Mi a Core Isolation?
A Windows 10 eredeti verziójában a virtualizációs alapú biztonsági (VBS) szolgáltatások csak a "Device Guard" részeként érhetők el a Windows 10 Enterprise kiadásaival kapcsolatban. A 2018 áprilisi frissítéssel a Core Isolation néhány virtualizációs alapú biztonsági funkciót biztosít mindazoknak, a Windows 10 kiadásait.
Néhány Core Isolation funkció alapértelmezés szerint engedélyezve van a Windows 10 PC-ken, amelyek megfelelnek bizonyos hardver- és firmware-követelményeknek, beleértve a 64 bites CPU-t és a TPM 2.0 chipet. Azt is megköveteli, hogy a számítógép támogatja az Intel VT-x vagy az AMD-V virtualizációs technológiát, és ez engedélyezve van a számítógép UEFI beállításaiban.
Ha ezek a funkciók engedélyezve vannak, a Windows hardveres virtualizációs szolgáltatásokat használ a rendszermemória biztonságos területének létrehozásához, amely elkülönül a normál operációs rendszertől. A Windows rendszerprocesszorokat és biztonsági szoftvereket futtathat ebben a biztonságos területen. Ez megóvja a fontos operációs rendszer folyamatait attól, hogy a biztonságos területen kívüli műveletekkel manipulálják.
Még akkor is, ha rosszindulatú programok futnak a számítógépen, és ismeri a Windows-folyamatok feltörését lehetővé tevő kihasználást, a virtualizáció-alapú biztonság egy további védelmi réteg, amely elszigeteli őket a támadástól.
Mi a memória-integritás?
A Windows 10 interfészében a "Memória integritás" néven ismert szolgáltatás a Microsoft dokumentációjában "Hypervisor védett kódteljesítménnyel" (HVCI) is ismert.
A memória integritása alapértelmezés szerint le van tiltva azokon a számítógépeken, amelyek 2018-as frissítésre frissültek, de engedélyezheti. Alapértelmezés szerint engedélyezett lesz a Windows 10 új telepítései.
Ez a szolgáltatás a Core Isolation részhalmaza. A Windows rendszerint digitális aláírásokat igényel az illesztőprogramok és más, alacsony szintű Windows rendszermag módban futó kódok esetén. Ez biztosítja, hogy a rosszindulatú programokat ne módosítsák. Ha a "Memória integritás" engedélyezve van, a Windows "kódintegritási szolgáltatása" a Core Isolation által létrehozott hypervisor által védett tárolóban fut. Ennek szinte lehetetlenné kell tennie, hogy a rosszindulatú programok megakadályozzák a kód integritásának ellenőrzését és hozzáférjenek a Windows rendszermaghoz.
Virtuális gépproblémák
Lehetséges, hogy az Intel VT-X vagy az AMD-V nem engedélyezett vagy elérhető, ha olyan virtuális gépprogramot telepít egy olyan rendszerre, amelyen a memória integritása engedélyezett. A VirtualBox rendszerben előfordulhat, hogy a "Nyers üzemmód nem elérhető Hyper-V" hibaüzenet jelenik meg, míg a memóriavédelem engedélyezve van.
Bármelyik módon, ha probléma merül fel a virtuális gép szoftverével, ki kell kapcsolnia a memória integritását a használatához.
Miért van letiltva alapértelmezés szerint?
A fő Core Isolation funkció nem okozhat problémát. Engedélyezett minden olyan Windows 10-ös számítógépen, amely támogathatja azt, és nincs letiltó felület.
Azonban a Memory Integrity védelem problémákat okozhat bizonyos illesztőprogramok vagy más alacsony szintű Windows alkalmazások esetén, ezért alapértelmezés szerint le van tiltva a frissítéseken. A Microsoft még mindig arra ösztönzi a fejlesztőket és az eszközgyártókat, hogy illesztőprogramjaikat és szoftverüket kompatibilisvé tegyék, ezért alapértelmezés szerint engedélyezve van az új számítógépeken és a Windows 10 új telepítésein.
