Малоизвестная функция Windows защищает от вредоносных драйверов

Екатерина Быстрова 24 Февраля 2026 - 15:56

...

Малоизвестная функция Windows защищает от вредоносных драйверов

В Windows уже давно есть встроенный механизм защиты от вредоносных драйверов, и многие пользователи о нём даже не догадываются. Речь идёт о функции Vulnerable Driver Blocklist (список блокировки уязвимых драйверов), которая входит в набор возможностей Core Isolation в Windows 10 и 11.

Если коротко, это список уязвимых или скомпрометированных драйверов, которым система просто запрещает запускаться.

В прошлом именно через драйверы злоумышленники не раз находили способ атаковать систему. В 2022 году Microsoft решила нивелировать этот вектор атак и начала поддерживать централизованный список проблемных драйверов.

Blocklist — результат сотрудничества Microsoft с производителями оборудования и независимыми вендорами. Если обнаруживается серьёзная уязвимость в драйвере, корпорация работает с разработчиком над патчем. А если риск высок и при этом вероятность поломать совместимость невелика, конкретную версию драйвера добавляют в список блокировки.

Важно понимать, что это не полный перечень всех уязвимых драйверов в мире. Microsoft сознательно не блокирует всё подряд. Причина простая: слишком жёсткая фильтрация может привести к сбоям устройств или даже к «синему экрану смерти». Поэтому поддержание списка — это постоянный баланс между безопасностью и стабильностью.

Обновляется Vulnerable Driver Blocklist через Windows Update, как правило, во время крупных функциональных обновлений примерно один-два раза в год. Если производитель выпускает исправленную версию драйвера, он может обратиться к Microsoft для актуализации политики.

В большинстве современных установок Windows функция включена по умолчанию. Она также автоматически применяется, если активированы HVCI (Hypervisor-Protected Code Integrity), Smart App Control или режим S. Технически система работает по принципу «запрещаем известное плохое, остальное разрешаем» — хотя Microsoft в идеале рекомендует подход с явным allowlist, где разрешается только строго определённое ПО. На практике реализовать это повсеместно довольно сложно.

Найти настройки можно в приложении «Безопасность Windows» или в разделе «Конфиденциальность и безопасность». Для обычных пользователей ничего дополнительно включать не нужно — защита уже работает. А администраторам Microsoft предоставляет отдельный файл политики для офлайн-настройки.

На фоне разговоров о новых мерах безопасности в Windows 11 это напоминание выглядит своевременным: часть защитных механизмов уже давно встроена в систему, просто они не всегда на виду.

Следующая главная новость »

Машинное обучение и ИИ в ИБ: где работает, а где — миф? Обсудим на эфире — регистрируйтесь!

Екатерина Быстрова 24 Февраля 2026 - 17:44

PT Network Attack Discovery Корпорации Сетевая безопасность Системы анализа трафика (NTA)Системы мониторинга сети Системы сетевой криминалистики Positive Technologies

В PT NAD 12.4 добавили JA4 и новые модули контроля

Positive Technologies выпустила новую версию системы поведенческого анализа сетевого трафика PT Network Attack Discovery — 12.4. В релизе расширили управление дочерними системами через центральную консоль, добавили учёт времени суток в правилах профилирования и внедрили новые экспертные модули для контроля инфраструктуры.

Одно из ключевых изменений — доработка центральной консоли. Теперь через неё можно не только анализировать данные с дочерних инсталляций, но и управлять ими.

В версии 12.4 расширены возможности работы с иерархией: появились профили, механизм управления исключениями, настройка правил обнаружения атак, групп узлов и портов, а также репутационных списков. Это должно упростить администрирование распределённых систем.

В разделе репутационных списков добавлена возможность гибко включать и отключать их в зависимости от особенностей конкретной инфраструктуры. Каждый список теперь снабжён текстовым описанием. Кроме собственных репутационных данных Positive Technologies, в поставку включены индикаторы компрометации от ФСТЭК — это может быть важно для компаний, которым необходимо учитывать требования регулятора.

Обновления затронули и механизмы самообучения. Система автоматически определяет периоды высокой и низкой сетевой активности и снижает порог срабатывания пользовательских правил в «тихие» часы. Это позволяет точнее выявлять аномалии, например ночью, когда часто происходят атаки с использованием программ-вымогателей.

В продукт добавлены экспертные модули для выявления потенциальных нарушений корпоративных политик и контроля состояния инфраструктуры. В частности, система теперь отслеживает службы, доступные из интернета по публичному IP-адресу (например, SMB), контролирует истекающие TLS-сертификаты и фиксирует наличие промышленных протоколов в трафике — такие признаки могут указывать на ошибки сегментации или конфигурации сети.

Также в версии 12.4 реализован анализ отпечатков JA4. Этот механизм помогает выявлять особенности клиента по параметрам TLS-соединения и поведению в зашифрованных каналах, что может быть полезно для обнаружения подозрительных сессий и вредоносных инструментов. Кроме того, сигнатурный движок PT NAD теперь совместим с синтаксисом правил Suricata 7.0, что расширяет возможности по настройке детектирования.

Обновление до версии 12.4 доступно через техническую поддержку или партнёров компании.

Машинное обучение и ИИ в ИБ: где работает, а где — миф? Обсудим на эфире — регистрируйтесь!