Що таке «основна ізоляція» та «цілісність пам'яті» у Windows 10?
Оновлення Windows 10 у квітні 2018 року надає всім користувачам засоби безпеки "Core Isolation" та "Integrity Memory". Вони використовують безпеку на основі віртуалізації, щоб захистити процеси основної операційної системи від втручання, але захист пам'яті вимкнено за замовчуванням для користувачів, які оновлюють систему.
Що таке Ізоляція ядра?
У початковому випуску Windows 10 функції безпеки на основі віртуалізації (VBS) були доступні лише на випуску Enterprise Windows 10 як частину "Device Guard". З оновленням у квітні 2018 року Core Isolation надає всі функції безпеки на основі віртуалізації всім видання Windows 10.
Деякі основні функції ізоляції за замовчуванням увімкнено на комп'ютерах Windows 10, які відповідають певним вимогам до апаратних і прошивок, включаючи 64-розрядний процесор і чіп TPM 2.0. Він також вимагає, щоб ваш комп'ютер підтримував технологію віртуалізації Intel VT-x або AMD-V, а також, що він увімкнено в налаштуваннях UEFI вашого ПК..
Коли ці функції ввімкнено, Windows використовує функції віртуалізації апаратних засобів для створення захищеної області системної пам'яті, яка ізольовані від звичайної операційної системи. Windows може запускати системні процеси та програмне забезпечення безпеки в цій безпечній області. Це захищає важливі процеси операційної системи від несанкціонованого втручання нічим, що працює поза захищеною зоною.
Навіть якщо на вашому комп'ютері запущено шкідливе програмне забезпечення та відомо, що він може використовувати його для зламування цих процесів, безпека на основі віртуалізації - це додатковий рівень захисту, який ізолює їх від атаки..
Що таке цілісність пам'яті?
Функція, відома як "Пам'ять цілісності" в інтерфейсі Windows 10, також відома як "Цілісність коду захищеного гіпервізора" (HVCI) в документації Microsoft.
За замовчуванням інтегрованість пам'яті вимкнена на ПК, які були оновлені до оновлення квітня 2018 року, але ви можете увімкнути її. Він буде увімкнений за замовчуванням на нових установках Windows 10, що йтиме вперед.
Ця функція є підмножиною Core Isolation. Windows зазвичай вимагає цифрових підписів для драйверів пристроїв та іншого коду, який виконується в режимі ядра низького рівня Windows. Це гарантує, що вони не були порушені шкідливими програмами. Якщо ввімкнено функцію «Пам'ять цілісності», «послуга цілісності коду» в Windows запускається всередині захищеного гіпервізором контейнера, створеного за допомогою Core Isolation. Це повинно зробити практично неможливим втручання шкідливих програм у перевірку цілісності коду та отримання доступу до ядра Windows.
Проблеми віртуальної машини
Оскільки інтеграція пам'яті використовує апаратне забезпечення віртуалізації системи, вона несумісна з програмами віртуальних машин, такими як VirtualBox або VMware. Лише одне додаток може одночасно використовувати це обладнання.
Можна побачити повідомлення про те, що Intel VT-X або AMD-V не ввімкнено або доступно, якщо інсталювати програму віртуальної машини в системі з включеною інтегральною пам'яттю. У VirtualBox ви можете побачити повідомлення про помилку "Raw-mode недоступний за допомогою Hyper-V", у той час як захист пам'яті увімкнено.
У будь-якому випадку, якщо у вас виникли проблеми з програмним забезпеченням віртуальної машини, ви повинні вимкнути інтеграцію пам'яті, щоб її використовувати.
Чому відключено за замовчуванням?
Основна функція "Ізоляція ядра" не повинна викликати жодних проблем. Вона включена на всіх комп'ютерах Windows 10, які її підтримують, і немає інтерфейсу для його вимкнення.
