Atualização de abril de 2018 do Windows 10 traz os recursos de segurança “Isolamento de núcleo” e “Integridade de memória” para todos. Eles usam segurança baseada em virtualização para proteger os principais processos do sistema operacional contra violação, mas a Proteção de Memória está desativada por padrão para as pessoas que fazem upgrade.
O que é isolamento de núcleo?
Na versão original do Windows 10, segurança baseada em virtualização (VBS) recursos estavam disponíveis apenas em Edições Enterprise do Windows 10 como parte do “Device Guard”. Com a atualização de abril de 2018, o Isolamento de núcleo traz alguns recursos de segurança baseados em virtualização para todas as edições do Windows 10.
Alguns recursos de isolamento de núcleo são habilitados por padrão em PCs com Windows 10 que atendem a determinados requisitos de hardware e firmware , incluindo ter um CPU de 64 bits e TPM 2.0 chip . Também requer que seu PC suporte o Intel VT-x ou tecnologia de virtualização AMD-V, e que está habilitada no seu PC Configurações UEFI .
Quando esses recursos estão ativados, o Windows usa recursos de virtualização de hardware para criar uma área segura de memória do sistema que é isolada do sistema operacional normal. O Windows pode executar processos do sistema e software de segurança nesta área segura. Isso protege processos importantes do sistema operacional de serem adulterados por qualquer coisa em execução fora da área segura.
Mesmo que o malware esteja sendo executado no seu PC e conheça um exploit que deve permitir que ele crack esses processos do Windows, a segurança baseada em virtualização é uma camada adicional de proteção que irá isolá-los de ataques.
RELACIONADOS: Tudo novo na atualização de abril de 2018 do Windows 10, disponível agora
O que é integridade de memória?
O recurso conhecido como "Integridade de memória" na interface do Windows 10 também é conhecido como "Integridade de código protegido por hipervisor" (HVCI) na documentação da Microsoft.
A integridade da memória é desabilitada por padrão em PCs que foram atualizados para a atualização de abril de 2018, mas você pode habilitá-la. Ele será ativado por padrão em novas instalações do Windows 10 daqui para frente.
Este recurso é um subconjunto do Isolamento do núcleo. O Windows normalmente requer assinaturas digitais para drivers de dispositivo e outro código executado no modo kernel do Windows de baixo nível. Isso garante que eles não foram violados por malware. Quando “Integridade de memória” está habilitada, o “serviço de integridade de código” no Windows é executado dentro do contêiner protegido por hipervisor criado pelo Isolamento de núcleo. Isso deve tornar quase impossível para o malware adulterar as verificações de integridade do código e obter acesso ao kernel do Windows.
Problemas de máquina virtual
Como o Memory Integrity usa o hardware de virtualização do sistema, ele é incompatível com programas de máquina virtual como VirtualBox ou VMware. Apenas um aplicativo pode usar este hardware por vez.
Você pode ver uma mensagem dizendo que Intel VT-X ou AMD-V não está habilitado ou disponível se você instalar um programa de máquina virtual em um sistema com Integridade de Memória habilitada. No VirtualBox, você pode ver a mensagem de erro “O modo Raw não está disponível, cortesia do Hyper-V” enquanto a Proteção de Memória está habilitada.
De qualquer forma, se você encontrar um problema com o software da máquina virtual, deve desativar a integridade da memória para usá-lo.
Por que está desativado por padrão?
O principal recurso de isolamento do núcleo não deve causar problemas. Ele está ativado em todos os PCs com Windows 10 que podem suportá-lo e não há interface para desativá-lo.
No entanto, a proteção de integridade de memória pode causar problemas com alguns drivers de dispositivo ou outros aplicativos Windows de baixo nível, razão pela qual é desabilitada por padrão nas atualizações. A Microsoft ainda está pressionando os desenvolvedores e fabricantes de dispositivos a tornar seus drivers e software compatíveis, e é por isso que é habilitado por padrão em novos PCs e novas instalações do Windows 10.
Se um dos drivers que seu PC requer para inicializar for incompatível com a Proteção de Memória, o Windows 10 irá silenciosamente desativar a Proteção de Memória para garantir que seu PC possa inicializar e funcionar corretamente. Portanto, se você tentar ativá-lo e reiniciar apenas para descobrir que ainda está desativado, é por isso.
Se você encontrar problemas com outros dispositivos ou software com defeito após ativar a Proteção de memória, a Microsoft recomenda verificar se há atualizações com o aplicativo ou driver específico. Se nenhuma atualização estiver disponível, desative a Proteção de memória.
Como mencionamos acima, a integridade da memória também será incompatível com alguns aplicativos que requerem acesso exclusivo ao hardware de virtualização do sistema, como programas de máquina virtual. Outras ferramentas, incluindo alguns depuradores, também requerem acesso exclusivo a este hardware e não funcionam com a integridade da memória ativada.
Como habilitar integridade de memória de isolamento de núcleo
Você pode ver se o seu PC tem recursos de Isolamento de Núcleo habilitados e ativar ou desativar a Proteção de Memória no aplicativo Central de Segurança do Windows Defender. (Esta ferramenta será renomeada como "Segurança do Windows" como parte do Atualização de outubro de 2018 .)
Para abri-lo, pesquise “Central de Segurança do Windows Defender” no menu Iniciar ou vá para Configurações> Atualização e Segurança> Segurança do Windows> Abrir Central de Segurança do Windows Defender.
Clique no ícone “Segurança do dispositivo” na Central de segurança.
Se o isolamento de núcleo estiver habilitado no hardware do seu PC, você verá a mensagem "Segurança baseada em virtualização está sendo executada para proteger as partes principais do seu dispositivo" aqui.
Para habilitar (ou desabilitar) a Proteção de Memória, clique no link “Core Isolation Details”.
Esta tela mostra se a integridade da memória está habilitada ou não. Essa é a única opção aqui por enquanto.
Para habilitar a integridade da memória, mude a chave para “Ligado”. Se você encontrar problemas de aplicativo ou dispositivo e precisar desativar a integridade da memória, volte aqui e mude a chave para “Desligado”.
Você será solicitado a reiniciar o computador, e a alteração só entrará em vigor depois que você reiniciar.
Mais recursos do Windows Defender Exploit Guard
Isolamento de núcleo e integridade de memória são alguns dos muitos novos recursos de segurança que a Microsoft adicionou como parte do Windows Defender Exploit Guard. Esta é uma coleção de recursos projetados para proteger o Windows contra ataques.
Proteção de exploração , que protege seu sistema operacional e aplicativos de muitos tipos de exploits, é habilitado por padrão. Isso substitui o antigo Ferramenta EMET e inclui recursos anti-exploit que anteriormente recomenda-se instalar o Malware Anti-Exploit para. Todos os usuários do Windows 10 agora têm proteção contra exploits.
Há também Acesso a pasta controlada , que protege seus arquivos de ransomware. Não é habilitado por padrão porque requer alguma configuração. Se você ativar esse recurso, terá que permitir o acesso dos aplicativos antes que eles possam acessar os arquivos em suas pastas de arquivos pessoais.
RELACIONADOS: Como funciona a nova proteção contra exploração do Windows Defender (e como configurá-la)
A partir de agora, a integridade da memória será habilitada por padrão em todos os novos PCs, fornecendo proteção adicional contra ataques. Apenas usuários avançados que usam software de máquina virtual e outras ferramentas que requerem acesso ao hardware de virtualização do sistema terão que desativá-lo.
