến trình hệ thống. Dữ liệu được ghi và đọc từ ngăn xếp này, duy trì sự tách biệt với các tiến trình khác bằng bộ nhớ.
Nhưng đôi khi có sự cố xảy ra và một chương trình tràn ra khỏi ngăn xếp được phân định ranh giới của nó. Đây được gọi là lỗi Stack Overflow và có thể dẫn đến tất cả các loại hành vi kỳ lạ khi quá trình cố gắng đọc dữ liệu không dành cho nó.
Tấn công tràn bộ đệm ngăn xếp là gì?
Cho đến nay chúng ta đã thảo luận về lỗi tràn ngăn xếp trong bối cảnh xảy ra lỗi ngoài ý muốn. Nhưng hiện tượng này cũng có thể bị lợi dụng một cách có chủ ý để kiểm soát các chương trình và quy trình bằng cách cung cấp cho chúng những đầu vào không mong đợi.
Các cuộc tấn công bộ nhớ như vậy – còn được gọi là các cuộc tấn công Lập trình hướng trả về hoặc ROP – khá khó để chương trình phát hiện vì chính bộ nhớ mà nó đọc hướng dẫn đã bị xâm phạm. Đặc biệt nếu chương trình được đề cập là một quy trình hệ thống cốt lõi không thể dựa vào bất kỳ chương trình cấp thấp nào khác để tự xác minh.
Điều này làm cho các cuộc tấn công tràn bộ đệm ngăn xếp trở thành một loại mối đe dọa mạng rất nguy hiểm. Một người đang bị lợi dụng bởi một làn sóng virus mới.
Giải pháp: Bảo vệ ngăn xếp được thực thi bằng phần cứng ở chế độ hạt nhân
Chúng ta đã thảo luận về việc việc thiếu đường cơ sở cấp thấp để các quy trình hệ thống tự so sánh khiến chúng dễ bị tấn công tràn bộ đệm như một ứng dụng thông thường. Nhưng điều gì sẽ xảy ra nếu chúng ta có thể thiết lập đường cơ sở trong chính phần cứng cơ bản?
Đó chính xác là những gì Chế độ hạt nhân Bảo vệ ngăn xếp được thực thi bằng phần cứng thực hiện. Bằng cách sử dụng ảo hóa, CPU được cách ly khỏi các ứng dụng và quy trình đang chạy trên máy tính của bạn, bảo vệ nó khỏi mọi hành vi giả mạo thông qua thao tác bộ nhớ.
Điều này là do các địa chỉ ngăn xếp cũng được giữ trong ngăn xếp Shadow song song không được hiển thị với phần còn lại của PC. Mỗi khi một tiến trình ở chế độ kernel (về cơ bản là các chức năng hệ thống cấp thấp) đọc thông tin, địa chỉ cũng được xác nhận bằng bản sao được lưu trữ trong ngăn xếp bóng. Quá trình này sẽ kết thúc nếu có bất kỳ sự khác biệt nào.
Các yêu cầu để chạy Bảo vệ ngăn xếp bắt buộc bằng phần cứng trên PC của bạn là gì?
Là một tính năng cấp thấp phụ thuộc vào phần cứng cụ thể, tính năng bảo vệ ngăn xếp nâng cao này có yêu cầu cao về phần cứng. Chỉ những bộ xử lý hỗ trợ các tính năng ảo hóa CPU mới nhất mới có thể triển khai biện pháp bảo mật này.
Đối với Intel, điều này có nghĩa là Công nghệ thực thi luồng điều khiển (CET), trong khi AMD chỉ gọi nó là ngăn xếp bóng AMD. Ngay cả khi bộ xử lý của bạn hỗ trợ tính năng này, tính năng ảo hóa CPU và tính toàn vẹn bộ nhớ phải được bật để tính năng này có hiệu lực.
Tuy nhiên, hãy nhớ rằng các tính năng bảo mật liên quan đến ảo hóa cũng có thể có tác động nhỏ đến hiệu suất của máy tính. Đây chủ yếu là lý do tại sao các tính năng này thường không được bật theo mặc định.
Phải làm gì nếu Bảo vệ ngăn xếp được thực thi bằng phần cứng ở chế độ hạt nhân Off?
