Aktualizacja systemu Windows 10 z kwietnia 2018 r. zapewnia wszystkim funkcje zabezpieczeń „Core Isolation” i „Memory Integrity”. Wykorzystują one zabezpieczenia oparte na wirtualizacji, aby chronić podstawowe procesy systemu operacyjnego przed manipulacją, ale ochrona pamięci jest domyślnie wyłączona dla osób, które przeprowadzają uaktualnienie.
Co to jest izolacja rdzenia?
W oryginalnej wersji systemu Windows 10 zabezpieczenia oparte na wirtualizacji Funkcje (VBS) były dostępne tylko w wersjach Enterprise systemu Windows 10 w ramach „Device Guard”. Wraz z aktualizacją z kwietnia 2018 r. Core Isolation wprowadza pewne funkcje bezpieczeństwa oparte na wirtualizacji we wszystkich wersjach systemu Windows 10.
Niektóre funkcje izolacji rdzenia są domyślnie włączone na komputerach z systemem Windows 10, które spełniają określone wymagania sprzętowe i firmware, w tym posiadanie 64-bitowego procesora i układu TPM 2.0. Wymaga również, aby komputer obsługiwał technologię wirtualizacji Intel VT-x lub AMD-V i był włączony w ustawieniach UEFI komputera.
Gdy te funkcje są włączone, system Windows używa funkcji wirtualizacji sprzętu do utworzenia bezpiecznego obszaru pamięci systemowej, który jest odizolowany od normalnego systemu operacyjnego. W tym bezpiecznym obszarze system Windows może uruchamiać procesy systemowe i oprogramowanie zabezpieczające. Chroni to ważne procesy systemu operacyjnego przed manipulacją przez cokolwiek działającego poza bezpiecznym obszarem.
Nawet jeśli złośliwe oprogramowanie działa na Twoim komputerze i zna exploita, który powinien pozwolić mu na złamanie tych procesów systemu Windows, zabezpieczenia oparte na wirtualizacji stanowią dodatkową warstwę ochrony, która odizoluje je od ataku.
Co to jest integralność pamięci?
Funkcja znana jako „Integralność pamięci” w interfejsie systemu Windows 10 jest również znana jako „Integralność kodu chroniona przez hiperwizor” (HVCI) w dokumentacji firmy Microsoft.
Integralność pamięci jest domyślnie wyłączona na komputerach, które zostały zaktualizowane do aktualizacji z kwietnia 2018 r., ale można ją włączyć. Będzie on domyślnie włączony w nowych instalacjach systemu Windows 10.
Ta funkcja jest podzbiorem Core Isolation. System Windows zwykle wymaga podpisów cyfrowych dla sterowników urządzeń i innego kodu działającego w trybie jądra systemu Windows niskiego poziomu. Gwarantuje to, że nie zostały one zmodyfikowane przez złośliwe oprogramowanie. Gdy „Integralność pamięci” jest włączona, „usługa integralności kodu” w systemie Windows działa w kontenerze chronionym przez hipernadzorcę utworzonym przez Core Isolation. Powinno to uniemożliwić złośliwemu oprogramowaniu manipulowanie przy sprawdzaniu integralności kodu i uzyskanie dostępu do jądra systemu Windows.
Problemy z maszyną wirtualną
Ponieważ Memory Integrity wykorzystuje sprzęt do wirtualizacji systemu, jest niekompatybilny z programami maszyn wirtualnych, takimi jak VirtualBox lub VMware. Tylko jedna aplikacja może używać tego sprzętu naraz.
Możesz zobaczyć komunikat informujący, że Intel VT-X lub AMD-V nie jest włączony lub dostępny, jeśli zainstalujesz program maszyny wirtualnej w systemie z włączoną integralnością pamięci. W VirtualBox może pojawić się komunikat o błędzie „Tryb surowy jest niedostępny dzięki uprzejmości funkcji Hyper-V”, gdy włączona jest ochrona pamięci.
Tak czy inaczej, jeśli napotkasz problem z oprogramowaniem maszyny wirtualnej, musisz wyłączyć integralność pamięci, aby z niego korzystać.
Dlaczego jest domyślnie wyłączony?
Główna funkcja Core Isolation nie powinna sprawiać żadnych problemów. Jest włączona na wszystkich komputerach z systemem Windows 10, które mogą ją obsługiwać, i nie ma interfejsu do jej wyłączania.
Jednak ochrona integralności pamięci może powodować problemy z niektórymi sterownikami urządzeń lub innymi niskopoziomowymi aplikacjami Windows, dlatego jest domyślnie wyłączona podczas aktualizacji. Microsoft nadal naciska na programistów i producentów urządzeń, aby ich sterowniki i oprogramowanie były kompatybilne, dlatego jest domyślnie włączone na nowych komputerach i nowych instalacjach systemu Windows 10.
