Список разрешенных драйверов протоколов — это нормативный или технический документ
Список разрешенных драйверов протоколов — это нормативный или технический документ (либо конфигурационный параметр системы безопасности), содержащий перечень драйверов сетевого уровня, которым разрешено функционировать в операционной среде для обработки сетевых коммуникаций.
Определение и ключевые характеристики
| Параметр | Описание |
|---|---|
| Драйвер протокола | Программный компонент, реализующий сетевой протокол (TCP/IP, IPX, NetBIOS и др.) и взаимодействующий с NDIS (Network Driver Interface Specification) для отправки/приёма данных |
| Разрешённый | Драйвер, прошедший проверку подписи, включённый в белый список (whitelist) и одобренный политикой безопасности системы |
| Список | Конфигурационная база данных, реестр, групповая политика или файл правил, определяющий допустимые драйверы для загрузки в ядро ОС |
Технические аспекты
1. Архитектурный контекст (Windows NDIS)
Драйверы протоколов в Windows классифицируются как:
- NDIS Protocol Drivers — взаимодействуют с нижележащими драйверами минипорта для передачи пакетов
- Intermediate Drivers — прослойка между протоколами и минипортами
- Miniport Drivers — прямое взаимодействие с сетевым адаптером
Список разрешённых драйверов контролирует, какие из этих компонентов могут быть загружены в ядро системы.
2. Механизмы контроля доступа
- Цифровая подпись драйвера: драйвер должен быть подписан доверенным издателем (например, сертификатом Microsoft WHQL)
- ClassGUID фильтрация: разрешение установки по классу устройства через групповые политики
- Driver Store: хранилище доверенных драйверов в
%SystemRoot%\System32\DriverStore - HVCI (Hypervisor-Protected Code Integrity): в Windows 10/11 блокирует загрузку неподписанных или уязвимых драйверов
3. Применение в политиках безопасности
Пример политики (GPO):
Computer Configuration → Administrative Templates → System → Driver Installation
→ "Allow installation of devices using drivers that match these device setup classes"
→ Значение: {4D36E97D-E325-11CE-BFC1-08002BE10318} (класс сетевых адаптеров)
Зачем это нужно?
- Защита от BYOVD-атак (Bring Your Own Vulnerable Driver) — предотвращение загрузки драйверов с известными уязвимостями
- Контроль целостности ядра — только доверенные драйверы могут выполнять код в режиме ядра
- Соответствие требованиям регуляторов — ФСТЭК, ФСБ, ГОСТ Р 57580 требуют контроля загрузки модулей ядра
- Предотвращение эскалации привилегий — злонамеренные драйверы могут обходить механизмы безопасности
Где хранится/настраивается?
| Система/Платформа | Расположение / Метод настройки |
|---|---|
| Windows (локально) | Реестр: HKLM\SYSTEM\CurrentControlSet\Control\Class, DriverStore, CodeIntegrity |
| Windows (домен) | Групповые политики (GPO) → Device Installation Restrictions |
| Windows Defender Application Control (WDAC) | Политики целостности кода: файл .cip или .p7b с правилами подписи |
| Linux | Модуль devices cgroup, подписи модулей ядра, Secure Boot |
| SCADA/Industrial | В документации вендора (например, Geo SCADA: список поддерживаемых драйверов по протоколам) |
Критерии включения драйвера в список
- Наличие валидной цифровой подписи от доверенного издателя
- Соответствие классу устройства, разрешённому политикой
- Отсутствие в списке блокировки уязвимых драйверов Microsoft
- Проверка на соответствие требованиям безопасности (контрольный список для разработчиков)
- Регистрация в доверенном хранилище драйверов (Driver Store)
Важно:
- Конкретное содержание «списка разрешенных драйверов протоколов» всегда определяется контекстом — корпоративной политикой безопасности, требованиями регулятора или спецификацией программного продукта. Универсального публичного списка не существует — он формируется индивидуально под инфраструктуру.