Có nhiều lý do khiến tính năng bảo vệ ngăn xếp được thực thi bằng phần cứng ở chế độ kernel có thể bị tắt trên PC của bạn. Bộ xử lý của bạn có thể không hỗ trợ tính năng này hoặc có thể chỉ yêu cầu kích hoạt thủ công.
Nhưng trước khi bạn tìm kiếm tùy chọn và thử kích hoạt nó, hãy dành một chút thời gian để cân nhắc xem bạn có cần hay không. Bởi vì đối với hầu hết người dùng, việc cách ly lõi và các tính năng bảo mật liên quan có thể không cần thiết.
Các loại virus và phần mềm độc hại thông thường đều được Microsoft Windows Defender xử lý hiệu quả. Trừ khi hệ thống của bạn chứa dữ liệu nhạy cảm có thể bị các tin tặc chuyên dụng nhắm mục tiêu cụ thể, bạn không thực sự cần bảo vệ ngăn xếp trên PC của mình.
Nhưng nếu bạn muốn bật tính năng này thì đây là cách thực hiện:
- Đầu tiên, bạn cần mở cửa sổ Device Security. Bạn có thể làm điều này bằng cách điều hướng đến Settings > Sự riêng tư & bảo vệ > Bảo mật Windows và sau đó bấm vào Bảo mật thiết bị tùy chọn hoặc chỉ tìm kiếm nó trong menu Bắt đầu.
- Bảo mật thiết bị liệt kê tất cả các tính năng bảo mật liên quan đến phần cứng trên thiết bị của bạn như Cách ly lõi, Mô-đun nền tảng đáng tin cậy (TPM) và Khởi động an toàn. Tính năng bảo vệ ngăn xếp được thực thi bằng phần cứng là một tập hợp con của cách ly lõi. Để xem nó, bấm vào Chi tiết cách ly lõi lựa chọn.
- Bây giờ những gì bạn nhìn thấy trên cửa sổ này sẽ khác nhau tùy theo cấu hình phần cứng hệ thống của bạn. Trên những PC hoàn toàn không hỗ trợ tính năng bảo vệ ngăn xếp được thực thi bằng phần cứng, bạn sẽ không thấy tùy chọn nào (như trong hệ thống thử nghiệm của chúng tôi).
Nếu bạn nhìn thấy tùy chọn này nhưng nó có màu xám, bạn chỉ cần bật ảo hóa trong BIOS và bật tính toàn vẹn của Bộ nhớ. Khi bạn làm điều đó, bạn có thể bật Bảo vệ ngăn xếp được thực thi bằng phần cứng ở chế độ hạt nhân. Khởi động lại PC của bạn và thay đổi sẽ có hiệu lực.
Đôi khi tính năng này sẽ bị chặn bởi trình điều khiển không tương thích, lúc đó bạn có thể xóa bản cập nhật trình điều khiển của mình. Mặc dù vấn đề này đã trở nên ít phổ biến hơn sau một vài bản cập nhật vừa qua.
Chế độ hạt nhân Bảo vệ ngăn xếp được thực thi bằng phần cứng có đáng giá trong Windows 11 không?
Windows 11 đi kèm với một loạt tính năng bảo mật nâng cao được thiết kế để ngăn chặn ngay cả những nỗ lực hack chuyên dụng nhất. Hầu hết các tính năng như TPM hoặc Secure Boot đều được bật theo mặc định trên các hệ thống được hỗ trợ.
Nhưng Bảo vệ ngăn xếp được thực thi bằng phần cứng ở chế độ hạt nhân thì khác. Vì nó có thể có tác động nhỏ đến hiệu suất và không cần thiết đối với hầu hết các hệ thống nên nó phải được kích hoạt thủ công. Chưa kể các yêu cầu phần cứng nghiêm ngặt hơn đối với tính năng này, không giống như TPM gần như phổ biến ngay cả trên các chip cũ hơn một chút.
Vì vậy, nếu bạn thấy tùy chọn trong cửa sổ Bảo mật thiết bị của mình và lo ngại về các cuộc tấn công vi-rút cấp độ thấp, bạn có thể bật tính năng bảo vệ ngăn xếp được thi hành bằng phần cứng để đảm bảo bảo mật hoàn hảo. Nếu tác động đến hiệu suất trở nên đáng chú ý, bạn luôn có thể tắt nó lại.
