Windows 10s oppdatering fra april 2018 bringer sikkerhetsfunksjonene "Core Isolation" og "Memory Integrity" til alle. Disse bruker virtualiseringsbasert sikkerhet for å beskytte kjerneoperativsystemprosessene dine mot manipulering, men Memory Protection er som standard slått av for folk som oppgraderer.
Hva er Core Isolation?
I den opprinnelige utgivelsen av Windows 10, virtualiseringsbasert sikkerhet (VBS) -funksjoner var bare tilgjengelig på Enterprise-utgaver av Windows 10 som en del av "Device Guard." Med oppdateringen fra april 2018 bringer Core Isolation noen virtualiseringsbaserte sikkerhetsfunksjoner til alle utgaver av Windows 10.
Noen Core Isolation-funksjoner er aktivert som standard på Windows 10-PCer som oppfyller visse krav til maskinvare og fastvare , inkludert å ha en 64-biters CPU og TPM 2.0-brikke . Det krever også at din PC støtter Intel VT-x eller AMD-V virtualiseringsteknologi, og at den er aktivert på PC-en UEFI-innstillinger .
Når disse funksjonene er aktivert, bruker Windows maskinvarevirtualiseringsfunksjoner for å skape et sikkert område av systemminnet som er isolert fra det normale operativsystemet. Windows kan kjøre systemprosesser og sikkerhetsprogramvare i dette sikre området. Dette beskytter viktige operativsystemprosesser fra å bli tuklet med noe som kjører utenfor det sikre området.
Selv om skadelig programvare kjører på PC-en din og kjenner en utnyttelse som skal tillate den å knekke disse Windows-prosessene, er den virtualiseringsbaserte sikkerheten et ekstra beskyttelseslag som vil isolere dem fra angrep.
I SLEKT: Alt nytt i Windows 10s oppdatering fra april 2018, tilgjengelig nå
Hva er minneintegritet?
Funksjonen kjent som "Memory Integrity" i Windows 10s grensesnitt er også kjent som "Hypervisor protected Code Integrity" (HVCI) i Microsofts dokumentasjon.
Memory Integrity er deaktivert som standard på PCer som oppgraderte til april 2018-oppdateringen, men du kan aktivere den. Det vil være aktivert som standard på nye installasjoner av Windows 10 fremover.
Denne funksjonen er en delmengde av Core Isolation. Windows krever normalt digitale signaturer for enhetsdrivere og annen kode som kjører i Windows-kjernemodus på lavt nivå. Dette sikrer at de ikke har blitt tuklet med skadelig programvare. Når “Minneintegritet” er aktivert, kjører “kodeintegritetstjenesten” i Windows inne i den hypervisor-beskyttede beholderen som er opprettet av Core Isolation. Dette skulle gjøre det nesten umulig for skadelig programvare å tukle med kodeintegritetskontrollene og få tilgang til Windows-kjernen.
Problemer med virtuell maskin
Ettersom Memory Integrity bruker systemets virtualiseringsmaskinvare, er det ikke kompatibelt med programmer for virtuelle maskiner som VirtualBox eller VMware. Bare ett program kan bruke denne maskinvaren om gangen.
Det kan hende du ser en melding om at Intel VT-X eller AMD-V ikke er aktivert eller tilgjengelig hvis du installerer et program for virtuell maskin på et system med Memory Integrity aktivert. I VirtualBox kan du se feilmeldingen "Raw-mode er utilgjengelig med tillatelse fra Hyper-V" mens Memory Protection er aktivert.
Uansett, hvis du støter på et problem med den virtuelle maskinprogramvaren din, må du deaktivere Memory Integrity for å bruke den.
Hvorfor er det deaktivert som standard?
Den viktigste funksjonen Core Isolation bør ikke forårsake problemer. Den er aktivert på alle Windows 10-PCer som kan støtte den, og det er ikke noe grensesnitt for å deaktivere den.
