Aktualizacja dla systemu Windows 10 z kwietnia 2018 zapewnia wszystkim użytkownikom funkcje "Core Isolation" i "Memory Integrity". Korzystają one z zabezpieczeń opartych na wirtualizacji w celu ochrony podstawowych procesów systemu operacyjnego przed modyfikacją, ale Ochrona pamięci jest domyślnie wyłączona dla osób, które dokonują aktualizacji.
W pierwotnej wersji systemu Windows 10 funkcje zabezpieczeń oparte na wirtualizacji (VBS) były dostępne tylko w wersjach Enterprise systemu Windows 10 jako część "Device Guard". W aktualizacji z kwietnia 2018 r. Core Isolation oferuje niektóre funkcje bezpieczeństwa oparte na wirtualizacji. edycje systemu Windows 10.
Niektóre funkcje Core Isolation są domyślnie włączone na komputerach z systemem Windows 10, które spełniają określone wymagania sprzętowe i oprogramowania układowego, w tym 64-bitowy procesor i układ TPM 2.0. Wymaga to również, aby Twój komputer obsługiwał technologię wirtualizacji Intel VT-x lub AMD-V oraz aby był włączony w ustawieniach UEFI Twojego komputera.
Po włączeniu tych funkcji system Windows korzysta z funkcji wirtualizacji sprzętu w celu utworzenia bezpiecznego obszaru pamięci systemowej, który jest odizolowany od normalnego systemu operacyjnego. System Windows może uruchamiać procesy systemowe i oprogramowanie zabezpieczające w tym bezpiecznym obszarze. Chroni to ważne procesy systemu operacyjnego przed manipulowaniem przez cokolwiek działającego poza bezpiecznym obszarem.
Nawet jeśli na twoim komputerze działa złośliwe oprogramowanie i zna exploit, który powinien umożliwić mu złamanie tych procesów systemu Windows, bezpieczeństwo oparte na wirtualizacji jest dodatkową warstwą ochrony, która oddzieli je od ataku.
Funkcja znana jako "integralność pamięci" w interfejsie systemu Windows 10 jest również określana jako "integralność kodu chroniona przez hiperwizor" (HVCI) w dokumentacji firmy Microsoft.
Integralność pamięci jest domyślnie wyłączona na komputerach zaktualizowanych do aktualizacji z kwietnia 2018 roku, ale można ją włączyć. Zostanie on włączony domyślnie w nowych instalacjach systemu Windows 10 w przyszłości.
Ta funkcja jest podzbiorem Core Isolation. System Windows zwykle wymaga podpisów cyfrowych dla sterowników urządzeń i innych kodów działających w trybie jądra systemu niskiego poziomu. Gwarantuje to, że nie zostały zmodyfikowane przez złośliwe oprogramowanie. Gdy włączona jest funkcja "Integralność pamięci", "usługa integralności kodu" w systemie Windows działa wewnątrz kontenera chronionego przez hipernadzorcę, utworzonego przez Core Isolation. To powinno uniemożliwić złośliwemu programowi manipulowanie sprawdzaniem integralności kodu i uzyskiwanie dostępu do jądra systemu Windows.
Ponieważ integralność pamięci wykorzystuje sprzęt do wirtualizacji systemu, jest ona niezgodna z programami maszyn wirtualnych, takimi jak VirtualBox lub VMware. Tylko jedna aplikacja może używać tego sprzętu na raz.
Może pojawić się komunikat, że Intel VT-X lub AMD-V nie jest włączony lub dostępny, jeśli zainstalujesz program maszyny wirtualnej w systemie z włączoną obsługą pamięci. W VirtualBox może pojawić się komunikat o błędzie "Tryb surowy jest niedostępny dzięki funkcji Hyper-V", gdy włączona jest ochrona pamięci.
Tak czy inaczej, jeśli napotkasz problem z oprogramowaniem maszyny wirtualnej, musisz wyłączyć integralność pamięci, aby z niego korzystać.
Główna funkcja Core Isolation nie powinna powodować żadnych problemów. Jest on włączony na wszystkich komputerach z systemem Windows 10, które mogą go obsługiwać, i nie ma interfejsu do wyłączania go.
