การอัปเดตเดือนเมษายน 2018 ของ Windows 10 นำเสนอคุณลักษณะด้านความปลอดภัย“ Core Isolation” และ“ Memory Integrity” ให้กับทุกคน สิ่งเหล่านี้ใช้การรักษาความปลอดภัยที่ใช้การจำลองเสมือนเพื่อป้องกันกระบวนการระบบปฏิบัติการหลักของคุณจากการปลอมแปลง แต่การป้องกันหน่วยความจำจะปิดโดยค่าเริ่มต้นสำหรับผู้ที่อัปเกรด
Core Isolation คืออะไร?
ใน Windows 10 รุ่นดั้งเดิม การรักษาความปลอดภัยบนพื้นฐานของการจำลองเสมือน คุณสมบัติ (VBS) ใช้ได้เฉพาะบน Windows 10 รุ่น Enterprise เป็นส่วนหนึ่งของ“ Device Guard” ด้วยการอัปเดตเดือนเมษายน 2018 Core Isolation จะนำคุณลักษณะด้านความปลอดภัยที่ใช้การจำลองเสมือนมาใช้กับ Windows 10 ทุกรุ่น
คุณสมบัติการแยกหลักบางอย่างถูกเปิดใช้งานโดยค่าเริ่มต้นบนพีซี Windows 10 ที่ตรงตามข้อกำหนด ข้อกำหนดฮาร์ดแวร์และเฟิร์มแวร์ รวมถึงการมีไฟล์ CPU 64 บิต และ ชิป TPM 2.0 . นอกจากนี้ยังต้องใช้พีซีของคุณที่รองรับไฟล์ Intel VT-x หรือเทคโนโลยีเวอร์ชวลไลเซชัน AMD-V และเปิดใช้งานในพีซีของคุณ การตั้งค่า UEFI .
เมื่อเปิดใช้คุณลักษณะเหล่านี้ Windows จะใช้คุณลักษณะการจำลองเสมือนของฮาร์ดแวร์เพื่อสร้างพื้นที่ปลอดภัยของหน่วยความจำระบบซึ่งแยกออกจากระบบปฏิบัติการปกติ Windows สามารถเรียกใช้กระบวนการระบบและซอฟต์แวร์ความปลอดภัยในพื้นที่ปลอดภัยนี้ สิ่งนี้ช่วยปกป้องกระบวนการของระบบปฏิบัติการที่สำคัญจากการถูกดัดแปลงโดยสิ่งที่ทำงานนอกพื้นที่ปลอดภัย
แม้ว่ามัลแวร์จะทำงานบนพีซีของคุณและรู้ช่องโหว่ที่ควรอนุญาตให้ถอดรหัสกระบวนการของ Windows เหล่านี้ได้ แต่การรักษาความปลอดภัยที่ใช้การจำลองเสมือนเป็นชั้นการป้องกันเพิ่มเติมที่จะแยกพวกมันออกจากการโจมตี
ที่เกี่ยวข้อง: ทุกอย่างใหม่ในการอัปเดตเดือนเมษายน 2018 ของ Windows 10 พร้อมให้ใช้งานแล้ว
ความสมบูรณ์ของหน่วยความจำคืออะไร?
