Bản cập nhật tháng 4 năm 2018 của Windows 10 mang các tính năng bảo mật “Core Isolation” và “Memory Integrity” cho mọi người. Những thứ này sử dụng bảo mật dựa trên ảo hóa để bảo vệ các quy trình hệ điều hành cốt lõi của bạn khỏi bị giả mạo, nhưng Bảo vệ bộ nhớ bị tắt theo mặc định đối với những người nâng cấp.
Core Isolation là gì?
Trong bản phát hành ban đầu của Windows 10, bảo mật dựa trên ảo hóa (VBS) các tính năng chỉ có sẵn trên Phiên bản doanh nghiệp của Windows 10 như một phần của "Device Guard". Với Bản cập nhật tháng 4 năm 2018, Core Isolation mang đến một số tính năng bảo mật dựa trên ảo hóa cho tất cả các phiên bản Windows 10.
Một số tính năng Core Isolation được bật theo mặc định trên PC chạy Windows 10 đáp ứng một số yêu cầu phần cứng và phần sụn , bao gồm cả việc có một CPU 64-bit và TPM 2.0 chip . Nó cũng yêu cầu PC của bạn hỗ trợ Intel VT-x hoặc công nghệ ảo hóa AMD-V và nó được bật trong PC của bạn Cài đặt UEFI .
Khi các tính năng này được bật, Windows sẽ sử dụng các tính năng ảo hóa phần cứng để tạo một vùng bảo mật của bộ nhớ hệ thống được cách ly với hệ điều hành bình thường. Windows có thể chạy các quy trình hệ thống và phần mềm bảo mật trong khu vực an toàn này. Điều này bảo vệ các quy trình quan trọng của hệ điều hành khỏi bị can thiệp bởi bất kỳ thứ gì chạy bên ngoài khu vực an toàn.
Ngay cả khi phần mềm độc hại đang chạy trên PC của bạn và biết cách khai thác cho phép nó bẻ khóa các quy trình Windows này, thì bảo mật dựa trên ảo hóa là một lớp bảo vệ bổ sung sẽ cô lập chúng khỏi bị tấn công.
LIÊN QUAN: Mọi thứ mới trong bản cập nhật tháng 4 năm 2018 của Windows 10, hiện có sẵn
Toàn vẹn bộ nhớ là gì?
Tính năng được gọi là “Tính toàn vẹn của bộ nhớ” trong giao diện của Windows 10 còn được gọi là “Tính toàn vẹn của mã được bảo vệ bởi Hypervisor” (HVCI) trong tài liệu của Microsoft.
Tính toàn vẹn của bộ nhớ bị tắt theo mặc định trên PC đã nâng cấp lên Bản cập nhật tháng 4 năm 2018, nhưng bạn có thể bật tính năng này. Nó sẽ được bật theo mặc định trên các bản cài đặt mới của Windows 10 trở đi.
Tính năng này là một tập hợp con của Core Isolation. Windows thường yêu cầu chữ ký số cho trình điều khiển thiết bị và mã khác chạy ở chế độ nhân Windows cấp thấp. Điều này đảm bảo rằng chúng không bị phần mềm độc hại giả mạo. Khi “Toàn vẹn bộ nhớ” được bật, “dịch vụ toàn vẹn mã” trong Windows sẽ chạy bên trong vùng chứa được bảo vệ siêu giám sát được tạo bởi Core Isolation. Điều này sẽ khiến phần mềm độc hại gần như không thể can thiệp vào việc kiểm tra tính toàn vẹn của mã và giành quyền truy cập vào hạt nhân Windows.
Sự cố máy ảo
Vì tính toàn vẹn của bộ nhớ sử dụng phần cứng ảo hóa của hệ thống nên nó không tương thích với chương trình máy ảo như VirtualBox hoặc VMware. Chỉ một ứng dụng có thể sử dụng phần cứng này tại một thời điểm.
Bạn có thể thấy thông báo cho biết Intel VT-X hoặc AMD-V không được bật hoặc khả dụng nếu bạn cài đặt chương trình máy ảo trên hệ thống đã bật Tính toàn vẹn của bộ nhớ. Trong VirtualBox, bạn có thể thấy thông báo lỗi “Chế độ thô không khả dụng do Hyper-V” trong khi Bảo vệ bộ nhớ được bật.
Dù bằng cách nào, nếu bạn gặp sự cố với phần mềm máy ảo của mình, bạn phải tắt Tính toàn vẹn của Bộ nhớ để sử dụng nó.
Tại sao nó bị tắt theo mặc định?
Tính năng Cách ly lõi chính sẽ không gây ra bất kỳ sự cố nào. Tính năng này được bật trên tất cả các PC chạy Windows 10 có thể hỗ trợ tính năng này và không có giao diện nào để tắt tính năng này.
Tuy nhiên, tính năng bảo vệ Toàn vẹn bộ nhớ có thể gây ra sự cố với một số trình điều khiển thiết bị hoặc các ứng dụng Windows cấp thấp khác, đó là lý do tại sao tính năng này bị tắt theo mặc định khi nâng cấp. Microsoft vẫn đang thúc đẩy các nhà phát triển và nhà sản xuất thiết bị làm cho trình điều khiển và phần mềm của họ tương thích, đó là lý do tại sao tính năng này được bật theo mặc định trên PC mới và các bản cài đặt mới của Windows 10.
