Aggiornamento di aprile 2018 di Windows 10 offre a tutti le funzionalità di sicurezza "Core Isolation" e "Memory Integrity". Questi utilizzano la sicurezza basata sulla virtualizzazione per proteggere i processi principali del sistema operativo da manomissioni, ma Memory Protection è disattivata per impostazione predefinita per le persone che eseguono l'aggiornamento.
Cos'è l'isolamento del nucleo?
Nella versione originale di Windows 10, sicurezza basata sulla virtualizzazione (VBS) erano disponibili solo su Edizioni Enterprise di Windows 10 come parte di "Device Guard". Con l'aggiornamento di aprile 2018, Core Isolation offre alcune funzionalità di sicurezza basate sulla virtualizzazione a tutte le edizioni di Windows 10.
Alcune funzionalità di isolamento di base sono abilitate per impostazione predefinita sui PC Windows 10 che soddisfano determinati requisiti hardware e firmware , incluso avere un CPU a 64 bit e Chip TPM 2.0 . Richiede inoltre che il tuo PC supporti l'estensione Intel VT-x o la tecnologia di virtualizzazione AMD-V e che sia abilitata nel tuo PC Impostazioni UEFI .
Quando queste funzionalità sono abilitate, Windows utilizza le funzionalità di virtualizzazione dell'hardware per creare un'area sicura della memoria di sistema isolata dal normale sistema operativo. Windows può eseguire processi di sistema e software di sicurezza in quest'area protetta. Ciò protegge i processi importanti del sistema operativo dall'essere manomessi da qualsiasi cosa in esecuzione al di fuori dell'area protetta.
Anche se il malware è in esecuzione sul tuo PC e conosce un exploit che dovrebbe consentirgli di violare questi processi di Windows, la sicurezza basata sulla virtualizzazione è un ulteriore livello di protezione che li isolerà dagli attacchi.
RELAZIONATO: Tutto nuovo nell'aggiornamento di aprile 2018 di Windows 10, disponibile ora
Cos'è l'integrità della memoria?
La funzionalità nota come "Integrità della memoria" nell'interfaccia di Windows 10 è anche nota come "Integrità del codice protetta da hypervisor" (HVCI) nella documentazione di Microsoft.
L'integrità della memoria è disabilitata per impostazione predefinita sui PC che sono stati aggiornati all'aggiornamento di aprile 2018, ma è possibile abilitarlo. Sarà abilitato per impostazione predefinita sulle nuove installazioni di Windows 10 in futuro.
Questa funzionalità è un sottoinsieme di Core Isolation. Windows normalmente richiede firme digitali per i driver di dispositivo e altro codice che viene eseguito in modalità kernel di Windows di basso livello. Ciò garantisce che non siano stati manomessi da malware. Quando "Memory Integrity" è abilitato, il "servizio di integrità del codice" in Windows viene eseguito all'interno del contenitore protetto da hypervisor creato da Core Isolation. Ciò dovrebbe rendere quasi impossibile per il malware manomettere i controlli di integrità del codice e ottenere l'accesso al kernel di Windows.
Problemi della macchina virtuale
Poiché Memory Integrity utilizza l'hardware di virtualizzazione del sistema, è incompatibile con programmi per macchine virtuali come VirtualBox o VMware. Solo un'applicazione alla volta può utilizzare questo hardware.
Potresti vedere un messaggio che dice che Intel VT-X o AMD-V non è abilitato o disponibile se installi un programma per macchina virtuale su un sistema con Memory Integrity abilitato. In VirtualBox, potresti vedere il messaggio di errore "La modalità raw non è disponibile per gentile concessione di Hyper-V" mentre la protezione della memoria è abilitata.
In ogni caso, se si verifica un problema con il software della macchina virtuale, è necessario disabilitare l'integrità della memoria per utilizzarlo.
Perché è disabilitato per impostazione predefinita?
La funzione principale di isolamento del core non dovrebbe causare alcun problema. È abilitato su tutti i PC Windows 10 che possono supportarlo e non esiste un'interfaccia per disabilitarlo.