คุณลักษณะที่เรียกว่า“ Memory Integrity” ในอินเทอร์เฟซของ Windows 10 เรียกอีกอย่างว่า“ Hypervisor protected Code Integrity” (HVCI) ในเอกสารของ Microsoft
ความสมบูรณ์ของหน่วยความจำถูกปิดใช้งานโดยค่าเริ่มต้นบนพีซีที่อัปเกรดเป็นการอัปเดตเดือนเมษายน 2018 แต่คุณสามารถเปิดใช้งานได้ จะเปิดใช้งานตามค่าเริ่มต้นในการติดตั้ง Windows 10 ใหม่นับจากนี้ไป
คุณลักษณะนี้เป็นส่วนย่อยของการแยกหลัก ปกติ Windows ต้องการ ลายเซ็นดิจิทัลสำหรับไดรเวอร์อุปกรณ์ และรหัสอื่น ๆ ที่ทำงานในโหมดเคอร์เนล Windows ระดับต่ำ วิธีนี้ช่วยให้มั่นใจได้ว่าพวกเขาจะไม่ถูกดัดแปลงโดยมัลแวร์ เมื่อเปิดใช้งาน“ ความสมบูรณ์ของหน่วยความจำ”“ บริการความสมบูรณ์ของรหัส” ใน Windows จะทำงานภายในคอนเทนเนอร์ที่ป้องกันด้วยไฮเปอร์ไวเซอร์ที่สร้างขึ้นโดยการแยกหลัก สิ่งนี้น่าจะทำให้มัลแวร์แทบจะเป็นไปไม่ได้เลยที่มัลแวร์จะเข้ามายุ่งกับการตรวจสอบความสมบูรณ์ของโค้ดและเข้าถึงเคอร์เนลของ Windows
ปัญหาเครื่องเสมือน
เนื่องจาก Memory Integrity ใช้ฮาร์ดแวร์การจำลองเสมือนของระบบจึงเข้ากันไม่ได้กับ โปรแกรมเครื่องเสมือน เช่น VirtualBox หรือ VMware แอปพลิเคชันเดียวเท่านั้นที่สามารถใช้ฮาร์ดแวร์นี้ได้ในแต่ละครั้ง
คุณอาจเห็นข้อความแจ้งว่า Intel VT-X หรือ AMD-V ไม่ได้เปิดใช้งานหรือพร้อมใช้งานหากคุณติดตั้งโปรแกรมเครื่องเสมือนบนระบบที่เปิดใช้งาน Memory Integrity ใน VirtualBox คุณอาจเห็นข้อความแสดงข้อผิดพลาด“ Raw-mode is not available courtesy of Hyper-V” ในขณะที่เปิดใช้งาน Memory Protection
ไม่ว่าจะด้วยวิธีใดก็ตามหากคุณประสบปัญหากับซอฟต์แวร์เครื่องเสมือนคุณต้องปิดใช้งาน Memory Integrity เพื่อใช้งาน
เหตุใดจึงปิดใช้งานโดยค่าเริ่มต้น
คุณลักษณะการแยกแกนหลักไม่ควรทำให้เกิดปัญหาใด ๆ เปิดใช้งานบนพีซี Windows 10 ทุกเครื่องที่รองรับได้และไม่มีอินเทอร์เฟซสำหรับการปิดใช้งาน
อย่างไรก็ตามการป้องกันความสมบูรณ์ของหน่วยความจำอาจทำให้เกิดปัญหากับไดรเวอร์อุปกรณ์บางตัวหรือแอปพลิเคชัน Windows ระดับต่ำอื่น ๆ ซึ่งเป็นสาเหตุที่ปิดใช้งานโดยค่าเริ่มต้นในการอัปเกรด Microsoft ยังคงผลักดันให้นักพัฒนาและผู้ผลิตอุปกรณ์ทำให้ไดรเวอร์และซอฟต์แวร์เข้ากันได้ซึ่งเป็นเหตุผลว่าทำไมจึงเปิดใช้งานโดยค่าเริ่มต้นในพีซีเครื่องใหม่และการติดตั้ง Windows 10 ใหม่
หากไดรเวอร์ตัวใดตัวหนึ่งที่พีซีของคุณต้องใช้ในการบู๊ตเข้ากันไม่ได้กับ Memory Protection Windows 10 จะปิดการป้องกันหน่วยความจำโดยเงียบเพื่อให้แน่ใจว่าพีซีของคุณสามารถบู๊ตและทำงานได้อย่างถูกต้อง ดังนั้นหากคุณลองเปิดใช้งานและรีบูตเพียงอย่างเดียวเพื่อพบว่ายังปิดอยู่นั่นคือเหตุผล
หากคุณพบปัญหากับอุปกรณ์อื่น ๆ หรือซอฟต์แวร์ที่ทำงานผิดพลาดหลังจากเปิดใช้งาน Memory Protection Microsoft ขอแนะนำให้ตรวจหาการอัปเดตด้วยแอปพลิเคชันหรือไดรเวอร์ที่ระบุ หากไม่มีข้อมูลอัพเดตให้ปิด Memory Protection
ดังที่เราได้กล่าวไว้ข้างต้น Memory Integrity จะไม่สามารถใช้ร่วมกับแอปพลิเคชันบางตัวที่ต้องการการเข้าถึงฮาร์ดแวร์เสมือนของระบบโดยเฉพาะเช่นโปรแกรมเครื่องเสมือน เครื่องมืออื่น ๆ รวมถึงดีบักเกอร์บางตัวยังต้องการการเข้าถึงฮาร์ดแวร์นี้ แต่เพียงผู้เดียวและจะไม่ทำงานกับการเปิดใช้งาน Memory Integrity
วิธีเปิดใช้งานความสมบูรณ์ของหน่วยความจำการแยกคอร์
คุณสามารถดูว่าพีซีของคุณเปิดใช้งานคุณสมบัติ Core Isolation หรือไม่และเปิดหรือปิดการป้องกันหน่วยความจำจากแอปพลิเคชัน Windows Defender Security Center (เครื่องมือนี้จะเปลี่ยนชื่อเป็น“ Windows Security” เป็นส่วนหนึ่งของไฟล์ อัปเดตประจำเดือนตุลาคม 2018 .)
