Что такое изоляция ядра?
В первоначальном выпуске Windows 10 функции безопасности на основе виртуализации (VBS) были доступны только в корпоративных версиях Windows 10 в составе «Device Guard». С обновлением в апреле 2018 года Core Isolation предоставляет некоторые функции безопасности на основе виртуализации для всех выпуски Windows 10.
Некоторые функции Core Isolation включены по умолчанию на ПК с Windows 10, которые соответствуют определенным требованиям к оборудованию и прошивке, включая 64-битный процессор и чип TPM 2.0. Это также требует, чтобы ваш ПК поддерживал технологию виртуализации Intel VT-x или AMD-V и что он включен в настройках UEFI вашего ПК.
Когда эти функции включены, Windows использует функции аппаратной виртуализации для создания защищенной области системной памяти, изолированной от обычной операционной системы. Windows может запускать системные процессы и программное обеспечение для обеспечения безопасности в этой безопасной зоне. Это защищает важные процессы операционной системы от несанкционированного доступа к чему-либо, находящемуся за пределами безопасной зоны.
Даже если вредоносная программа работает на вашем ПК и знает эксплойт, который должен позволить взломать эти процессы Windows, защита на основе виртуализации является дополнительным уровнем защиты, который изолирует их от атак.
Что такое целостность памяти?
Функция, известная как «Целостность памяти» в интерфейсе Windows 10, также известна как «Защищенная целостность кода Hypervisor» (HVCI) в документации Microsoft.
Целостность памяти по умолчанию отключена на компьютерах, обновленных до обновления апреля 2018 года, но вы можете включить их. Он будет включен по умолчанию для новых установок Windows 10 в будущем.
Эта функция является подмножеством Core Isolation. Для Windows обычно требуются цифровые подписи для драйверов устройств и другого кода, который работает в режиме ядра Windows низкого уровня. Это гарантирует, что они не пострадали от вредоносного ПО. Когда «Целостность памяти» включена, «служба целостности кода» в Windows запускается внутри контейнера, защищенного гипервизором, созданного Core Isolation. Это должно сделать почти невозможным, чтобы вредоносное ПО пыталось вмешаться в проверку целостности кода и получить доступ к ядру Windows.
Проблемы с виртуальной машиной
Поскольку Integrity Memory использует аппаратное обеспечение виртуализации системы, оно несовместимо с программами виртуальной машины, такими как VirtualBox или VMware. Только одно приложение может использовать это оборудование за раз.
Вы можете увидеть сообщение о том, что Intel VT-X или AMD-V не включены или недоступны, если вы устанавливаете программу виртуальной машины в системе с включенной целостностью памяти. В VirtualBox вы можете увидеть сообщение об ошибке «Необработанный режим недоступен Hyper-V», в то время как функция защиты памяти включена.
В любом случае, если у вас возникла проблема с программным обеспечением вашей виртуальной машины, вы должны отключить Integrity Memory, чтобы использовать его.
Почему это отключено по умолчанию?
Основная функция Core Isolation не должна вызывать никаких проблем. Он включен на всех ПК с Windows 10, которые могут его поддерживать, и нет интерфейса для его отключения.
Тем не менее, защита целостности памяти может вызвать проблемы с некоторыми драйверами устройств или другими низкоуровневыми приложениями Windows, поэтому она по умолчанию отключена при обновлении. Microsoft по-прежнему подталкивает разработчиков и производителей устройств к совместимости своих драйверов и программного обеспечения, поэтому по умолчанию она включена на новых компьютерах и новых установках Windows 10.
Если один из драйверов, который требуется вашему компьютеру для загрузки, несовместим с Memory Protection, Windows 10 отключит защиту памяти, чтобы ваш компьютер мог загрузиться и работать правильно. Итак, если вы попробуете включить его и перезагрузитесь, только чтобы найти его по-прежнему отключенным, вот почему.
Если после включения защиты памяти возникают проблемы с другими устройствами или сбойным программным обеспечением, корпорация Майкрософт рекомендует проверять обновления с помощью конкретного приложения или драйвера. Если обновлений нет, отключите функцию защиты памяти.
Как мы уже упоминали выше, Memory Integrity также будет несовместима с некоторыми приложениями, которые требуют эксклюзивного доступа к аппаратным средствам виртуализации системы, таким как программы виртуальной машины. Другие инструменты, включая некоторые отладчики, также требуют эксклюзивного доступа к этому оборудованию и не будут работать с включенной целостностью памяти.
Как включить целостность памяти изоляции ядра
Вы можете увидеть, включен ли на вашем ПК функции изоляции ядра и включить или отключить защиту памяти от приложения Windows Defender Security Center. (Этот инструмент будет переименован в «Безопасность Windows» в рамках обновления октября 2018 года.)
Чтобы открыть его, найдите «Центр защиты Windows Defender» в меню «Пуск» или откройте «Настройки»> «Обновление и безопасность»> «Безопасность Windows»> «Открыть Центр защиты Windows Defender».
Чтобы включить (или отключить) защиту памяти, щелкните ссылку «Основная информация о изоляции».
Чтобы включить целостность памяти, переведите переключатель в положение «Вкл.». Если вы столкнулись с проблемами приложений или устройств и вам необходимо отключить целостность памяти, вернитесь сюда и переверните переключатель в положение «Выкл.».
Дополнительные функции защиты от защиты Windows Defender
Core Isolation и Integrity Memory - это некоторые из многих новых функций безопасности, которые Microsoft добавила как часть Защитника Windows Defender Exploit Guard. Это набор функций, предназначенных для защиты Windows от атак.
Защита от вторжений, которая защищает вашу операционную систему и приложения от многих типов эксплойтов, включена по умолчанию. Это заменяет старый инструмент EMET от Microsoft и включает в себя функции анти-эксплойт, которые мы ранее рекомендовали для установки Malware Anti-Exploit для. Все пользователи Windows 10 теперь имеют защиту от использования.
Также имеется доступ к контролируемым папкам, который защищает ваши файлы от ransomware. Он не включен по умолчанию, потому что он требует некоторой настройки. Если вы включите эту функцию, вам придется разрешить доступ к приложениям, прежде чем они смогут обращаться к файлам в ваших личных папках.
Идем дальше, Memory Integrity будет включен по умолчанию на всех новых ПК, обеспечивая дополнительную защиту от атак. Только продвинутые пользователи, которые используют программное обеспечение виртуальной машины и другие инструменты, требующие доступа к аппаратной виртуализации системы, должны будут отключить его.