Тим не менш, захист пам'яті Integrity може викликати проблеми з деякими драйверами пристроїв або іншими програмами низького рівня Windows, тому його вимкнено за замовчуванням на оновленнях. Корпорація Майкрософт продовжує наполягати розробників і виробників пристроїв на сумісності драйверів і програмного забезпечення, тому ввімкнуто за замовчуванням на нових комп'ютерах і нових установках Windows 10.
Якщо один з драйверів, необхідних для завантаження комп'ютера, не сумісний із засобом захисту пам'яті, Windows 10 мовчки вимкне захист пам'яті, щоб забезпечити нормальне завантаження та роботу комп'ютера. Отже, якщо ви спробуєте ввімкнути його та перезавантажити систему лише для того, щоб знайти її все ще відключено, то чому.
Якщо у вас виникли проблеми з іншими пристроями або несправним програмним забезпеченням після ввімкнення функції захисту пам'яті, корпорація Майкрософт рекомендує перевірити наявність оновлень із певною програмою або драйвером. Якщо оновлень немає, вимкніть Захист пам'яті.
Як ми вже згадували вище, Integrity Memory також буде несумісна з деякими додатками, які вимагають ексклюзивного доступу до апаратних засобів віртуалізації системи, таких як програми віртуальних машин. Інші інструменти, включаючи деякі відладчики, також потребують ексклюзивного доступу до цього обладнання та не працюватимуть з включеною пам'яттю.
Як увімкнути цілісність пам'яті основної ізоляції
Можна побачити, чи увімкнено ваші ПК, і чи ввімкнено або вимкнено Захист пам'яті у програмі Windows Defender Security Center. (Цей інструмент буде перейменовано у "Безпека Windows" як частину оновлення жовтня 2018 року.)
Щоб відкрити його, знайдіть "Центр захисту Windows" у меню "Пуск" або перейдіть до Налаштування> Оновлення та безпека> Безпека Windows> Відкрийте Центр безпеки Windows Defender.
Натисніть піктограму "Безпека пристрою" в Центрі безпеки.
Якщо на апаратному забезпеченні комп'ютера ввімкнено Core Isolation, тут ви побачите повідомлення "Безпека на основі віртуалізації, що захищає основні частини пристрою".
Щоб увімкнути (або вимкнути) Захист пам'яті, натисніть посилання "Основні відомості про ізоляцію".
На цьому екрані відображається, чи включена цілісність пам'яті. Це єдиний варіант на даний момент.
Щоб увімкнути інтеграцію пам'яті, переведіть перемикач у положення "Увімкнено". Якщо у вас виникли проблеми з програмою або пристроєм та потрібно вимкнути інтеграцію пам'яті, поверніть сюди та перетягніть перемикач у положення "Вимкнено".
Вам буде запропоновано перезавантажити комп'ютер, і зміна набуде чинності лише після того, як ви.
Додаткові можливості Windows Defender Exploit Guard
Основна ізоляція та цілісність пам'яті - це деякі з багатьох нових функцій безпеки, доданих Microsoft як частина Windows Defender Exploit Guard. Це набір функцій, призначених для захисту Windows від атак.
Захист від експлуатації, який захищає вашу операційну систему та програми від багатьох типів експлуататів, увімкнено за замовчуванням. Це замінює старий інструмент EMET корпорації Майкрософт і містить функції анти-експлуатації, які ми раніше рекомендували встановлювати для Anti-Exploit Malware. Усі користувачі Windows 10 тепер мають захист.
Також доступний контрольований доступ до папок, який захищає ваші файли від вимогах. За замовчуванням не ввімкнено, оскільки для цього потрібна певна конфігурація. Якщо ви ввімкнете цю функцію, вам доведеться дозволити доступ до програм, перш ніж вони матимуть доступ до файлів у ваших особистих папках файлів.
Вперед, інтеграція пам'яті буде увімкнена за замовчуванням на всіх нових ПК, забезпечуючи додатковий захист від атак. Тільки досвідчені користувачі, які використовують програмне забезпечення віртуальних машин та інші інструменти, які потребують доступу до апаратних засобів віртуалізації системи, повинні вимкнути його.