Dacă utilizați Windows 10 sau Windows 11 și sunteți preocupat de securitate, probabil ați văzut în Securitate Windows opțiunile de Izolarea miezului y integritatea memorieiMulți utilizatori văd avertismente de genul „Integritatea memoriei este dezactivată, dispozitivul dvs. poate fi vulnerabil” și nu este întotdeauna clar ce înseamnă acest lucru sau cum să îl activezi corect fără a cauza probleme. Dacă doriți să aflați mai multe, Cum să vă securizați Windows-ul Puteți consulta mai multe resurse.
În acest ghid veți găsi o explicație foarte completă, dar într-un limbaj clar, despre exact ce este vorba. Izolarea miezuluicum funcționează integritatea memorieiAcest ghid explică cerințele, cum să îl activați prin opțiunile grafice Windows, linia de comandă sau politicile avansate și ce trebuie să faceți dacă întâmpinați erori, ecrane albastre sau probleme de performanță după activare. Scopul este de a vă ajuta să luați o decizie în cunoștință de cauză cu privire la activarea sau neactivarea acestuia și, mai presus de toate, să îl configurați cu încredere. De asemenea, puteți consulta [link către documentația/ghidul/etc. relevant]. ghid complet despre securitate și confidențialitate.
Ce este izolarea nucleului și ce rol joacă integritatea memoriei?
Apelul Izolarea miezului Este o tehnologie avansată de securitate integrată în Windows care se bazează pe securitate bazată pe virtualizare (VBS)Practic, Windows creează un mediu virtual mic și izolat în interiorul sistemului, care acționează ca o zonă de încredere maximă și din care se monitorizează ceea ce se întâmplă în sistem. nucleu și în alte procese critice.
În cadrul acestui mediu protejat, intră în joc următoarele: integritatea memoriei, cunoscut și sub numele de HVCI (Integritate a codului impusă de hipervizor)Această caracteristică necesită ca codul care rulează în modul kernel să fie semnat și verificat corespunzător și controlează strict modul în care resursele sunt alocate și modificate. memoria nucleului, blocând încercările tipice ale multor tipuri de programe malware de a se injecta în nucleul sistemului.
Când activați Core Isolation și Memory Integrity, Windows ridică un fel de „zid virtual” în jurul kernelului: hipervizorul Windows Izolează o porțiune de memorie unde se efectuează verificări ale integrității codului, iar kernelul în sine devine mult mai strict controlat. Acest lucru complică foarte mult sarcina oricărui atacator care modifică structurile interne ale sistemului sau încarcă drivere rău intenționate.
Toate acestea fac parte dintr-o schimbare a modelului de securitate Windows: nu se mai presupune că kernelul este intangibil, ci se presupune că poate fi atacat, iar acest lucru este consolidat cu un strat suplimentar care rulează pe acel kernel. mediu virtual izolatEste o abordare similară cu a avea un „microsistem de operare” dedicat monitorizării sistemului principal.
Funcțiile și avantajele integrității memoriei
Integritatea memoriei nu este doar „un alt parametru” în Securitatea Windows. Este o componentă cheie a VBS și oferă mai multe beneficii. straturi protectoare specifice împotriva atacurilor asupra kernelului și driverelor.
Pe de o parte, această funcție protejează Bitmap-ul Control Flow Guard (CFG) Pentru controlerele în mod kernel, CFG este o tehnologie care încearcă să prevină devierea fluxului de execuție a programului către zone de memorie neașteptate.
În plus, integritatea memoriei protejează procesul în sine, integritatea codului în modul kernelAceastă entitate este responsabilă de verificarea faptului că procesele și controlorii de încredere au certificate valide și nu au fost modificați. În acest fel, nu numai ceilalți sunt monitorizați, ci și monitoarele în sine, reducând riscul ca mecanismul de securitate să fie sabotat.
O altă contribuție importantă este aceea că restricționează strict alocările de memorie ale kerneluluiMulte tehnici de escaladare a privilegiilor sau rootkit-uri constau tocmai în a determina sistemul să rezerve memorie într-un mod specific pentru a injecta cod malițios.
În practică, toate acestea se traduc printr-o îmbunătățire vizibilă a Modelul de amenințări WindowsNucleul trece de la a fi o țintă relativ accesibilă pentru anumite familii de programe malware sofisticate la a fi mult mai protejat, mai ales atunci când este combinat cu alte funcții precum Credential Guard sau alte protecții bazate pe hardware, precum și ASR pe Windows.
