Windows 10: s april 2018-uppdatering ger "Core Isolation" och "Memory Integrity" säkerhetsfunktioner för alla. Dessa använder virtualiseringsbaserad säkerhet för att skydda dina kärnoperativsystemsprocesser från manipulering, men minneskydd är avstängt som standard för personer som uppgraderar.
Vad är Core Isolation?
I den ursprungliga versionen av Windows 10, virtualiseringsbaserad säkerhet (VBS) -funktioner var bara tillgängliga på Enterprise-utgåvor av Windows 10 som en del av "Device Guard." Med uppdateringen från april 2018 ger Core Isolation några virtualiseringsbaserade säkerhetsfunktioner till alla versioner av Windows 10.
Vissa Core Isolation-funktioner är aktiverade som standard på Windows 10-datorer som uppfyller vissa krav på hårdvara och firmware , inklusive att ha en 64-bitars CPU och TPM 2.0-chip . Det kräver också att din dator stöder Intel VT-x eller AMD-V virtualiseringsteknik, och att den är aktiverad på din PC UEFI-inställningar .
När dessa funktioner är aktiverade använder Windows hårdvaruvirtualiseringsfunktioner för att skapa ett säkert område av systemminnet som är isolerat från det normala operativsystemet. Windows kan köra systemprocesser och säkerhetsprogramvara i detta säkra område. Detta skyddar viktiga operativsystemprocesser från att manipuleras av allt som körs utanför det säkra området.
Även om skadlig kod körs på din dator och känner till ett utnyttjande som skulle göra det möjligt att knäcka dessa Windows-processer, är den virtualiseringsbaserade säkerheten ett ytterligare skyddslager som kommer att isolera dem från attacker.
RELATERAD: Allt nytt i Windows 10: s uppdatering från april 2018, tillgänglig nu
Vad är minnesintegritet?
Funktionen känd som "Memory Integrity" i Windows 10: s gränssnitt är också känd som "Hypervisor protected Code Integrity" (HVCI) i Microsofts dokumentation.
Minnesintegritet är inaktiverat som standard på datorer som uppgraderas till april 2018-uppdateringen, men du kan aktivera det. Det kommer att aktiveras som standard på nya installationer av Windows 10 framöver.
Den här funktionen är en delmängd av Core Isolation. Windows kräver normalt digitala signaturer för enhetsdrivrutiner och annan kod som körs i Windows-kärnläge på låg nivå. Detta säkerställer att de inte har manipulerats av skadlig kod. När "Memory Integrity" är aktiverat körs "code-integritetstjänsten" i Windows inuti den hypervisor-skyddade behållaren som skapats av Core Isolation. Detta borde göra det nästan omöjligt för skadlig kod att manipulera kodintegritetskontrollerna och få tillgång till Windows-kärnan.
Problem med virtuella maskiner
Eftersom Memory Integrity använder systemets virtualiseringshårdvara är det inte kompatibelt med program för virtuella maskiner som VirtualBox eller VMware. Endast en applikation kan använda den här hårdvaran åt gången.
Du kan se ett meddelande som säger att Intel VT-X eller AMD-V inte är aktiverat eller tillgängligt om du installerar ett virtuellt maskinprogram på ett system med Memory Integrity aktiverat. I VirtualBox kan du se felmeddelandet "Raw-mode är inte tillgängligt med tillstånd av Hyper-V" medan Memory Protection är aktiverat.
Hur som helst, om du stöter på ett problem med din virtuella maskinprogramvara måste du inaktivera Memory Integrity för att använda den.
Varför är det inaktiverat som standard?
Den huvudsakliga Core Isolation-funktionen bör inte orsaka några problem. Det är aktiverat på alla Windows 10-datorer som kan stödja det, och det finns inget gränssnitt för att inaktivera det.
