Обновление Windows 10 за апрель 2018 г. предоставляет всем функции безопасности «изоляция ядра» и «целостность памяти». Они используют безопасность на основе виртуализации для защиты основных процессов операционной системы от несанкционированного доступа, но защита памяти отключена по умолчанию для пользователей, выполняющих обновление.
Что такое изоляция ядра
В оригинале выпуске Windows 10 функции безопасности на основе виртуализации (VBS) были доступны только в корпоративных выпусках Windows 10 как часть «Device Guard». В обновлении за апрель 2018 г. Core Isolation добавляет некоторые функции безопасности на основе виртуализации во все выпуски Windows 10.
Некоторые функции Core Isolation включены по умолчанию на ПК с Windows 10, которые соответствуют определенным требованиям к оборудованию и микропрограмме, в том числе с 64-битным процессором и чипом TPM 2.0. Также требуется, чтобы ваш ПК поддерживал технологию виртуализации Intel VT-x или AMD-V и чтобы она была включена в настройках UEFI вашего ПК.
Когда эти функции включены, Windows использует функции аппаратной виртуализации для создания безопасного область системной памяти, изолированная от обычной операционной системы. Windows может запускать системные процессы и программное обеспечение безопасности в этой защищенной области. Это защищает важные процессы операционной системы от вмешательства со стороны чего-либо, работающего за пределами защищенной зоны.
Даже если вредоносное ПО запущено на вашем ПК и знает эксплойт, позволяющий взломать эти процессы Windows, виртуализация- безопасность на основе — это дополнительный уровень защиты, который изолирует их от атак.
Что такое целостность памяти
Функция, известная как «целостность памяти» в Windows Интерфейс 10 также известен как «Целостность кода, защищенная гипервизором» (HVCI) в документации Microsoft.
Целостность памяти по умолчанию отключена на ПК, обновленных до обновления за апрель 2018 г., но вы можете включить ее. В будущем она будет включена по умолчанию при новых установках Windows 10.
Эта функция является подмножеством Core Isolation. Windows обычно требует цифровых подписей для драйверов устройств и другого кода, работающего в низкоуровневом режиме ядра Windows. Это гарантирует, что они не были подделаны вредоносными программами. Когда «Целостность памяти» включена, «служба целостности кода» в Windows работает внутри защищенного гипервизором контейнера, созданного Core Isolation. Это должно сделать почти невозможным вмешательство вредоносных программ в проверки целостности кода и получение доступа к ядру Windows.
Проблемы с виртуальными машинами
Поскольку функция целостности памяти использует аппаратное обеспечение виртуализации системы, она несовместима с программами виртуальных машин, такими как VirtualBox или VMware. Только одно приложение может использовать это оборудование одновременно.
Вы можете увидеть сообщение о том, что Intel VT-X или AMD-V не включены или недоступны, если вы устанавливаете программу виртуальной машины в системе с целостностью памяти. включено. В VirtualBox вы можете увидеть сообщение об ошибке «Необработанный режим недоступен благодаря Hyper-V», когда включена защита памяти.
В любом случае, если вы столкнулись с проблемой с программным обеспечением виртуальной машины, вы должны отключите целостность памяти, чтобы использовать ее.
Почему она отключена по умолчанию
Основная функция изоляции ядра не должна вызывать никаких проблем. Он включен на всех компьютерах с Windows 10, которые могут его поддерживать, и нет интерфейса для его отключения.
Однако защита целостности памяти может вызвать проблемы с некоторыми драйверами устройств или другими низкоуровневыми приложениями Windows, поэтому он отключен по умолчанию при обновлении. Microsoft по-прежнему подталкивает разработчиков и производителей устройств к тому, чтобы их драйверы и программное обеспечение были совместимы, поэтому он включен по умолчанию на новых ПК и новых установках Windows 10.
Если один из драйверов требуется для загрузки вашего ПК несовместима с защитой памяти, Windows 10 автоматически отключит защиту памяти, чтобы обеспечить правильную загрузку и работу компьютера. Поэтому, если вы попытаетесь включить его и перезагрузитесь, вы обнаружите, что он по-прежнему отключен, вот почему.
Если вы столкнетесь с проблемами с другими устройствами или неисправным программным обеспечением после включения защиты памяти, Microsoft рекомендует проверять наличие обновлений с помощью определенного приложения. или водитель. Если обновления недоступны, отключите защиту памяти.
Как мы упоминали выше, целостность памяти также будет несовместима с некоторыми приложениями, требующими монопольного доступа к аппаратному обеспечению виртуализации системы, например, программами виртуальных машин. Другие инструменты, в том числе некоторые отладчики, также требуют монопольного доступа к этому оборудованию и не будут работать при включенной функции целостности памяти.
Как включить функцию изоляции ядра
Вы можете увидеть, На ПК включены функции изоляции ядра и включение или отключение защиты памяти в приложении Центр безопасности Защитника Windows.
Чтобы открыть его, найдите «Центр безопасности Защитника Windows» в меню «Пуск» или перейдите в «Настройки» > Обновить и усилить Безопасность > Безопасность Windows > Откройте Центр безопасности Защитника Windows.
Нажмите значок «Безопасность устройства» в Центре безопасности.
Если на оборудовании вашего ПК включена изоляция ядра, вы увидите сообщение «Безопасность на основе виртуализации». работает для защиты основных частей вашего устройства».
Чтобы включить (или отключить) защиту памяти, нажмите ссылку «Сведения об изоляции ядра».
На этом экране показано, включена ли функция целостности памяти. Пока это единственный вариант.
Чтобы включить целостность памяти, установите переключатель в положение «Вкл.» Если у вас возникли проблемы с приложением или устройством и вам нужно отключить целостность памяти, вернитесь сюда и переведите переключатель в положение «Выкл.».
Вам будет предложено перезагрузить компьютер, и изменение вступит в силу только после того, как вы это сделаете.
Дополнительные функции Exploit Guard в Защитнике Windows
Изоляция ядра и целостность памяти — вот некоторые из множество новых функций безопасности, которые Microsoft добавила как часть Exploit Guard в Защитнике Windows. Это набор функций, предназначенных для защиты Windows от атак.
Защита от эксплойтов, которая защищает вашу операционную систему и приложения от многих типов эксплойтов, включена по умолчанию. Он заменяет старый инструмент Microsoft EMET и включает в себя функции защиты от эксплойтов, для которых мы ранее рекомендовали установить Malware Anti-Exploit. Все пользователи Windows 10 теперь имеют защиту от эксплойтов.
Также есть контролируемый доступ к папкам, который защищает ваши файлы от программ-вымогателей. По умолчанию он не включен, так как требует некоторой настройки. Если вы включите эту функцию, вам придется разрешить приложениям доступ, прежде чем они смогут получить доступ к файлам в ваших личных файловых папках.
В дальнейшем целостность памяти будет включена по умолчанию на всех новые ПК, обеспечивающие дополнительную защиту от атак. Только опытные пользователи, которые используют программное обеспечение виртуальных машин и другие инструменты, требующие доступа к аппаратному обеспечению виртуализации системы, должны отключить его.