Nếu một trong những trình điều khiển mà PC của bạn yêu cầu để khởi động không tương thích với Bảo vệ Bộ nhớ, Windows 10 sẽ tắt tính năng Bảo vệ Bộ nhớ để đảm bảo PC của bạn có thể khởi động và hoạt động bình thường. Vì vậy, nếu bạn thử bật nó và khởi động lại chỉ thấy nó vẫn bị tắt, đó là lý do.
Nếu bạn gặp sự cố với các thiết bị khác hoặc phần mềm bị trục trặc sau khi bật Bảo vệ bộ nhớ, Microsoft khuyên bạn nên kiểm tra các bản cập nhật với ứng dụng hoặc trình điều khiển cụ thể. Nếu không có bản cập nhật nào, hãy tắt Bảo vệ bộ nhớ.
Như chúng tôi đã đề cập ở trên, Tính toàn vẹn của bộ nhớ cũng sẽ không tương thích với một số ứng dụng yêu cầu quyền truy cập độc quyền vào phần cứng ảo hóa của hệ thống, chẳng hạn như các chương trình máy ảo. Các công cụ khác, bao gồm một số trình gỡ lỗi, cũng yêu cầu quyền truy cập độc quyền vào phần cứng này và sẽ không hoạt động khi đã bật Tính toàn vẹn của bộ nhớ.
Cách kích hoạt tính toàn vẹn của bộ nhớ cách ly lõi
Bạn có thể xem liệu PC của mình đã bật các tính năng Core Isolation và bật hoặc tắt Bảo vệ bộ nhớ từ ứng dụng Trung tâm bảo mật của Bộ bảo vệ Windows. (Công cụ này sẽ được đổi tên thành “Windows Security” như một phần của Cập nhật tháng 10 năm 2018 .)
Để mở nó, hãy tìm kiếm “Trung tâm Bảo mật của Bộ bảo vệ Windows” trong menu Bắt đầu của bạn hoặc đi tới Cài đặt> Cập nhật & Bảo mật> Bảo mật Windows> Mở Trung tâm Bảo mật của Bộ bảo vệ Windows.
Nhấp vào biểu tượng “Bảo mật thiết bị” trong Trung tâm bảo mật.
Nếu Core Isolation được bật trên phần cứng của PC, bạn sẽ thấy thông báo “Bảo mật dựa trên ảo hóa đang chạy để bảo vệ các phần cốt lõi của thiết bị của bạn” tại đây.
Để bật (hoặc tắt) Bảo vệ Bộ nhớ, hãy nhấp vào liên kết “Chi tiết Cách ly Lõi”.
Màn hình này cho bạn biết liệu Tính toàn vẹn của bộ nhớ có được bật hay không. Đó là lựa chọn duy nhất ở đây lúc này.
Để bật Tính toàn vẹn của bộ nhớ, hãy chuyển nút gạt sang “Bật”. Nếu bạn gặp sự cố về ứng dụng hoặc thiết bị và cần tắt Tính toàn vẹn của bộ nhớ, hãy quay lại đây và chuyển nút gạt sang “Tắt”.
Bạn sẽ được nhắc khởi động lại máy tính của mình và thay đổi sẽ chỉ có hiệu lực khi bạn có.
Thêm các tính năng bảo vệ khai thác Windows Defender
Cách ly lõi và tính toàn vẹn của bộ nhớ là một số trong nhiều tính năng bảo mật mới mà Microsoft đã thêm vào như một phần của Windows Defender Exploit Guard. Đây là một tập hợp các tính năng được thiết kế để bảo mật Windows trước sự tấn công.
Bảo vệ khai thác , tính năng này bảo vệ hệ điều hành và ứng dụng của bạn khỏi nhiều kiểu khai thác, được bật theo mặc định. Cái này thay thế cái cũ của Microsoft Công cụ EMET và bao gồm các tính năng chống khai thác mà chúng tôi trước đây khuyến nghị cài đặt Chống khai thác phần mềm độc hại cho. Tất cả người dùng Windows 10 hiện có bảo vệ khai thác.
Ngoài ra còn có Quyền truy cập thư mục được kiểm soát , bảo vệ các tệp của bạn khỏi phần mềm tống tiền. Nó không được bật theo mặc định vì nó yêu cầu một số cấu hình. Nếu bật tính năng này, bạn sẽ phải cho phép các ứng dụng truy cập trước khi chúng có thể truy cập các tệp trong thư mục tệp cá nhân của bạn.
LIÊN QUAN: Cách hoạt động của tính năng Bảo vệ Khai thác Mới của Bộ bảo vệ Windows (và Cách định cấu hình)
Về sau, tính toàn vẹn của bộ nhớ sẽ được bật theo mặc định trên tất cả các PC mới, cung cấp khả năng bảo vệ bổ sung trước các cuộc tấn công. Chỉ những người dùng nâng cao sử dụng phần mềm máy ảo và các công cụ khác yêu cầu quyền truy cập vào phần cứng ảo hóa hệ thống mới phải vô hiệu hóa nó.