În practică, toate acestea se traduc printr-o îmbunătățire notabilă a modelului de amenințări Windows: kernelul trece de la a fi o țintă relativ accesibilă pentru anumite familii de programe malware sofisticate la a fi mult mai protejat, mai ales atunci când este combinat cu alte caracteristici precum Credential Guard sau alte protecții bazate pe hardware.
Ce protejează exact Core Isolation pe PC-ul tău?
Pentru a înțelege pe deplin ce oferă această funcție, este util să facem distincția între hardware-ul principal y hardware perifericIzolarea nucleului și integritatea memoriei se concentrează în principal pe protejarea căii care conectează sistemul la hardware-ul principal (placă de bază, procesor, GPU, RAM, unitate de stocare principală...), unde se întâmplă cele mai delicate lucruri.
Între timp, tot ceea ce este conectat prin porturi USB sau alte porturi Dispozitivele de stocare externe (cum ar fi mouse-urile, tastaturile, imprimantele și telefoanele mobile) sunt considerate hardware periferic. Deși aceste dispozitive nu reprezintă nucleul computerului, ele reprezintă un punct de intrare major pentru programe malware. Integritatea memoriei contribuie la îngreunarea atacului direct al programelor malware asupra kernel-ului, chiar dacă unul dintre aceste dispozitive este compromis sau utilizează un driver vulnerabil.
Este demn de remarcat faptul că această funcție Nu înlocuiește software-ul antivirus.Windows Defender (sau Microsoft Defender) rămâne esențial pentru analiza fișierelor, proceselor și traficului de rețea și face parte din strategia pentru Protejați-vă PC-ul de atacuri și hackeriIzolarea nucleului și integritatea memoriei acționează ca un complement de nivel scăzut care intră în joc atunci când un atac încearcă să vizeze direct sistemul de operare. Combinația celor două consolidează considerabil securitatea generală.
Totuși, această protecție suplimentară are dezavantajele sale. costul în resurseAșa cum un sistem de control al accesului cu mai mulți pași durează mai mult până te lasă să intri în casă, cu cât Windows efectuează mai multe verificări asupra codului încărcat în kernel, cu atât consumă mai mult timp și putere CPU. Acest lucru poate fi observat pe sistemele foarte performante sau în situații precum jocurile solicitante.
Avantaje și dezavantaje: securitate vs. performanță
Activarea izolării nucleului și a integrității memoriei crește în mod clar securitatea sistemuluiDar nu totul e roz. Mulți utilizatori au observat că, după activarea acestor opțiuni, FPS-ul în jocuri este redus sau că sistemul pare ceva mai greu, mai ales pe computerele care erau deja la limita hardware-ului.
Există, de asemenea, cazuri în care, atunci când izolarea miezului este activată, apar următoarele Ecranele albastre ale morții (BSOD) sau blocaje ciudate. În majoritatea acestor situații, originea este de obicei aceeași: drivere incompatibile sau prost proiectate care nu îndeplinesc cele mai stricte reguli de integritate a codului cerute de HVCI.
Pe de altă parte, dacă utilizarea computerului este relativ conservatoare (nu descarci software neobișnuit, vizitezi site-uri web de încredere, îți menții sistemul actualizat și lași Microsoft Defender activ), este posibil să nu observi o diferență uriașă de securitate atunci când activezi Core Isolation, în timp ce s-ar putea să observi o pierdere de performanță, în special în jocuri sau aplicații foarte intensive.
Recomandarea înțeleaptă este de obicei următoarea: dacă echipamentul dumneavoastră este relativ modern, Îndeplinește cerințele de virtualizareDacă nu observați nicio eroare la activarea funcției și nu observați probleme semnificative de performanță, merită să lăsați activată Core Isolation. Totuși, dacă începeți să întâmpinați scăderi severe de performanță sau instabilitate, puteți lua în considerare dezactivarea acesteia sau utilizarea ei doar la anumite momente.
În orice caz, chiar și cu toate aceste funcții activate, elementul cheie rămâne utilizatorul: evitați descărcările ciudateCea mai bună apărare rămâne a nu deschide atașamente suspecte, a nu vizita site-uri web dubioase și a menține totul actualizat. Tehnologia ajută, dar nu face minuni dacă nu ești atent în timp ce navighezi.
Cum se activează izolarea nucleului și integritatea memoriei din Securitatea Windows
Cea mai directă și vizuală modalitate de a activa izolarea nucleului și integritatea memoriei este chiar prin Aplicația de securitate Windowscare este integrat atât în Windows 10, cât și în Windows 11. Pașii sunt foarte asemănători în ambele sisteme, deși numele meniului se schimbă ușor.
