Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Windows Server 2025
Das Sicherheitsfeature Hardwaregestützter Stapelschutz wurde eingeführt, um Benutzermodusprozesse zu schützen und Hijacking auf dem Stapel in Windows 10 zu verhindern. Der vom Hardware erzwungene Stack Protection erstreckt sich jetzt auf den Kernelmodus, der Stapel im Kernel vor rückgabeorientierten programmierungsbasierten Angriffen (ROP) schützt. ROP ist eine gängige Methode für Angreifer, um den Flow der Programmausführung zu kapern und ihre Angriffskette fortzusetzen, um den vom Angreifer gewünschten Code auszuführen.
Da die Benutzermodus-Stacks nun geschützt sind und eine Änderung der Rücksprungadresse durch Kernelmodus-Code verhindert wird, können Angreifer keine Sicherheitslücken im Speicher ausnutzen. Kunden sehen bereits, wie der hardwaregestützte Stapelschutz im Kernelmodus verhindert, dass mit Viren und Malware verbundene Treiber ihre schädliche Nutzlast ausführen können.
Der hardwaregestützte Stapelschutz im Kernelmodus ist standardmäßig deaktiviert, kann jedoch von Kunden aktiviert werden, wenn die Voraussetzungen erfüllt sind. Dieser Artikel enthält weitere Informationen zum hardwaregestützten Stapelschutz im Kernelmodus und zeigt, wie Sie diese Funktion in der Windows-Sicherheits-App und über Gruppenrichtlinien aktivieren können.
Prerequisites
- Windows 11 Update 2022 oder höher.
- Windows-Sicherheit App Version 1000.25330.0.9000 oder höher
- Hardware, die Intel Control-Flow Enforcement Technology (CET) oder AMD Shadow Stacks unterstützt.
- Für Intel, Intel Core Mobile Prozessoren der 11. Generation und AMD Zen 3 Core (und höher).
- Virtualisierungsbasierte Sicherheit (VBS) und Hypervisor-erzwungene Codeintegrität (HVCI) sind aktiviert.
Verwenden von Schattenstapeln zum Erzwingen der Integrität des Kontrollflusses
Mit dem hardwaregestützten Stapelschutz im Kernelmodus verfügen alle Kernelstapel über einen entsprechenden Schattenstapel, um die Integrität ihres Kontrollflusses durchzusetzen. Wenn Angreifer eine Speicher-Sicherheitslücke ausnutzen, besteht ihr nächster Schritt darin, den Kontrollfluss eines Programms an einen vom Angreifer gewünschten Ort umzuleiten.
Schattenstapel verhindern das Hijacking des Kontrollflusses. Windows verwendet Control Flow Guard, um die Integrität bei indirekten Aufrufen durchzusetzen, und hardwaregestützte Stapelschutzfunktionen, um die Integrität bei Rückgaben durchzusetzen und so vor Exploits zu schützen, die darauf abzielen, den Flow der Programmausführung umzuleiten. Control Flow Guard verwendet eine Bitmap, um gültige Sprungziele zu kommentieren und zu verhindern, dass ein kompromittierter indirekter Aufruf den Kontrollfluss an beliebige Stellen umleitet.
Der Schattenstapel verwaltet einen (hardwaregeschützten) sekundären Stapel für alle Aufrufstapel, und immer wenn eine CALL- oder RET-Anweisung einen Wert auf den Stapel schiebt oder vom Stapel entfernt, wird ein entsprechender Eintrag im Schattenstapel abgelegt. Wenn eine Rücksendeadresse nicht übereinstimmt, löst das System einen Bluescreen aus, um unbeabsichtigtes Programmverhalten zu verhindern.
Weitere Informationen finden Sie im Blogbeitrag Grundlagen des hardwaregestützten Stapelschutzes.
Hardwaregestützten Stapelschutz im Kernelmodus in Windows-Sicherheit aktivieren
Virtualisierungsbasierte Sicherheit (VBS) und Hypervisor-erzwungene Codeintegrität (HVCI) sind Voraussetzungen für den kernelfähigen, hardwaregestützten Stapelschutz. Sie müssen zunächst sicherstellen, dass diese Funktionen aktiviert sind, bevor Sie fortfahren können. Sie werden automatisch auf Windows-Systemen aktiviert, die die Mindesthardwareanforderungen erfüllen.