Imidlertid kan Memory Integrity-beskyttelse føre til problemer med noen enhetsdrivere eller andre Windows-applikasjoner på lavt nivå, og det er derfor den er deaktivert som standard ved oppgraderinger. Microsoft presser fremdeles utviklere og enhetsprodusenter for å gjøre driverne og programvaren kompatibel, og det er derfor den er aktivert som standard på nye PC-er og nye installasjoner av Windows 10.
Hvis en av driverne PC-en din trenger for å starte, er inkompatibel med Memory Protection, vil Windows 10 stille av Memory Protection for å sikre at PC-en din kan starte og fungere skikkelig. Så hvis du prøver å aktivere den og bare starte på nytt for å finne at den fortsatt er deaktivert, er det derfor.
Hvis du støter på problemer med andre enheter eller feil programvare etter at du har aktivert minnebeskyttelse, anbefaler Microsoft å se etter oppdateringer med det spesifikke programmet eller driveren. Hvis ingen oppdateringer er tilgjengelige, må du slå av minnebeskyttelse.
Som vi nevnte ovenfor, vil Memory Integrity også være inkompatibelt med noen applikasjoner som krever eksklusiv tilgang til systemets virtualiseringsmaskinvare, for eksempel programmer for virtuelle maskiner. Andre verktøy, inkludert noen debuggere, krever også eksklusiv tilgang til denne maskinvaren og fungerer ikke med Memory Integrity aktivert.
Slik aktiverer du Core Isolation Memory Integrity
Du kan se om PC-en din har Core Isolation-funksjoner aktivert og slå minnebeskyttelse på eller av fra Windows Defender Security Center-applikasjonen. (Dette verktøyet vil bli omdøpt til "Windows Security" som en del av Oppdatering fra oktober 2018 .)
For å åpne den, søk etter "Windows Defender Security Center" i Start-menyen eller gå til Innstillinger> Oppdater og sikkerhet> Windows Security> Åpne Windows Defender Security Center.
Klikk på "Enhetssikkerhet" -ikonet i Sikkerhetssenter.
Hvis Core Isolation er aktivert på maskinvaren på din PC, vil du se meldingen "Virtualiseringsbasert sikkerhet kjører for å beskytte kjernedelene til enheten din" her.
For å aktivere (eller deaktivere) minnebeskyttelse, klikk på koblingen "Detaljer om kjerneisolering".
Denne skjermen viser deg om minneintegritet er aktivert eller ikke. Det er det eneste alternativet her for nå.
For å aktivere minneintegritet, vri bryteren til "På". Hvis du støter på applikasjons- eller enhetsproblemer og trenger å deaktivere Memory Integrity, kan du komme tilbake hit og vri bryteren til "Off".
Du blir bedt om å starte datamaskinen på nytt, og endringen vil bare tre i kraft når du har gjort det.
Flere funksjoner for Windows Defender Exploit Guard
Core Isolation og Memory Integrity er noen av de mange nye sikkerhetsfunksjonene Microsoft har lagt til som en del av Windows Defender Exploit Guard. Dette er en samling funksjoner designet for å sikre Windows mot angrep.
Utnytt beskyttelsen , som beskytter operativsystemet og applikasjonene dine mot mange typer utnyttelser, er aktivert som standard. Dette erstatter Microsofts gamle EMET-verktøy , og inkluderer anti-utnyttelsesfunksjoner vi tidligere anbefalt å installere Malware Anti-Exploit til. Alle Windows 10-brukere har nå utnyttelsesbeskyttelse.
Det er også Kontrollert mappetilgang , som beskytter filene dine mot løsepenger. Det er ikke aktivert som standard fordi det krever en viss konfigurasjon. Hvis du aktiverer denne funksjonen, må du gi tilgang til applikasjoner før de får tilgang til filer i dine personlige filmapper.
I SLEKT: Hvordan fungerer Windows Defenders nye utnyttelsesbeskyttelse (og hvordan du konfigurerer det)
Fremover vil Memory Integrity være aktivert som standard på alle nye PC-er, noe som gir ekstra beskyttelse mot angrep. Bare avanserte brukere som bruker programvare for virtuell maskin og andre verktøy som krever tilgang til systemvirtualiseringsmaskinvaren, må deaktivere den.