Memory Integrity-skydd kan dock orsaka problem med vissa enhetsdrivrutiner eller andra Windows-applikationer på låg nivå, varför det är inaktiverat som standard vid uppgraderingar. Microsoft driver fortfarande utvecklare och enhetstillverkare för att göra sina drivrutiner och programvara kompatibla, varför det är aktiverat som standard på nya datorer och nya installationer av Windows 10.
Om en av drivrutinerna som din dator behöver starta är oförenlig med minnesskydd, stänger Windows 10 tyst av minneskydd för att säkerställa att din dator kan starta och fungera korrekt. Så om du försöker aktivera det och startar om bara för att hitta att det fortfarande är inaktiverat, är det därför.
Om du stöter på problem med andra enheter eller dålig programvara efter att du har aktiverat minneskydd rekommenderar Microsoft att du söker efter uppdateringar med det specifika programmet eller drivrutinen. Om inga uppdateringar är tillgängliga stänger du av Memory Protection.
Som vi nämnde ovan kommer Memory Integrity också att vara inkompatibelt med vissa applikationer som kräver exklusiv åtkomst till systemets virtualiseringshårdvara, till exempel program för virtuella maskiner. Andra verktyg, inklusive vissa felsökare, kräver också exklusiv åtkomst till den här hårdvaran och fungerar inte med Memory Integrity aktiverat.
Hur man aktiverar kärnisoleringminnesintegritet
Du kan se om din dator har Core Isolation-funktioner aktiverade och slå på eller av minneskydd från Windows Defender Security Center-applikationen. (Detta verktyg kommer att döpas om till "Windows Security" som en del av Uppdatering från oktober 2018 .)
För att öppna den, sök efter "Windows Defender Security Center" i Start-menyn eller gå till Inställningar> Uppdatering och säkerhet> Windows Security> Öppna Windows Defender Security Center.
Klicka på ikonen "Enhetssäkerhet" i Säkerhetscentret.
Om Core Isolation är aktiverat på datorns hårdvara ser du meddelandet "Virtualiseringsbaserad säkerhet körs för att skydda kärndelarna på din enhet" här.
För att aktivera (eller inaktivera) minneskydd, klicka på länken "Core Isolation Details".
Den här skärmen visar om minnesintegritet är aktiverad eller inte. Det är det enda alternativet här för tillfället.
För att aktivera minnesintegritet, vrid omkopplaren till "På". Om du stöter på applikations- eller enhetsproblem och behöver inaktivera minnesintegritet, återvänd hit och vrid omkopplaren till "Av".
Du uppmanas att starta om datorn och ändringen träder i kraft först när du har gjort det.
Fler funktioner för Windows Defender Exploit Guard
Core Isolation och Memory Integrity är några av de många nya säkerhetsfunktionerna som Microsoft har lagt till som en del av Windows Defender Exploit Guard. Detta är en samling funktioner som är utformade för att säkra Windows mot attacker.
Utnyttja skyddet , som skyddar ditt operativsystem och applikationer från många typer av exploater, är aktiverat som standard. Detta ersätter Microsofts gamla EMET-verktyg , och inkluderar anti-exploateringsfunktioner vi tidigare rekommenderade installation av Malware Anti-Exploit för. Alla Windows 10-användare har nu exploateringsskydd.
Det finns också Kontrollerad mappåtkomst , som skyddar dina filer från ransomware. Det är inte aktiverat som standard eftersom det kräver viss konfiguration. Om du aktiverar den här funktionen måste du tillåta programåtkomst innan de kan komma åt filer i dina personliga filmappar.
RELATERAD: Så här fungerar Windows Defenders nya exploateringsskydd (och hur man konfigurerar det)
Framöver kommer Memory Integrity att aktiveras som standard på alla nya datorer, vilket ger ytterligare skydd mot attacker. Endast avancerade användare som använder programvara för virtuell maskin och andra verktyg som kräver åtkomst till systemvirtualiseringshårdvaran måste inaktivera den.
