Flazzo memiliki fokus utama untuk menambah nilai bisnis Anda.

Blog

Cara Mengaktifkan Perlindungan Stack yang Didukung Perangkat Keras Mode Kernel di Windows 11

Microsoft_Defender_headpic.jpg
Blog

Cara Mengaktifkan Perlindungan Stack yang Didukung Perangkat Keras Mode Kernel di Windows 11

[ad_1]

Logo Pertahanan Microsoft dengan latar belakang berwarna

Perlindungan tumpukan yang ditingkatkan perangkat keras mode kernel adalah fitur keamanan yang diperkenalkan di Windows 11 22H2 yang melindungi sistem dari berbagai serangan memori, seperti stack buffer overflows.

Microsoft menambahkan fitur ini ke Windows 11 22H2 sebagai bagian dari pembaruan Microsoft Defender pada April 2023.

Saat diaktifkan, Perlindungan tumpukan yang ditingkatkan perangkat keras mode kernel akan meningkatkan keamanan Windows dengan menggunakan perangkat keras untuk menerapkan perlindungan tumpukan, mempersulit penyerang untuk mengeksploitasi kerentanan.

Apa itu perlindungan tumpukan yang didukung perangkat keras mode-kernel?

Perlindungan tumpukan perangkat keras mode kernel Windows adalah fitur keamanan yang terutama melindungi terhadap serangan stack buffer overflow, di mana penyerang mencoba memicu eksekusi kode arbitrer dengan meluapkan buffer (penyimpanan memori sementara) pada stack (struktur data yang digunakan untuk menyimpan fungsi panggilan dan variabel lokal dari suatu program).

Selama serangan ini, penyerang mencoba menimpa alamat pengirim atau data kontrol untuk mengarahkan ulang eksekusi program untuk mengeksekusi kode berbahaya yang dipilih oleh penyerang.

Teknik menimpa alamat pengirim atau data kontrol untuk mengarahkan aliran eksekusi program dikenal sebagai serangan pemrograman berorientasi kembali (ROP).

Fitur perlindungan tumpukan yang ditingkatkan perangkat keras dalam mode kernel Windows memerlukan tumpukan sementara berbasis perangkat keras khusus yang disebut Shadow Stacks agar berfungsi.

Tumpukan bayangan adalah tumpukan memori sementara yang mencerminkan tumpukan standar yang digunakan oleh sistem operasi, dan tumpukan tidak dapat dimodifikasi oleh aplikasi yang berjalan di bawah Windows.

Tumpukan Bayangan ini digunakan dengan cara berikut:

  1. Saat fungsi program dipanggil, alamat pengirim disimpan di tumpukan normal dan tumpukan bayangan.
  2. Saat fungsi kembali, fitur perlindungan tumpukan yang didukung perangkat keras memeriksa apakah alamat pengirim tumpukan utama cocok dengan yang disimpan di tumpukan bayangan.
  3. Jika alamat pengirim cocok, fungsi kembali seperti yang diharapkan dan eksekusi program berlanjut secara normal.
  4. Namun, jika alamat pengirim tidak cocok, ini mungkin mengindikasikan serangan, seperti stack buffer overflow atau serangan ROP. Ketika ini terjadi, Windows menghentikan proses untuk mencegah berjalannya kode berbahaya.

Menggunakan Shadow Stacks, fitur perlindungan tumpukan yang ditingkatkan perangkat keras dapat memitigasi serangan, melindungi sistem dari kerentanan, termasuk zero-days.

Namun, karena Shadow Stacks membutuhkan Teknologi Aplikasi Aliran Kontrol Intel (CET) teknologi, fitur ini hanya tersedia pada prosesor baru.

Oleh karena itu, untuk menggunakan perlindungan baterai yang ditingkatkan perangkat keras dalam mode kernel Windows, perangkat harus memiliki prosesor Intel Tiger Lake atau prosesor AMD Zen3 dan yang lebih baru dengan virtualisasi prosesor yang diaktifkan di BIOS.

Cara mengaktifkan perlindungan tumpukan yang ditingkatkan perangkat keras dalam mode kernel

Meskipun fitur perlindungan tumpukan yang ditingkatkan perangkat keras dalam mode kernel Windows bisa rumit untuk dipahami, mengaktifkan fitur ini cukup sederhana.

Jika Anda menjalankan Windows 11 22H2 dengan pembaruan terbaru, buka Keamanan Windows dan arahkan ke Keamanan Perangkat > Isolasi inti.

Jika Anda memiliki perangkat keras yang diperlukan dan virtualisasi CPU diaktifkan, Anda akan melihat pengaturan yang disebut ‘Perlindungan tumpukan yang ditingkatkan perangkat keras mode kernel,’ seperti yang ditunjukkan di bawah ini.

Perlindungan tumpukan yang ditingkatkan perangkat keras mode kernel
Sumber: BleepingComputer

Untuk mengaktifkan fitur ini, cukup alihkan ke “Enabled” dan Windows akan memeriksa driver perangkat yang dimuat untuk melihat apakah ada yang mungkin bertentangan dengan fitur keamanan.

Jika driver yang bertentangan terdeteksi, Anda akan diminta untuk memeriksa daftar driver untuk memperbarui ke versi yang lebih baru sebelum Anda dapat mengaktifkan fitur tersebut.

Setelah Anda memperbarui driver ke versi terbaru, Anda dapat mencoba mengaktifkan kembali fitur tersebut dan melihat apakah ada konflik lainnya.

Jika tidak ada pengandar yang bertentangan ditemukan, Windows akan meminta Anda untuk me-restart komputer untuk mengaktifkan fitur tersebut.

Dapat menyebabkan perilaku yang tidak terduga

Sayangnya, ketika fitur ini diaktifkan, Anda mungkin menemukan bahwa program tertentu tidak lagi berfungsi karena drivernya bertentangan dengan fitur perlindungan tumpukan yang didukung perangkat keras mode-kernel.

Ini biasanya terjadi ketika Windows tidak mengetahui driver yang bertentangan dengan fungsionalitas dan tetap memungkinkannya untuk diaktifkan.

Meskipun konflik ini dapat menyebabkan Windows macet, biasanya program tidak lagi diluncurkan dan Windows menunjukkan bahwa driver tidak kompatibel dan meminta Anda untuk menonaktifkan fitur keamanan.

Pesan driver tidak kompatibel
Pesan driver tidak kompatibel
Sumber: Reddit

Pengguna yang telah mengaktifkan fitur ini melaporkan bahwa banyak konflik terkait perlindungan hak cipta dan driver anti-cheat yang digunakan oleh game, termasuk PUBG, Berani (Pelopor Kerusuhan), berburu darah, Takdir 2, Dampak Genshin, Bintang Fantasi Daring 2 (Penjaga Permainan) dan Dayz.

Namun, karena semakin banyak pengguna yang mulai menggunakan fitur keamanan Windows ini, kemungkinan besar kami akan melihat versi yang ditingkatkan dari program anti-cheat dan perlindungan hak cipta ini untuk mendukung perlindungan baterai.

[ad_2]