หากต้องการเปิดให้ค้นหา“ Windows Defender Security Center” ในเมนูเริ่มหรือไปที่การตั้งค่า> การอัปเดตและความปลอดภัย> ความปลอดภัยของ Windows> เปิด Windows Defender Security Center
คลิกไอคอน“ Device Security” ใน Security Center
หากเปิดใช้งานการแยกคอร์บนฮาร์ดแวร์ของพีซีคุณจะเห็นข้อความ“ การรักษาความปลอดภัยที่ใช้การจำลองเสมือนกำลังทำงานเพื่อปกป้องส่วนหลักของอุปกรณ์ของคุณ” ที่นี่
หากต้องการเปิดใช้งาน (หรือปิดใช้งาน) การป้องกันหน่วยความจำให้คลิกลิงก์ "รายละเอียดการแยกหลัก"
หน้าจอนี้จะแสดงให้คุณเห็นว่า Memory Integrity ถูกเปิดใช้งานหรือไม่ ตอนนี้เป็นทางเลือกเดียวในตอนนี้
ในการเปิดใช้งาน Memory Integrity ให้พลิกสวิตช์ไปที่“ เปิด” หากคุณพบปัญหาเกี่ยวกับแอปพลิเคชันหรืออุปกรณ์และจำเป็นต้องปิดใช้งาน Memory Integrity ให้กลับมาที่นี่และพลิกสวิตช์ไปที่“ ปิด”
คุณจะได้รับแจ้งให้รีสตาร์ทคอมพิวเตอร์และการเปลี่ยนแปลงจะมีผลเมื่อคุณมี
คุณสมบัติเพิ่มเติมของ Windows Defender Exploit Guard
การแยกแกนหลักและความสมบูรณ์ของหน่วยความจำเป็นคุณลักษณะด้านความปลอดภัยใหม่ ๆ ที่ Microsoft ได้เพิ่มเข้ามาเป็นส่วนหนึ่งของ Windows Defender Exploit Guard นี่คือชุดของคุณสมบัติที่ออกแบบมาเพื่อป้องกัน Windows จากการโจมตี
ใช้ประโยชน์จากการป้องกัน ซึ่งปกป้องระบบปฏิบัติการและแอปพลิเคชันของคุณจากช่องโหว่หลายประเภทถูกเปิดใช้งานโดยค่าเริ่มต้น สิ่งนี้แทนที่ Microsoft รุ่นเก่า เครื่องมือ EMET และรวมถึงคุณสมบัติต่อต้านการใช้ประโยชน์ที่เราเคยใช้ แนะนำให้ติดตั้ง Malware Anti-Exploit สำหรับ. ตอนนี้ผู้ใช้ Windows 10 ทุกคนมีการป้องกันการใช้ประโยชน์
นอกจากนี้ยังมี การเข้าถึงโฟลเดอร์ที่ควบคุม ซึ่งช่วยปกป้องไฟล์ของคุณจากแรนซัมแวร์ ไม่ได้เปิดใช้งานโดยค่าเริ่มต้นเนื่องจากต้องมีการกำหนดค่าบางอย่าง หากคุณเปิดใช้งานคุณลักษณะนี้คุณจะต้องอนุญาตให้แอปพลิเคชันเข้าถึงก่อนจึงจะสามารถเข้าถึงไฟล์ในโฟลเดอร์ไฟล์ส่วนตัวของคุณได้
ที่เกี่ยวข้อง: การป้องกันการใช้ประโยชน์ใหม่ของ Windows Defender ทำงานอย่างไร (และวิธีกำหนดค่า)
นับจากนี้ไป Memory Integrity จะเปิดใช้งานตามค่าเริ่มต้นในพีซีใหม่ทั้งหมดซึ่งให้การป้องกันเพิ่มเติมจากการโจมตี เฉพาะผู้ใช้ขั้นสูงที่ใช้ซอฟต์แวร์เครื่องเสมือนและเครื่องมืออื่น ๆ ที่ต้องการการเข้าถึงฮาร์ดแวร์การจำลองเสมือนของระบบเท่านั้นที่จะต้องปิดใช้งาน
