Actualizarea Windows 10 din aprilie 2018 aduce caracteristicilor de securitate „Core Isolation” și „Memory Integrity” tuturor. Acestea folosesc securitatea bazată pe virtualizare pentru a vă proteja procesele de bază ale sistemului de operare împotriva manipulării, dar Memory Protection este dezactivat în mod implicit pentru persoanele care fac upgrade.
Ce este izolarea nucleului?
În versiunea originală a Windows 10, securitate bazată pe virtualizare (VBS) funcțiile erau disponibile numai pe Ediții Enterprise pentru Windows 10 ca parte a „Device Guard”. Odată cu actualizarea din aprilie 2018, Core Isolation aduce câteva funcții de securitate bazate pe virtualizare la toate edițiile de Windows 10.
Unele caracteristici Core Isolation sunt activate în mod implicit pe computerele Windows 10 care îndeplinesc anumite condiții cerințele hardware și firmware , inclusiv având un CPU pe 64 de biți și TPM 2.0 chip . De asemenea, necesită ca computerul dvs. să accepte Intel VT-x sau tehnologia de virtualizare AMD-V și că este activată pe computer Setări UEFI .
Când aceste caracteristici sunt activate, Windows utilizează caracteristici de virtualizare hardware pentru a crea o zonă sigură a memoriei de sistem izolată de sistemul de operare normal. Windows poate rula procese de sistem și software de securitate în această zonă securizată. Acest lucru protejează procesele importante ale sistemului de operare de a fi manipulate de orice lucru care rulează în afara zonei securizate.
Chiar dacă malware-ul rulează pe computerul dvs. și cunoaște un exploit care ar trebui să îi permită să spargă aceste procese Windows, securitatea bazată pe virtualizare este un strat suplimentar de protecție care îi va izola de atac.
LEGATE DE: Totul nou în actualizarea din aprilie 2018 a Windows 10, disponibil acum
Ce este integritatea memoriei?
Funcția cunoscută sub numele de „Integritate de memorie” în interfața Windows 10 este cunoscută și sub denumirea de „Integritate de cod protejat de hipervizor” (HVCI) în documentația Microsoft.
Integritatea memoriei este dezactivată implicit pe computerele care au trecut la actualizarea din aprilie 2018, dar o puteți activa. Acesta va fi activat în mod implicit pentru noile instalări de Windows 10 în viitor.
Această caracteristică este un subset al Core Isolation. Windows necesită în mod normal semnături digitale pentru driverele de dispozitiv și alt cod care rulează în modul kernel Windows de nivel scăzut. Acest lucru asigură că nu au fost modificate de malware. Când „Integritatea memoriei” este activată, „serviciul de integritate a codului” din Windows rulează în containerul protejat de hipervizor creat de Core Isolation. Acest lucru ar trebui să facă aproape imposibil ca malware-ul să modifice verificările de integritate a codului și să aibă acces la nucleul Windows.
Probleme cu mașinile virtuale
Deoarece Integritatea memoriei utilizează hardware-ul de virtualizare al sistemului, este incompatibil cu virtual machine programs precum VirtualBox sau VMware. O singură aplicație poate utiliza acest hardware odată.
Este posibil să vedeți un mesaj care spune că Intel VT-X sau AMD-V nu este activat sau disponibil dacă instalați un program de mașină virtuală pe un sistem cu Integritatea memoriei activată. În VirtualBox, este posibil să vedeți mesajul de eroare „Raw-mode is indisponible courtesy of Hyper-V” în timp ce Memory Protection este activat.
Oricum, dacă întâmpinați o problemă cu software-ul mașinii dvs. virtuale, trebuie să dezactivați Integritatea memoriei pentru ao utiliza.
De ce este dezactivat implicit?
Funcția principală de izolare a nucleului nu ar trebui să cauzeze probleme. Este activat pe toate computerele Windows 10 care îl pot suporta și nu există nicio interfață pentru dezactivarea acestuia.
Cu toate acestea, protecția Integrității memoriei poate provoca probleme cu unele drivere de dispozitiv sau alte aplicații Windows de nivel scăzut, motiv pentru care este dezactivată implicit la actualizări. Microsoft încă împinge dezvoltatorii și producătorii de dispozitive să își facă driverele și software-urile compatibile, motiv pentru care este activat în mod implicit pe noile PC-uri și noi instalări de Windows 10.