În Windows 11, puteți deschide aplicația apăsând Windows + I pentru a accesa Setări și apoi pentru a introduce Confidențialitate și securitate > Securitate Windowsunde veți vedea un buton pentru a-l deschide. De asemenea, puteți căuta „Securitate Windows” din meniul Start sau puteți face clic pe pictograma scut albastru care apare de obicei în bara de sistem.
Odată ajuns în Securitatea Windows, accesați secțiunea Securitatea dispozitivuluiAcolo veți găsi secțiunea numită Izolarea miezuluiProbabil veți vedea un mesaj care indică faptul că Integritatea memoriei este dezactivată și că dispozitivul dvs. ar putea fi vulnerabil dacă nu îl activați.
Faceți clic pe Detalii despre izolația miezuluiSe va deschide un ecran cu mai multe opțiuni avansate. Cea mai importantă este comutatorul. Integritatea memorieiPrin activarea acesteia, Windows va începe să aplice aceste politici consolidate de integritate a codului la kernel, împiedicând încărcarea driverelor sau a codului potențial rău intenționat.
În aceeași secțiune puteți găsi, în funcție de versiunea dvs. de Windows, opțiunea Lista de blocare Microsoft a driverelor vulnerabileAceastă funcție, care este de obicei activată în mod implicit, împiedică încărcarea anumitor drivere despre care se știe că au vulnerabilități grave. Combinată cu integritatea memoriei, oferă un nivel suplimentar de securitate împotriva driverelor problematice.
Cum se activează integritatea memoriei și VBS folosind comenzi și registry
Dacă gestionați mai multe computere sau doriți un control mai precis, acest lucru este, de asemenea, posibil. Activați izolarea nucleului și integritatea memoriei prin linia de comandăAceasta implică modificarea directă a unor chei specifice din Registrul Windows. Acest lucru este foarte util în mediile corporative sau atunci când doriți să automatizați configurarea.
Pentru a începe, deschideți Prompt de comandă ca administratorApăsați Windows + S, tastați „cmd”, faceți clic dreapta pe „Command Prompt” și selectați „Run as administrator”. Acceptați solicitarea Control cont utilizator dacă apare.
Cheia principală a integrității memoriei constă în HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrityÎn cadrul acelei ramuri, valoarea Activat Aceasta comandă controlează dacă HCVI este activat (1) sau dezactivat (0). Îl puteți activa cu o comandă similară cu aceasta:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v Enabled /t REG_DWORD /d 1 /f
Izolarea miezului depinde de securitate bazată pe virtualizare (VBS) este activat. Acest lucru este controlat de cheie. HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuardAici aveți câteva valori importante: de exemplu, ActivațiVirtualizationBasedSecurity (pentru a porni VBS), RequirePlatformSecurityFeatures (să solicite bootare securizată și protecție DMA cu valori diferite) și blocat (pentru a indica dacă blocarea UEFI este stabilită sau nu).
Un set tipic de comenzi pentru configurarea VBS și HVCI fără a bloca permanent nimic în firmware ar putea arăta cam așa, executate întotdeauna într-o consolă cu privilegii ridicate:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f
Utilizarea Controlului aplicațiilor pentru afaceri și a PowerShell
În organizațiile care implementează politici de securitate pe mai multe computere, Microsoft oferă o altă modalitate de a activa integritatea memoriei: Controlul aplicațiilor pentru afaceri, succesorul Windows Defender Application Control. De acolo, HVCI poate fi inclus ca parte a unei politici centralizate.
O modalitate comună este de a utiliza Asistent de control al aplicațiilorcare vă ghidează prin crearea sau modificarea politicii. În cadrul expertului respectiv, pe pagina cu regulile politicii, puteți selecta opțiunea Integritatea codului protejată de hypervisorAceasta indică faptul că doriți să activați integritatea memoriei pe toate dispozitivele care aplică politica respectivă.
O altă alternativă este utilizarea cmdlet-ului PowerShell Set-HVCIOptionsAcest lucru vă permite să configurați diferite moduri de operare HVCI, cum ar fi auditarea, funcționarea forțată etc. Acest lucru este foarte util dacă doriți să testați compatibilitatea controlerelor dvs. în modul auditare înainte de a trece la un mod strict forțat.