Ha az egyik olyan illesztőprogram, amelyhez a számítógépnek szüksége van a rendszerindításhoz, összeegyeztethetetlen a memória védelmével, akkor a Windows 10 csendesen bekapcsolja a memória védelmét, biztosítva, hogy a számítógép megfelelően indítható és megfelelően működjön. Tehát, ha megpróbálja engedélyezni és újraindítani csak azt, hogy még mindig letiltották, ezért.
Ha más eszközökön vagy hibás szoftvereken problémák merülnek fel a memória védelmének engedélyezése után, a Microsoft javasolja, hogy ellenőrizze az adott alkalmazással vagy illesztőprogrammal kapcsolatos frissítéseket. Ha nem érhető el frissítés, kapcsolja ki a Memória védelmet.
Mint fentebb említettük, a Memory Integrity is összeegyeztethetetlen néhány olyan alkalmazással, amelyek kizárólagos hozzáférést igényelnek a rendszer virtualizációs hardveréhez, például virtuális gépi programokhoz. Más eszközök, beleértve néhány hibakeresőt is, exkluzív hozzáférést igényelnek ehhez a hardverhez, és nem fognak működni a Memory Integrity engedélyezve.
A Core szigetelés memória integritásának engedélyezése
Megtudhatja, hogy a számítógépe rendelkezik-e a Core Isolation funkcióval, és a Windows Defender Security Center alkalmazásban be- vagy kikapcsolja a memória védelmét. (Ez az eszköz a 2018-as frissítés részét képező "Windows Biztonság" néven fog átnevezni.)
A megnyitáshoz keresse meg a "Windows Defender Security Center" alkalmazást a Start menüben, vagy ugorjon a Beállítások> Frissítés és biztonság> A Windows biztonsága> A Windows Defender biztonsági központ megnyitása.
A memóriavédelem engedélyezéséhez (vagy letiltásához) kattintson a "Core Isolation Details" linkre.
A memória integritásának engedélyezéséhez kapcsolja a kapcsolót "Be". Ha alkalmazással vagy eszközproblémával találkozik, és ki kell kapcsolnia a memória integritását, akkor itt kell visszatérnie, majd kapcsolja "Ki" állásba.
További Windows Defender Exploit Guard funkciók
A Core Isolation és a Memory Integrity néhány olyan új biztonsági szolgáltatás, amelyet a Microsoft a Windows Defender Exploit Guard részeként hozott létre. Ez olyan funkciók gyűjteménye, amelyek célja a Windows támadás elleni védelme.
Az erőforrás-védelem, amely megóvja az operációs rendszert és az alkalmazásokat sokféle kizsákmányolás esetén, alapértelmezés szerint engedélyezve van. Ez felváltja a Microsoft régi EMET eszközt, és tartalmazza az anti-exploit funkciókat, amelyeket korábban javasolt a Malware Anti-Exploit telepítése. Minden Windows 10 felhasználó most már védelmet nyújt.
Vannak is a Controlled Folder Access, amely védi a fájlokat a felszabadító programoktól. Alapértelmezés szerint nincs engedélyezve, mert bizonyos konfigurációra van szüksége. Ha engedélyezi ezt a funkciót, akkor engedélyeznie kell az alkalmazások hozzáférését, mielőtt a fájlokat elérnék a személyes fájlmappákba.
Előrehaladva, a memória integritása alapértelmezés szerint minden új számítógépen engedélyezett lesz, és további védelmet nyújt a támadásokkal szemben. Csak olyan fejlett felhasználók számára, akik virtuális gépi szoftvereket és egyéb eszközöket használnak, amelyek hozzáférést igényelnek a rendszer virtualizációs hardveréhez, ki kell kapcsolnia azt.