Jeśli jeden ze sterowników wymaganych przez komputer do rozruchu jest niezgodny z ochroną pamięci, system Windows 10 po cichu wyłączy ochronę pamięci, aby zapewnić prawidłowe uruchamianie i działanie komputera. Tak więc, jeśli spróbujesz go włączyć i ponownie uruchomić tylko po to, aby stwierdzić, że nadal jest wyłączony, właśnie dlatego.
Jeśli po włączeniu ochrony pamięci wystąpią problemy z innymi urządzeniami lub nieprawidłowo działającym oprogramowaniem, firma Microsoft zaleca sprawdzenie dostępności aktualizacji za pomocą określonej aplikacji lub sterownika. Jeśli nie są dostępne żadne aktualizacje, wyłącz Ochronę pamięci.
Jak wspomnieliśmy powyżej, integralność pamięci będzie również niekompatybilna z niektórymi aplikacjami, które wymagają wyłącznego dostępu do sprzętu do wirtualizacji systemu, takimi jak programy maszyn wirtualnych. Inne narzędzia, w tym niektóre debugery, również wymagają wyłącznego dostępu do tego sprzętu i nie będą działać z włączoną integralnością pamięci.
Jak włączyć integralność pamięci izolacji rdzenia?
Możesz sprawdzić, czy Twój komputer ma włączone funkcje izolacji rdzenia i włączyć lub wyłączyć Ochronę pamięci w aplikacji Windows Defender Security Center. (Nazwa tego narzędzia zostanie zmieniona na „Zabezpieczenia systemu Windows” w ramach aktualizacji z października 2018 r.)
Aby go otworzyć, wyszukaj „Windows Defender Security Center” w menu Start lub wybierz Ustawienia> Aktualizacja i zabezpieczenia> Zabezpieczenia systemu Windows> Otwórz Centrum bezpieczeństwa Windows Defender.
Kliknij ikonę „Bezpieczeństwo urządzenia” w Centrum bezpieczeństwa.
Jeśli Core Isolation jest włączone na sprzęcie twojego komputera, zobaczysz tutaj komunikat „Zabezpieczenia oparte na wirtualizacji są uruchomione w celu ochrony podstawowych części twojego urządzenia”.
Aby włączyć (lub wyłączyć) Ochronę pamięci, kliknij link „Szczegóły izolacji rdzenia”.
Ten ekran pokazuje, czy integralność pamięci jest włączona, czy nie. Na razie to jedyna opcja.
Aby włączyć integralność pamięci, przestaw przełącznik na „Wł.” Jeśli napotkasz problemy z aplikacją lub urządzeniem i musisz wyłączyć integralność pamięci, wróć tutaj i przestaw przełącznik na „Wył.”
Zostaniesz poproszony o ponowne uruchomienie komputera, a zmiana zacznie obowiązywać dopiero wtedy, gdy to zrobisz.
Więcej funkcji Windows Defender Exploit Guard
Izolacja rdzenia i integralność pamięci to tylko niektóre z wielu nowych funkcji zabezpieczeń, które firma Microsoft dodała w ramach funkcji Windows Defender Exploit Guard. Jest to zbiór funkcji zaprojektowanych w celu zabezpieczenia systemu Windows przed atakami.
Ochrona przed exploitami, która chroni Twój system operacyjny i aplikacje przed wieloma rodzajami exploitów, jest domyślnie włączona. Zastępuje ono stare narzędzie EMET firmy Microsoft i zawiera funkcje zapobiegające exploitom, dla których wcześniej zalecaliśmy instalację Malware Anti-Exploit. Wszyscy użytkownicy systemu Windows 10 mają teraz ochronę przed exploitami.
Dostępna jest również funkcja kontrolowanego dostępu do folderów, która chroni Twoje pliki przed oprogramowaniem ransomware. Nie jest domyślnie włączone, ponieważ wymaga pewnej konfiguracji. Jeśli włączysz tę funkcję, będziesz musiał zezwolić aplikacjom na dostęp, zanim będą mogły uzyskać dostęp do plików w Twoich osobistych folderach plików.
W przyszłości integralność pamięci będzie domyślnie włączona na wszystkich nowych komputerach, zapewniając dodatkową ochronę przed atakami. Tylko zaawansowani użytkownicy korzystający z oprogramowania maszyny wirtualnej i innych narzędzi wymagających dostępu do sprzętu do wirtualizacji systemu będą musieli go wyłączyć.