Aktualizace Windows 10 z dubna 2018 přináší bezpečnostní funkce „Core Isolation“ a „Integrita paměti“ pro každého. Používají zabezpečení založené na virtualizaci k ochraně vašich základních procesů operačního systému před neoprávněnou manipulací, ale ochrana paměti je ve výchozím nastavení vypnutá pro lidi, kteří upgradují.
Co je izolace jádra?
V původním vydání Windows 10 zabezpečení založené na virtualizaci Funkce (VBS) byly k dispozici pouze na Enterprise vydání systému Windows 10 jako součást „Device Guard“. S aktualizací z dubna 2018 přináší Core Isolation některé funkce zabezpečení založené na virtualizaci ve všech vydáních Windows 10.
Některé funkce izolace jádra jsou ve výchozím nastavení povoleny na počítačích se systémem Windows 10, které splňují určité požadavky hardwarové a firmwarové požadavky , včetně toho, že 64bitový procesor a Čip TPM 2.0 . Vyžaduje také, aby váš počítač podporoval Intel VT-x nebo AMD-V virtualizační technologie a že je povolena ve vašem počítači Nastavení UEFI .
Když jsou tyto funkce povoleny, používá systém Windows funkce virtualizace hardwaru k vytvoření zabezpečené oblasti systémové paměti, která je izolována od běžného operačního systému. Windows může v této zabezpečené oblasti spouštět systémové procesy a bezpečnostní software. To chrání důležité procesy operačního systému před manipulací s něčím, co běží mimo zabezpečenou oblast.
I když ve vašem počítači běží malware a zná zneužití, které by mu mělo umožnit prolomit tyto procesy Windows, zabezpečení založené na virtualizaci je další vrstvou ochrany, která je izoluje od útoku.
PŘÍBUZNÝ: Vše nové v aktualizaci Windows 10 z dubna 2018, nyní k dispozici
Co je integrita paměti?
Funkce známá jako „Integrita paměti“ v rozhraní Windows 10 je v dokumentaci společnosti Microsoft také známá jako „Hypervisor chráněný kód Integrity“ (HVCI).
Integrita paměti je ve výchozím nastavení zakázána na počítačích, které upgradovaly na aktualizaci z dubna 2018, ale můžete ji povolit. Ve výchozím nastavení bude povoleno u nových instalací systému Windows 10.
Tato funkce je podmnožinou izolace jádra. Windows obvykle vyžadují digitální podpisy pro ovladače zařízení a další kód, který běží v režimu jádra systému Windows na nízké úrovni. Tím je zajištěno, že k nim nedovolil neoprávněný zásah malwarem. Když je povolena „Integrita paměti“, „služba integrity kódu“ ve Windows běží uvnitř kontejneru chráněného hypervizorem vytvořeného Core Isolation. To by mělo téměř zabránit malwaru manipulovat s kontrolami integrity kódu a získat přístup k jádru Windows.
Problémy s virtuálním strojem
Jelikož Integrita paměti používá virtualizační hardware systému, je nekompatibilní s programy virtuálních strojů jako VirtualBox nebo VMware. Tento hardware může používat pouze jedna aplikace současně.
Pokud nainstalujete program virtuálního počítače do systému s povolenou integritou paměti, může se zobrazit zpráva, že Intel VT-X nebo AMD-V není povolený nebo dostupný. Ve VirtualBoxu se může zobrazit chybová zpráva „Nezpracovaný režim není k dispozici se svolením Hyper-V“, zatímco je povolena ochrana paměti.
Ať tak či onak, pokud narazíte na problém se softwarem virtuálního počítače, musíte pro jeho použití deaktivovat Integritu paměti.
Proč je ve výchozím nastavení zakázán?
Hlavní funkce izolace jádra by neměla způsobovat žádné problémy. Je povoleno na všech počítačích se systémem Windows 10, které jej mohou podporovat, a neexistuje žádné rozhraní pro jeho deaktivaci.
Ochrana integrity paměti však může způsobit problémy s některými ovladači zařízení nebo jinými nízkoúrovňovými aplikacemi systému Windows, a proto je při upgradu ve výchozím nastavení zakázána. Společnost Microsoft stále tlačí na vývojáře a výrobce zařízení, aby zajistili kompatibilitu svých ovladačů a softwaru, a proto je ve výchozím nastavení povolena na nových počítačích a nových instalacích systému Windows 10.
