Aktualizacja systemu Windows 10 z kwietnia 2018 r zapewnia wszystkim funkcje zabezpieczeń „Core Isolation” i „Memory Integrity”. Korzystają one z zabezpieczeń opartych na wirtualizacji, aby chronić podstawowe procesy systemu operacyjnego przed manipulacją, ale ochrona pamięci jest domyślnie wyłączona dla osób, które dokonują aktualizacji.
Co to jest izolacja rdzenia?
W oryginalnej wersji systemu Windows 10 zabezpieczenia oparte na wirtualizacji (VBS) były dostępne tylko w Wersje Enterprise systemu Windows 10 w ramach „Device Guard”. Wraz z aktualizacją z kwietnia 2018 r. Core Isolation wprowadza pewne funkcje zabezpieczeń oparte na wirtualizacji do wszystkich wersji systemu Windows 10.
Niektóre funkcje Core Isolation są domyślnie włączone na komputerach z systemem Windows 10, które spełniają określone wymagania wymagania dotyczące sprzętu i oprogramowania układowego , w tym posiadanie 64-bitowy procesor i Układ TPM 2.0 . Wymaga również, aby komputer obsługiwał rozszerzenie Intel VT-x lub technologii wirtualizacji AMD-V i że jest włączona w Twoim komputerze Ustawienia UEFI .
Gdy te funkcje są włączone, system Windows wykorzystuje funkcje wirtualizacji sprzętu do tworzenia bezpiecznego obszaru pamięci systemowej, który jest odizolowany od normalnego systemu operacyjnego. W tym bezpiecznym obszarze system Windows może uruchamiać procesy systemowe i oprogramowanie zabezpieczające. Chroni to ważne procesy systemu operacyjnego przed manipulacją przez cokolwiek działającego poza bezpiecznym obszarem.
Nawet jeśli złośliwe oprogramowanie działa na Twoim komputerze i zna exploit, który powinien pozwolić mu złamać te procesy systemu Windows, zabezpieczenia oparte na wirtualizacji stanowią dodatkową warstwę ochrony, która izoluje je przed atakiem.
ZWIĄZANE Z: Wszystko nowe w aktualizacji systemu Windows 10 z kwietnia 2018 r., Dostępne już teraz
Co to jest integralność pamięci?
Funkcja znana jako „Integralność pamięci” w interfejsie systemu Windows 10 jest również w dokumentacji firmy Microsoft nazywana „integralnością kodu chronioną przez hiperwizor” (HVCI).
Integralność pamięci jest domyślnie wyłączona na komputerach, które zostały uaktualnione do aktualizacji z kwietnia 2018 r., Ale można ją włączyć. Będzie domyślnie włączony w nowych instalacjach systemu Windows 10 w przyszłości.
Ta funkcja jest podzbiorem izolacji rdzenia. Windows zwykle wymaga podpisy cyfrowe dla sterowników urządzeń i inny kod działający w niskopoziomowym trybie jądra systemu Windows. Gwarantuje to, że nie zostały zmodyfikowane przez złośliwe oprogramowanie. Gdy „Integralność pamięci” jest włączona, „usługa integralności kodu” w systemie Windows działa w kontenerze chronionym przez hiperwizor, utworzonym przez Core Isolation. Powinno to uniemożliwić złośliwemu oprogramowaniu manipulowanie przy sprawdzaniu integralności kodu i uzyskanie dostępu do jądra systemu Windows.
Problemy z maszynami wirtualnymi
Ponieważ integralność pamięci korzysta ze sprzętu do wirtualizacji systemu, jest ona niezgodna z programy maszyn wirtualnych jak VirtualBox czy VMware. Tylko jedna aplikacja może używać tego sprzętu naraz.
Możesz zobaczyć komunikat informujący, że Intel VT-X lub AMD-V nie jest włączony lub dostępny, jeśli zainstalujesz program maszyny wirtualnej w systemie z włączoną integralnością pamięci. W VirtualBox może pojawić się komunikat o błędzie „Tryb Raw jest niedostępny dzięki Hyper-V”, gdy ochrona pamięci jest włączona.
Tak czy inaczej, jeśli napotkasz problem z oprogramowaniem maszyny wirtualnej, musisz wyłączyć integralność pamięci, aby z niego korzystać.
Dlaczego jest domyślnie wyłączony?
Główna funkcja izolacji rdzenia nie powinna powodować żadnych problemów. Jest włączony na wszystkich komputerach z systemem Windows 10, które mogą go obsługiwać, i nie ma interfejsu do jego wyłączania.