Jednak ochrona integralności pamięci może powodować problemy z niektórymi sterownikami urządzeń lub innymi niskopoziomowymi aplikacjami systemu Windows, dlatego jest domyślnie wyłączona podczas aktualizacji. Microsoft wciąż naciska na programistów i producentów urządzeń, aby ich sterowniki i oprogramowanie były kompatybilne, dlatego jest domyślnie włączona na nowych komputerach i nowych instalacjach systemu Windows 10.
Jeśli jeden z sterowników, który twój komputer wymaga do rozruchu, jest niekompatybilny z Ochroną pamięci, system Windows 10 w trybie cichym wyłącza Ochronę Pamięci, aby upewnić się, że twój komputer może się poprawnie uruchomić i działać. Tak więc, jeśli spróbujesz włączyć i ponownie uruchomić komputer, aby znaleźć, że nadal jest wyłączona, to właśnie dlatego.
W przypadku napotkania problemów z innymi urządzeniami lub nieprawidłowym działaniem oprogramowania po włączeniu ochrony pamięci, firma Microsoft zaleca sprawdzenie aktualizacji w konkretnej aplikacji lub sterowniku. Jeśli nie są dostępne żadne aktualizacje, wyłącz ochronę pamięci.
Jak wspomniano powyżej, integralność pamięci będzie również niekompatybilna z niektórymi aplikacjami, które wymagają wyłącznego dostępu do systemu wirtualizacji sprzętu, takiego jak programy maszyn wirtualnych. Inne narzędzia, w tym niektóre debuggery, również wymagają wyłącznego dostępu do tego sprzętu i nie będą działać z włączoną obsługą pamięci.
Możesz sprawdzić, czy Twój komputer ma włączone funkcje izolacji rdzeniowej i włączać lub wyłączać Ochronę Pamięci z poziomu aplikacji Windows Defender Security Center. (To narzędzie zostanie zmienione na "Windows Security" w ramach aktualizacji z października 2018 r.)
Aby go otworzyć, wyszukaj "Windows Defender Security Center" w menu Start lub wybierz Ustawienia> Aktualizuj i zabezp.> Zabezpieczenia systemu Windows> Otwórz Centrum zabezpieczeń Windows Defender.
Kliknij ikonę "Zabezpieczenia urządzenia" w Centrum zabezpieczeń.
Jeśli włączona jest izolacja jądra na twoim komputerze, zobaczysz komunikat "Zabezpieczenia oparte na wirtualizacji chronią główne części urządzenia".
Aby włączyć (lub wyłączyć) Ochronę pamięci, kliknij link "Szczegóły izolacji głównej".
Ten ekran pokazuje, czy integralność pamięci jest włączona, czy nie. To jedyna opcja na teraz.
Aby włączyć integralność pamięci, ustaw przełącznik w pozycji "Wł.". Jeśli wystąpią problemy z aplikacją lub urządzeniem i konieczne będzie wyłączenie integralności pamięci, wróć tutaj i przestaw przełącznik w położenie "Wył.".
Zostaniesz poproszony o ponowne uruchomienie komputera, a zmiana zacznie obowiązywać dopiero, gdy już to zrobisz.
Core Isolation i Memory Integrity to jedne z wielu nowych funkcji bezpieczeństwa, które Microsoft wprowadził jako część programu Windows Defender Exploit Guard. Jest to zestaw funkcji mających na celu zabezpieczenie systemu Windows przed atakiem.
Ochrona przed exploitami, która chroni twój system operacyjny i aplikacje przed wieloma rodzajami exploitów, jest domyślnie włączona. Zastępuje to stare narzędzie EMET firmy Microsoft i obejmuje funkcje zapobiegające exploitom, dla których wcześniej zalecaliśmy instalację Malware Anti-Exploit. Wszyscy użytkownicy systemu Windows 10 mają teraz ochronę przed exploitami.
Dostępna jest również kontrola dostępu do folderów, która chroni twoje pliki przed oprogramowaniem ransomware. Nie jest włączone domyślnie, ponieważ wymaga pewnej konfiguracji. Jeśli włączysz tę funkcję, musisz zezwolić aplikacjom na dostęp, zanim uzyska dostęp do plików w osobistych folderach plików.
Idąc dalej, integralność pamięci będzie domyślnie włączona na wszystkich nowych komputerach, zapewniając dodatkową ochronę przed atakami. Tylko zaawansowani użytkownicy, którzy korzystają z oprogramowania maszyny wirtualnej i innych narzędzi, które wymagają dostępu do sprzętu do wirtualizacji systemu, będą musieli go wyłączyć.