Aktivieren Sie VBS und HVCI mit den folgenden Schritten:
Öffnen Sie die Windows-Sicherheits-App .
Navigieren Sie zu Gerätesicherheit > Details zur Kernisolierung > Speicherintegrität.
Schalten Sie das Feature ein.
Nachdem Sie diese Änderung vorgenommen haben, müssen Sie Ihr Gerät neu starten.
Aktivierung des hardwaregestützten Stapelschutzes im Kernelmodus
Öffnen Sie die Windows-Sicherheits-App .
Navigieren Sie zu Gerätesicherheit > Details zur Kernisolierung > Hardwaregestützter Stapelschutz im Kernelmodus.
Schalten Sie das Feature ein.
Hardwaregestützten Stapelschutz im Kernelmodus im Editor für lokale Gruppenrichtlinien aktivieren
Für Unternehmenskunden kann der hardwaregestützte Stapelschutz im Kernelmodus über Gruppenrichtlinien aktiviert werden.
Öffnen Sie den Editor für lokale Gruppenrichtlinien.
Navigieren Sie zu Computerkonfiguration > Verwaltungsvorlagen > System > Gerätewächter > Virtualisierungsbasierte Sicherheit aktivieren.
Vergewissern Sie sich, dass die virtualisierungsbasierte Sicherheit aktiviert ist.
Unter "Optionen " finden Sie den vom Kernelmodus durch Hardware erzwungenen Stapelschutz. Wählen Sie Aktiviert im Erzwingungsmodus aus.
Wählen Sie Anwenden. Dann OK.
Inkompatible Treiber
Es gibt eine kleine Zahl von Treibern, die noch nicht kompatibel sind. Treiber, die potenziell schädliches Verhalten wie das Entführen von Rücksprungadressen aufweisen, um Richtlinien für den Kontrollfluss zu umgehen, sind nicht kompatibel und werden zur Blockliste für anfällige Treiber für den hardwaregestützten Stapelschutz im Kernelmodus hinzugefügt. Nachdem wir gemeinsam mit den Treiberherstellern daran gearbeitet haben, die Codeverschleierung auf eine Schattenstapel-konforme Weise durchzuführen, sind diese Treiber nun zugelassen.
Um eine gute Benutzererfahrung zu gewährleisten und Bluescreens zu vermeiden, verwaltet Windows eine Liste bekannter inkompatibler Treiber für den hardwaregestützten Stapelschutz im Kernelmodus. Dies sind Treiber, von denen bekannt ist, dass sie Rückadressen im Kernel kapern. Wenn diese Funktion aktiviert ist, darf der Treiber nicht geladen werden (im Gegensatz zu einem Bluescreen, wenn ein Return Address Hijack versucht wird). Wenn im System bereits ein Treiber in der Blockliste installiert ist, kann diese Funktion nicht aktiviert werden. Sie können dieses Feature aktivieren, indem Sie den zugehörigen Treiber deinstallieren.
Inkompatible Treibern überprüfen
Die Funktion kann erst aktiviert werden, wenn die Inkompatibilitäten behoben sind, entweder durch ein Update des Treiberherstellers oder durch Entfernen der Anwendung, mit der der Treiber installiert wurde. Um die Liste der inkompatiblen Treiber anzuzeigen, wählen Sie „Inkompatible Treiber überprüfen” aus.
Bestimmte Apps verwenden Treiber, die mit dem hardwaregestützten Stapelschutz im Kernelmodus nicht kompatibel sind. Beispielsweise Apps, die Verschleierungs-Module zum Schutz von IP und zur Verschleierung des Kontrollflusses verwenden, die mit Schattenstapeln nicht kompatibel sind. Wenn der unsichere Treiber versucht, mit dieser Sicherheitsfunktion geladen zu werden, wird die Meldung „Ein Treiber kann auf diesem Gerät nicht geladen werden“ angezeigt.
Sie können die Sicherheitsfunktion optional deaktivieren, wodurch jedoch die Sicherheit Ihres Geräts herabgestuft wird. Sie können diese Funktion jederzeit in der Windows-Sicherheitsanwendung wieder aktivieren.