Jednak ochrona integralności pamięci może powodować problemy z niektórymi sterownikami urządzeń lub innymi niskopoziomowymi aplikacjami systemu Windows, dlatego jest domyślnie wyłączona podczas uaktualnień. Firma Microsoft nadal naciska na programistów i producentów urządzeń, aby ich sterowniki i oprogramowanie były kompatybilne, dlatego jest domyślnie włączone na nowych komputerach i nowych instalacjach systemu Windows 10.
Jeśli jeden ze sterowników, których komputer wymaga do rozruchu, jest niezgodny z funkcją ochrony pamięci, system Windows 10 po cichu wyłączy ochronę pamięci, aby komputer mógł się uruchomić i działać poprawnie. Jeśli więc spróbujesz go włączyć i ponownie uruchomisz tylko po to, aby stwierdzić, że nadal jest wyłączony, to właśnie dlatego.
Jeśli po włączeniu ochrony pamięci napotkasz problemy z innymi urządzeniami lub nieprawidłowo działającym oprogramowaniem, firma Microsoft zaleca sprawdzenie dostępności aktualizacji dla określonej aplikacji lub sterownika. Jeśli żadne aktualizacje nie są dostępne, wyłącz ochronę pamięci.
Jak wspomnieliśmy powyżej, integralność pamięci będzie również niekompatybilna z niektórymi aplikacjami, które wymagają wyłącznego dostępu do sprzętu do wirtualizacji systemu, takich jak programy maszyn wirtualnych. Inne narzędzia, w tym niektóre debugery, również wymagają wyłącznego dostępu do tego sprzętu i nie będą działać, gdy włączona jest integralność pamięci.
Jak włączyć integralność pamięci Core Isolation
Możesz sprawdzić, czy Twój komputer ma włączone funkcje Core Isolation i włączyć lub wyłączyć ochronę pamięci w aplikacji Windows Defender Security Center. (Nazwa tego narzędzia zostanie zmieniona na „Zabezpieczenia systemu Windows” jako część Aktualizacja z października 2018 r .)
Aby go otworzyć, wyszukaj „Windows Defender Security Center” w menu Start lub wybierz Ustawienia> Aktualizacje i zabezpieczenia> Zabezpieczenia Windows> Otwórz Centrum zabezpieczeń Windows Defender.
Kliknij ikonę „Device Security” w Centrum bezpieczeństwa.
Jeśli izolacja rdzenia jest włączona na sprzęcie Twojego komputera, zobaczysz komunikat „Zabezpieczenia oparte na wirtualizacji są uruchomione, aby chronić podstawowe części Twojego urządzenia”.
Aby włączyć (lub wyłączyć) ochronę pamięci, kliknij łącze „Szczegóły izolacji rdzenia”.
Ten ekran pokazuje, czy integralność pamięci jest włączona, czy nie. Na razie to jedyna opcja.
Aby włączyć integralność pamięci, ustaw przełącznik w pozycji „Wł.”. Jeśli napotkasz problemy z aplikacją lub urządzeniem i musisz wyłączyć integralność pamięci, wróć tutaj i przestaw przełącznik na „Wył.”.
Zostaniesz poproszony o ponowne uruchomienie komputera, a zmiana zacznie obowiązywać dopiero wtedy, gdy to zrobisz.
Więcej funkcji Windows Defender Exploit Guard
Izolacja rdzenia i integralność pamięci to tylko niektóre z wielu nowych funkcji bezpieczeństwa, które Microsoft dodał w ramach funkcji Windows Defender Exploit Guard. Jest to zbiór funkcji zaprojektowanych w celu zabezpieczenia systemu Windows przed atakiem.
Ochrona przed exploitami , który chroni system operacyjny i aplikacje przed wieloma typami exploitów, jest domyślnie włączony. Zastępuje to starą wersję Microsoft Narzędzie EMET , i zawiera funkcje ochrony przed exploitami, które poprzednio zalecane zainstalowanie Malware Anti-Exploit dla. Wszyscy użytkownicy systemu Windows 10 mają teraz ochronę przed exploitami.
Jest także Kontrolowany dostęp do folderów , który chroni Twoje pliki przed oprogramowaniem ransomware. Nie jest domyślnie włączona, ponieważ wymaga pewnej konfiguracji. Jeśli włączysz tę funkcję, musisz zezwolić aplikacjom na dostęp, zanim będą one mogły uzyskać dostęp do plików w Twoich osobistych folderach plików.
ZWIĄZANE Z: Jak działa nowa ochrona przed exploitami programu Windows Defender (i jak ją skonfigurować)
W przyszłości integralność pamięci będzie domyślnie włączona na wszystkich nowych komputerach, zapewniając dodatkową ochronę przed atakami. Tylko zaawansowani użytkownicy, którzy używają oprogramowania maszyny wirtualnej i innych narzędzi, które wymagają dostępu do sprzętu do wirtualizacji systemu, będą musieli go wyłączyć.
