Mi a „Core Isolation” és a „Memory Integrity” a Windows 10-ben?
A Windows 10-es 2018. áprilisi frissítése mindenki számára elérhetővé teszi a „Core Isolation” és a „Memory Integrity” biztonsági funkciókat. Ezek a virtualizáció alapú biztonságot használják, hogy megvédjék a fő operációs rendszer folyamatokat a beavatkozástól, de a memóriavédelem alapértelmezés szerint ki van kapcsolva azok számára, akik frissítik.
Mi az a központi izolálás?
A Windows 10 eredeti kiadásában a virtualizáció alapú biztonsági (VBS) funkciók csak a Windows 10 vállalati kiadásaiban voltak elérhetőek az „Device Guard” részeként. A 2018. áprilisi frissítéssel a Core Isolation néhány virtualizációs alapú biztonsági funkciót biztosít mindenki számára a Windows 10 kiadásai.
A Core Isolation funkciók alapértelmezés szerint engedélyezve vannak a Windows 10 PC-kben, amelyek megfelelnek bizonyos hardver- és firmware-követelményeknek, beleértve a 64 bites CPU és TPM 2.0 chipeket is. Azt is megköveteli, hogy a számítógép támogatja az Intel VT-x vagy AMD-V virtualizációs technológiát, és hogy engedélyezve van a számítógép UEFI beállításaiban.
Ha ezek a funkciók engedélyezve vannak, a Windows hardver virtualizációs funkciókat használ a rendszer memóriájának biztonságos területének létrehozására, amely a normál operációs rendszertől elkülönült. A Windows rendszerfolyamatokat és biztonsági szoftvert futtathat ezen a biztonságos területen. Ez megvédi a fontos operációs rendszer folyamatokat a biztonságos területen kívül futó bármitól.
Még akkor is, ha a számítógépen fut a rosszindulatú szoftver, és ismeri azt a kihasználást, amely lehetővé teszi a Windows-folyamatok megtörését, a virtualizáció alapú biztonság egy további védelmi réteg, amely elkülöníti őket a támadástól.
Mi a memória integritása?
A Windows 10-es felületén a „Memory Integrity” néven ismert funkciót a Microsoft dokumentációjában „Hypervisor védett Code Integrity” (HVCI) néven is ismert..
A memória integritása alapértelmezés szerint le van tiltva a 2018. áprilisi frissítésre frissített számítógépeken, de engedélyezheti azt. A rendszer alapértelmezés szerint engedélyezi a Windows 10 új telepítéseit.
Ez a funkció a Core Isolation részhalmaza. A Windows rendszerint digitális aláírást igényel az eszközillesztők és más alacsony szintű Windows kernel módban futó kódok számára. Ez biztosítja, hogy a rosszindulatú programok ne sérthessék meg őket. Ha a „Memória integritása” engedélyezve van, a „kód integritási szolgáltatás” a Windowsban a Core Isolation által létrehozott hypervisor-védett tartály belsejében fut. Ez majdnem lehetetlenné teszi, hogy a rosszindulatú programok megzavarják a kód integritásának ellenőrzéseit, és hozzáférjenek a Windows rendszermaghoz.
Virtuális gépi problémák
Mivel a Memory Integrity a rendszer virtualizációs hardverét használja, nem kompatibilis a virtuális gépprogramokkal, mint például a VirtualBox vagy a VMware. Egyszerre csak egy alkalmazás használhatja ezt a hardvert.
Előfordulhat, hogy üzenet jelenik meg, amely szerint az Intel VT-X vagy az AMD-V nem engedélyezett vagy elérhető, ha virtuális gépprogramot telepít egy olyan rendszerre, amelyen a Memory Integrity engedélyezve van. A VirtualBox alkalmazásban a „Nyers mód nem érhető el a Hyper-V-től” hibaüzenet jelenik meg, míg a memóriavédelem engedélyezve van.
Akárhogy is, ha problémát tapasztal a virtuális gépszoftverrel, akkor a memóriahasználat letiltása szükséges.
Miért van alapértelmezés szerint letiltva?
A Core Isolation fő funkciója nem okozhat problémát. Ez engedélyezve van az összes olyan Windows 10 számítógépen, amely támogatja azt, és nincs interfész a letiltásához.