În cele din urmă, oricine are experiență în XML poate edita direct Fișierul de politică App Control și modificați valoarea elementului <HVCIOptions>Acest lucru permite un control destul de detaliat asupra modului în care este aplicată integritatea memoriei într-un mediu în care mai multe computere sunt gestionate simultan.
Întreaga abordare este mai degrabă orientată către companii, dar este bine de știut că integritatea memoriei poate fi guvernată atât din interfața cu utilizatorul, cât și din instrumente și scripturi de gestionare a politicilor, în funcție de nevoile fiecărui mediu.
Cum se verifică dacă VBS și integritatea memoriei sunt de fapt active
După ce ați activat VBS și integritatea memoriei, este logic să vă întrebați dacă Chiar lucrează sau dacă ceva a rămas neterminat. Windows oferă mai multe modalități de a verifica acest lucru, atât grafic, cât și prin comenzi.
Una dintre cele mai cuprinzătoare este utilizarea clasei WMI Win32_DeviceGuardAcest lucru este accesibil dintr-o sesiune PowerShell cu privilegii de administrator. Rularea unei comenzi ca aceasta poate genera un raport destul de detaliat:
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard
Rezultatul acestei comenzi include câmpuri precum Proprietăți de securitate disponibilecare enumeră caracteristicile de securitate bazate pe hardware prezente (suport pentru hypervisor, bootare securizată, protecție DMA, protecții NX, atenuări SMM, MBEC/GMET, virtualizare APIC etc.) și Proprietăți de securitate necesare, care indică proprietățile necesare pentru ca VBS să fie activat corect.
Veți vedea, de asemenea, câmpuri precum Servicii de SecuritateConfigurate y Servicii de SecuritateRularecare arată dacă servicii precum Credință de gardă o integritatea memoriei Sunt configurate și dacă rulează efectiv. De exemplu, o valoare care include „2” indică de obicei că integritatea memoriei este fie configurată, fie rulează, respectiv.
Un alt câmp cheie este Stare de securitate bazată pe virtualizareAceasta vă va spune dacă VBS este dezactivat (0), activat, dar nu rulează (1) sau activat și complet funcțional (2). Pentru ca Core Isolation să funcționeze corect, această valoare ar trebui să fie, în mod ideal, 2.
Dacă preferi ceva mai vizual și mai puțin tehnic, poți apela la msinfo32.exeRulați acest program (de exemplu, tastând „msinfo32” în caseta de căutare Windows) dintr-o sesiune cu privilegii sporite. În partea de jos a Prezentare generală a sistemului Veți vedea un bloc dedicat funcțiilor VBS, care indică dacă este activat și ce protecții aferente sunt active.
Integritatea memoriei în mașinile virtuale Hyper-V
Integritatea memoriei și izolarea nucleului nu sunt doar pentru hardware-ul fizic. Ele pot fi activate și în cadrul unui... Mașină virtuală Hyper-Vcu condiția îndeplinirii anumitor cerințe. În acest scenariu, mașina virtuală se bucură de aceeași protecție ca un PC fizic împotriva programelor malware care încearcă să atace kernelul mașinii gazdă.
Pentru aceasta, Gazdă Hyper-V Trebuie să ruleze cel puțin Windows Server 2016 sau Windows 10 versiunea 1607, iar mașina virtuală trebuie să fie de generația 2 și rulați o versiune compatibilă de Windows. În interiorul mașinii virtuale, pașii pentru activarea izolării nucleului sunt aceiași ca pe un computer obișnuit.
Este important să înțelegem integritatea memoriei în mașina virtuală Protejați oaspetele, nu gazdaAdministratorul gazdă are în continuare capacitatea de a controla configurația mașinii virtuale și poate, de fapt, să dezactiveze participarea acelei mașini virtuale la VBS cu comenzi precum:
Set-VMSecurity -VMName <NombreVM> -VirtualizationBasedSecurityOptOut $true
Izolarea nucleului și integritatea memoriei sunt două componente cheie ale consolidării securității Windows: utilizând virtualizarea hardware, acestea adaugă un strat foarte profund de protecție peste kernel și drivere, capabil să oprească atacuri sofisticate care anterior aveau frâu liber; cu toate acestea, activarea lor necesită îndeplinirea anumitor cerințe hardware și acceptarea faptului că, pe anumite sisteme sau pentru utilizări foarte solicitante, poate exista un preț de plătit în ceea ce privește performanța sau compatibilitatea driverelor, așa că este recomandabil să luați în considerare cu atenție utilizarea lor și să vă bazați întotdeauna pe bune practici de securitate atunci când navigați și instalați software.
