Какво представляват “Core Isolation” и “Integrity Memory” в Windows 10?
Актуализацията на Windows 10 от април 2018 г. носи функциите за защита на "Core Isolation" и "Integrity Memory" за всички. Те използват защита, базирана на виртуализация, за да предпазят процесите на вашата основна операционна система от подправяне, но защитата на паметта е изключена по подразбиране за хората, които ъпгрейдват.
Какво е Изолация на ядрото?
В първоначалното издание на Windows 10 функциите за сигурност на базата на виртуализация (VBS) бяха достъпни само в изданията на Enterprise на Windows 10 като част от „Device Guard“. С актуализацията от април 2018 г. Core Isolation предлага някои функции за сигурност, базирани на виртуализация, на всички издания на Windows 10.
Някои основни функции за изолация са разрешени по подразбиране на компютри с Windows 10, които отговарят на определени изисквания за хардуер и фърмуер, включително 64-битов процесор и чип TPM 2.0. Той също така изисква вашият компютър да поддържа виртуализационната технология Intel VT-x или AMD-V и че е активирана в настройките на UEFI за вашия компютър..
Когато тези функции са активирани, Windows използва функции за хардуерна виртуализация, за да създаде защитена област от системната памет, която е изолирана от нормалната операционна система. Windows може да изпълнява системни процеси и софтуер за сигурност в тази защитена зона. Това предпазва важните процеси на операционната система от подправяне от нещо, което се движи извън защитената зона.
Дори ако на компютъра ви работи зловреден софтуер и знаете експлоатацията, която би трябвало да му позволи да пробие тези Windows процеси, сигурността, базирана на виртуализация, е допълнителен слой защита, който ще ги изолира от атака..
Какво е памет??
Функцията, известна като "Memory Integrity" в интерфейса на Windows 10, е известна още като "Интегрираност на защитения код на Hypervisor" (HVCI) в документацията на Microsoft.
Паметната цялост е деактивирана по подразбиране на персонални компютри, които са обновени до актуализацията от април 2018 г., но можете да я активирате. Тя ще бъде активирана по подразбиране при нови инсталации на Windows 10 напред.
Тази функция е подмножество на Core изолация. Windows обикновено изисква цифрови подписи за драйвери на устройства и друг код, който се изпълнява в режим на ядрото на ниско ниво на Windows. Това гарантира, че не са били подправени от злонамерен софтуер. Когато “Memory Integrity” е активирана, “услугата за цялост на кода” в Windows се изпълнява в защитения от хипервайзор контейнер, създаден от Core Isolation. Това би трябвало да направи почти невъзможно злонамереният софтуер да се намеси в проверките за коректност на кода и да получи достъп до ядрото на Windows.
Проблеми с виртуалната машина
Тъй като Memory Integrity използва хардуера на виртуализацията на системата, той е несъвместим с програми за виртуална машина като VirtualBox или VMware. Само едно приложение може да използва този хардуер едновременно.
Може да видите съобщение, че Intel VT-X или AMD-V не са активирани или налични, ако инсталирате програма за виртуална машина в система с активирана памет. В VirtualBox може да видите съобщението за грешка „Raw-mode не е налице благодарение на Hyper-V“, докато защитата с памет е активирана.
Така или иначе, ако срещнете проблем с софтуера на виртуалната машина, трябва да деактивирате Memory Integrity, за да го използвате.
Защо е изключен по подразбиране?
Основната функция за изолиране на ядрото не трябва да причинява проблеми. Той е активиран на всички компютри с Windows 10, които могат да го поддържат, и няма интерфейс за неговото деактивиране.
Въпреки това, защитата на паметта може да предизвика проблеми с някои драйвери на устройства или други приложения на ниско ниво на Windows, поради което по подразбиране е деактивирана при надстройките. Microsoft все още настоява разработчиците и производителите на устройства да направят драйверите и софтуера съвместими, поради което е включен по подразбиране на нови компютри и нови инсталации на Windows 10.
Ако някой от драйверите, който вашият компютър изисква да стартира, е несъвместим с Memory Protection, Windows 10 ще изключи безшумно защитата на паметта, за да гарантира, че вашият компютър може да се зарежда и да работи правилно. Така че, ако опитате да го активирате и рестартирате само, за да откриете, че все още е деактивиран, затова.
Ако срещнете проблеми с други устройства или неправилно функциониращ софтуер, след като активирате защитата на паметта, Microsoft препоръчва да проверявате за актуализации с конкретното приложение или драйвер. Ако няма налични актуализации, изключете Защита на паметта.
Както споменахме по-горе, Memory Integrity ще бъде несъвместим с някои приложения, които изискват изключителен достъп до хардуера на виртуализацията на системата, като например програми за виртуални машини. Други инструменти, включително някои дебъгери, също изискват изключителен достъп до този хардуер и няма да работят с активирана памет.
Как да активирате Изолация на паметта на ядрото
Можете да видите дали вашият компютър има активирани функции за изолиране на ядрото и включете или изключете защитата на паметта от приложението на Центъра за защита на Windows Defender. (Този инструмент ще бъде преименуван на „Windows Security“ като част от актуализацията от октомври 2018 г.).
За да го отворите, потърсете „Център за защита на Windows Defender“ в менюто „Старт“ или отидете в Настройки> Актуализиране и защита> Windows Security> Отворете центъра за защита на Windows Defender.
Кликнете върху иконата „Защита на устройството“ в Центъра за защита.
Ако на хардуера на компютъра е активирана основната изолация, ще видите съобщението „Защита на базата на виртуализацията работи, за да защитите основните части на устройството“.
За да активирате (или забраните) Защита на паметта, щракнете върху връзката "Основни данни за изолацията".
Този екран ви показва дали целостта на паметта е активирана или не. Това е единствената опция за сега.
За да активирате Memory Integrity, обърнете превключвателя в положение "On". Ако срещнете проблеми с приложението или устройството и трябва да деактивирате Memory Integrity, върнете се тук и завъртете ключа в положение "Off".
Ще бъдете подканени да рестартирате компютъра си и промяната ще влезе в сила само след като сте го направили.
Още функции на Windows Defender Exploit Guard
Изолацията на ядрото и целостта на паметта са някои от многото нови функции за сигурност, които Microsoft е добавила като част от Windows Defender Exploit Guard. Това е набор от функции, предназначени да осигурят Windows срещу атака.
Защитата от експлоатация, която защитава операционната ви система и приложенията от много видове експлойти, е активирана по подразбиране. Това замества стария инструмент на Microsoft EMET и включва функции за анти-експлоатация, за които преди това препоръчвахме да инсталирате Anti-Exploit Malware. Всички потребители на Windows 10 вече използват защитата.
Има и Controlled Folder Access, който защитава вашите файлове от рансъмуер. Тя не е активирана по подразбиране, защото изисква някаква конфигурация. Ако активирате тази функция, ще трябва да разрешите достъп до приложения, преди да могат да имат достъп до файловете в личните ви папки с файлове.
Напред, Memory Integrity ще бъде активиран по подразбиране на всички нови компютри, осигурявайки допълнителна защита срещу атаки. Само напреднали потребители, които използват софтуер за виртуална машина и други инструменти, които изискват достъп до хардуера за виртуализация на системата, ще трябва да го деактивират.