A Memória integritásának védelme azonban problémákat okozhat egyes eszközillesztőkkel vagy más alacsony szintű Windows alkalmazásokkal, ezért alapértelmezés szerint le van tiltva a frissítéseken. A Microsoft még mindig arra ösztönzi a fejlesztőket és az eszközgyártókat, hogy illesztőprogramjait és szoftvereiket kompatibilisvé tegyék..
Ha a számítógép egyik illesztőprogramja a rendszerindításhoz nem kompatibilis a memóriavédelemmel, a Windows 10 csendben kapcsolja ki a memóriavédelmet, hogy biztosítsa számítógépének indítását és megfelelő működését. Tehát, ha megpróbálja engedélyezni és csak újraindítani, hogy még mindig le legyen tiltva, ezért.
Ha a memóriavédelem engedélyezése után problémákat tapasztal más eszközökkel vagy hibásan működő szoftverrel, a Microsoft azt javasolja, hogy ellenőrizze a frissítéseket az adott alkalmazással vagy illesztőprogrammal. Ha nincs elérhető frissítés, kapcsolja ki a memóriavédelmet.
Ahogy fentebb említettük, a Memory Integrity is összeegyeztethetetlen néhány olyan alkalmazással, amely kizárólagos hozzáférést igényel a rendszer virtualizációs hardveréhez, például virtuális gépprogramokhoz. Más eszközök, beleértve néhány debuggert is, exkluzív hozzáférést igényelnek ehhez a hardverhez, és nem fog működni a Memory Integrity engedélyezve.
A Core Isolation Memory integritásának engedélyezése
Megtekintheti, hogy a számítógépen van-e engedélyezve a Core Isolation funkció, és a Windows Defender Security Center alkalmazásból be- vagy kikapcsolja a memóriavédelmet. (Ez az eszköz átnevezhető a „Windows Security” -re a 2018. októberi frissítés részeként.)
A megnyitáshoz keresse meg a „Windows Defender Security Center” menüpontot a Start menüben, vagy lépjen a Beállítások> Frissítés és biztonság> Windows biztonság> Windows Defender biztonsági központ megnyitása lehetőségre.
Kattintson a Biztonsági központ „Eszközbiztonság” ikonjára.
Ha a Core Isolation engedélyezve van a számítógép hardverén, akkor megjelenik a „Virtualizáció alapú biztonság, hogy megvédje a készülék alapvető részeit” itt..
A memóriavédelem engedélyezéséhez (vagy letiltásához) kattintson a „Core Isolation Details” (Alapvető szigetelés részletei) linkre.
Ez a képernyő megmutatja, hogy engedélyezve van-e a Memória integritása. Ez az egyetlen lehetőség itt.
A Memória integritásának engedélyezéséhez fordítsa a kapcsolót „Be” állásba. Ha az alkalmazás vagy az eszköz problémáival találkozik, és ki kell kapcsolnia a Memória integritását, térjen vissza ide, és fordítsa a kapcsolót „Ki” állásba.
A rendszer kéri, hogy indítsa újra a számítógépet, és a módosítás csak akkor lép hatályba, ha már van.
További Windows Defender Exploit Guard funkciók
A Core Isolation és a Memory Integrity a Microsoft számos új biztonsági funkciója, amelyet a Windows Defender Exploit Guard részeként adott hozzá. Ez olyan funkciók gyűjteménye, amelyek célja a Windows támadás elleni védelme.
Alapértelmezésben engedélyezi az operációs rendszert és az alkalmazásokat sokféle kihasználástól védő kiaknázási védelmet. Ez helyettesíti a Microsoft régi EMET-eszközeit, és tartalmaz egy anti-kiaknázási funkciót, amelyet korábban a Malware Anti-Exploit telepítésére javasoltunk. Minden Windows 10 felhasználónak most kihasználatlan védelme van.
Van is Controlled Folder Access, amely védi a fájlokat a ransomware-től. Alapértelmezésben nem engedélyezett, mert bizonyos konfigurációt igényel. Ha engedélyezi ezt a funkciót, engedélyeznie kell az alkalmazások hozzáférését, mielőtt elérhetné a személyes fájlmappáiban lévő fájlokat.
Előre haladva a Memória integritása alapértelmezés szerint engedélyezve lesz az összes új PC-n, ami további védelmet nyújt a támadásokkal szemben. Csak olyan fejlett felhasználóknak kell letiltaniuk, akik virtuális gépet használnak, és más eszközöket, amelyek hozzáférést igényelnek a rendszer virtualizációs hardveréhez.