Tuttavia, la protezione dell'integrità della memoria può causare problemi con alcuni driver di dispositivo o altre applicazioni Windows di basso livello, motivo per cui è disabilitata per impostazione predefinita durante gli aggiornamenti. Microsoft sta ancora spingendo sviluppatori e produttori di dispositivi a rendere compatibili i loro driver e software, motivo per cui è abilitato per impostazione predefinita sui nuovi PC e sulle nuove installazioni di Windows 10.
Se uno dei driver necessari per l'avvio del PC non è compatibile con la protezione della memoria, Windows 10 disattiverà silenziosamente la protezione della memoria per garantire che il PC possa avviarsi e funzionare correttamente. Quindi, se provi ad abilitarlo e riavviare solo per scoprire che è ancora disabilitato, ecco perché.
Se si verificano problemi con altri dispositivi o software malfunzionante dopo aver abilitato Memory Protection, Microsoft consiglia di verificare la disponibilità di aggiornamenti con l'applicazione o il driver specifico. Se non sono disponibili aggiornamenti, disattivare la protezione della memoria.
Come accennato in precedenza, Memory Integrity sarà anche incompatibile con alcune applicazioni che richiedono l'accesso esclusivo all'hardware di virtualizzazione del sistema, come i programmi delle macchine virtuali. Anche altri strumenti, inclusi alcuni debugger, richiedono l'accesso esclusivo a questo hardware e non funzioneranno con Memory Integrity abilitato.
Come abilitare l'integrità della memoria dell'isolamento dei core
Puoi vedere se il tuo PC ha le funzionalità di isolamento di base abilitate e attivare o disattivare la protezione della memoria dall'applicazione Windows Defender Security Center. (Questo strumento verrà rinominato "Protezione di Windows" come parte di Aggiornamento ottobre 2018 .)
Per aprirlo, cerca "Windows Defender Security Center" nel menu Start o vai su Impostazioni> Aggiornamento e sicurezza> Sicurezza di Windows> Apri Windows Defender Security Center.
Fare clic sull'icona "Protezione dispositivo" nel Centro sicurezza PC.
Se Core Isolation è abilitato sull'hardware del tuo PC, vedrai il messaggio "La sicurezza basata sulla virtualizzazione è in esecuzione per proteggere le parti principali del tuo dispositivo" qui.
Per abilitare (o disabilitare) la protezione della memoria, fare clic sul collegamento "Dettagli isolamento core".
Questa schermata mostra se l'integrità della memoria è abilitata o meno. Questa è l'unica opzione qui per ora.
Per abilitare l'Integrità della memoria, sposta l'interruttore su "On". Se riscontri problemi con l'applicazione o il dispositivo e devi disabilitare l'integrità della memoria, torna qui e sposta l'interruttore su "Off".
Ti verrà chiesto di riavviare il computer e la modifica avrà effetto solo quando lo avrai fatto.
Altre funzionalità di Windows Defender Exploit Guard
L'isolamento dei core e l'integrità della memoria sono alcune delle molte nuove funzionalità di sicurezza che Microsoft ha aggiunto come parte di Windows Defender Exploit Guard. Questa è una raccolta di funzionalità progettate per proteggere Windows dagli attacchi.
Protezione dagli exploit , che protegge il sistema operativo e le applicazioni da molti tipi di exploit, è abilitato per impostazione predefinita. Questo sostituisce il vecchio Microsoft Strumento EMET e include funzionalità anti-exploit che abbiamo precedentemente consigliato l'installazione di Malware Anti-Exploit per. Tutti gli utenti di Windows 10 ora dispongono della protezione dagli exploit.
C'è anche Accesso controllato alle cartelle , che protegge i tuoi file dal ransomware. Non è abilitato per impostazione predefinita perché richiede una configurazione. Se abiliti questa funzione, dovrai consentire alle applicazioni di accedere prima che possano accedere ai file nelle tue cartelle di file personali.
RELAZIONATO: Come funziona la nuova protezione dagli exploit di Windows Defender (e come configurarla)
In futuro, l'Integrità della memoria sarà abilitata per impostazione predefinita su tutti i nuovi PC, fornendo una protezione aggiuntiva contro gli attacchi. Solo gli utenti avanzati che utilizzano il software della macchina virtuale e altri strumenti che richiedono l'accesso all'hardware di virtualizzazione del sistema dovranno disabilitarlo.