Pokud je jeden z ovladačů, které váš počítač vyžaduje pro spuštění, nekompatibilní s ochranou paměti, Windows 10 tiše vypne ochranu paměti, aby bylo zajištěno, že se váš počítač bude moci zavést a správně fungovat. Pokud to tedy zkusíte povolit a restartovat, jen abyste zjistili, že je stále deaktivováno, je to důvod.
Pokud po povolení ochrany paměti narazíte na problémy s jinými zařízeními nebo nefunkčním softwarem, společnost Microsoft doporučuje zkontrolovat aktualizace pomocí konkrétní aplikace nebo ovladače. Pokud nejsou k dispozici žádné aktualizace, vypněte ochranu paměti.
Jak jsme zmínili výše, Integrita paměti bude také nekompatibilní s některými aplikacemi, které vyžadují exkluzivní přístup k virtualizačnímu hardwaru systému, jako jsou programy virtuálních strojů. Jiné nástroje, včetně některých debuggerů, také vyžadují exkluzivní přístup k tomuto hardwaru a nebudou fungovat s povolenou integritou paměti.
Jak povolit integritu paměti izolace jádra
Z aplikace Windows Defender Security Center můžete zjistit, zda má váš počítač povoleny funkce izolace jádra, a zapnout nebo vypnout ochranu paměti. (Tento nástroj bude přejmenován na „Zabezpečení Windows“ jako součást Aktualizace z října 2018 .)
Chcete-li jej otevřít, vyhledejte v nabídce Start „Centrum zabezpečení Windows Defender“ nebo přejděte do Nastavení> Aktualizace a zabezpečení> Zabezpečení Windows> Otevřít Centrum zabezpečení Windows Defender.
Klikněte na ikonu „Zabezpečení zařízení“ v Centru zabezpečení.
Pokud je na hardwaru vašeho počítače povolena izolace jádra, zde se zobrazí zpráva „Zabezpečení založené na virtualizaci běží, aby chránilo hlavní součásti vašeho zařízení“.
Chcete-li povolit (nebo zakázat) ochranu paměti, klikněte na odkaz „Podrobnosti izolace jádra“.
Tato obrazovka ukazuje, zda je integrita paměti povolena či nikoli. To je zatím jediná možnost.
Chcete-li povolit integritu paměti, přepněte přepínač do polohy „Zapnuto“. Pokud narazíte na problémy s aplikací nebo zařízením a potřebujete deaktivovat integritu paměti, vraťte se sem a přepněte přepínač do polohy „Vypnuto“.
Zobrazí se výzva k restartování počítače a změna se projeví až poté, co ji provedete.
Další funkce programu Windows Defender Exploit Guard
Izolace jádra a integrita paměti jsou některé z mnoha nových funkcí zabezpečení, které společnost Microsoft přidala jako součást programu Windows Defender Exploit Guard. Toto je kolekce funkcí určených k zabezpečení systému Windows před útoky.
Ochrana před zneužitím , která chrání váš operační systém a aplikace před mnoha typy zneužití, je ve výchozím nastavení povolena. Toto nahrazuje staré verze společnosti Microsoft Nástroj EMET a zahrnuje funkce proti zneužití, které jsme dříve používali doporučujeme nainstalovat Malware Anti-Exploit pro. Všichni uživatelé systému Windows 10 mají nyní ochranu před zneužitím.
K dispozici je také Řízený přístup ke složce , který chrání vaše soubory před ransomwarem. Ve výchozím nastavení není povoleno, protože vyžaduje určitou konfiguraci. Pokud povolíte tuto funkci, budete muset aplikacím povolit přístup, než budou moci přistupovat k souborům ve vašich osobních složkách souborů.
PŘÍBUZNÝ: Jak funguje nová ochrana proti zneužití programu Windows Defender (a jak ji nakonfigurovat)
V budoucnu bude integrita paměti ve výchozím nastavení povolena na všech nových počítačích, což poskytne další ochranu před útoky. Pouze pokročilí uživatelé, kteří používají software virtuálních strojů a další nástroje, které vyžadují přístup k hardwaru virtualizace systému, jej budou muset deaktivovat.