Dacă unul dintre driverele pe care PC-ul dvs. le necesită pentru a porni este incompatibil cu Memory Protection, Windows 10 va dezactiva în mod silențios Memory Protection pentru a se asigura că computerul dvs. poate porni și funcționa corect. Deci, dacă încercați să o activați și să reporniți numai pentru a găsi că este încă dezactivat, de aceea.
Dacă întâmpinați probleme cu alte dispozitive sau software care funcționează defectuos după activarea Protecției memoriei, Microsoft recomandă verificarea actualizărilor cu aplicația sau driverul specific. Dacă nu sunt disponibile actualizări, dezactivați Protecția memoriei.
După cum am menționat mai sus, Integritatea memoriei va fi, de asemenea, incompatibilă cu unele aplicații care necesită acces exclusiv la hardware-ul de virtualizare al sistemului, cum ar fi programele mașinilor virtuale. Alte instrumente, inclusiv unele depanatoare, necesită, de asemenea, acces exclusiv la acest hardware și nu vor funcționa cu integritatea memoriei activată.
Cum se activează integritatea memoriei de izolare a nucleului
Puteți vedea dacă pe PC-ul dvs. sunt activate funcțiile Core Isolation și puteți activa sau dezactiva Protecția memoriei din aplicația Windows Defender Security Center. (Acest instrument va fi redenumit „Securitate Windows” ca parte a programului Actualizare octombrie 2018 .)
Pentru a-l deschide, căutați „Centrul de securitate Windows Defender” în meniul Start sau accesați Setări> Actualizare și securitate> Securitate Windows> Deschideți Centrul de securitate Windows Defender.
Faceți clic pe pictograma „Securitate dispozitiv” din Centrul de securitate.
Dacă Core Isolation este activat pe hardware-ul computerului dvs., veți vedea aici mesajul „Securitate bazată pe virtualizare pentru a proteja componentele principale ale dispozitivului dvs.”.
Pentru a activa (sau a dezactiva) protecția memoriei, faceți clic pe linkul „Detalii de izolare a nucleului”.
Acest ecran vă arată dacă Integritatea memoriei este activată sau nu. Aceasta este singura opțiune aici deocamdată.
Pentru a activa Integritatea memoriei, puneți comutatorul pe „Activat”. Dacă întâmpinați probleme cu aplicația sau dispozitivul și trebuie să dezactivați Integritatea memoriei, reveniți aici și întoarceți comutatorul la „Dezactivat”.
Vi se va solicita să reporniți computerul, iar modificarea va intra în vigoare numai după ce ați făcut-o.
Mai multe caracteristici Windows Defender Exploit Guard
Izolarea de bază și integritatea memoriei sunt unele dintre numeroasele caracteristici noi de securitate pe care Microsoft le-a adăugat ca parte a Windows Defender Exploit Guard. Aceasta este o colecție de caracteristici concepute pentru a proteja Windows împotriva atacurilor.
Protecția împotriva exploatării , care vă protejează sistemul de operare și aplicațiile de multe tipuri de exploit-uri, este activat în mod implicit. Aceasta înlocuiește vechiul Microsoft Instrument EMET , și include funcții anti-exploit pe care le-am făcut anterior a recomandat instalarea programului Malware Anti-Exploit pentru. Toți utilizatorii Windows 10 au acum protecție împotriva exploatării.
Există, de asemenea Acces la dosar controlat , care vă protejează fișierele de ransomware. Nu este activat implicit, deoarece necesită o anumită configurație. Dacă activați această caracteristică, va trebui să permiteți accesul aplicațiilor înainte ca acestea să poată accesa fișierele din folderele dvs. personale de fișiere.
LEGATE DE: Cum funcționează noua protecție împotriva exploatării Windows Defender (și cum să o configurați)
În viitor, Integritatea memoriei va fi activată implicit pe toate computerele noi, oferind protecție suplimentară împotriva atacurilor. Doar utilizatorii avansați care utilizează software-ul mașinii virtuale și alte instrumente care necesită acces la hardware-ul de virtualizare a sistemului vor trebui să-l dezactiveze.
