Mitä ovat Core Isolation ja Memory Integrity Windows 10 ssä?
Windows 10: n huhtikuun 2018 päivitys tuo kaikille Core Isolation- ja Memory Integrity -ominaisuudet. Nämä käyttävät virtualisointiin perustuvaa tietoturvaa suojaamaan keskeiset käyttöjärjestelmän prosessit väärinkäytöksiltä, mutta muistin suojaus on oletusarvoisesti käytössä niille, jotka päivittävät.
Mikä on ydineristys?
Windows 10: n alkuperäisessä julkaisussa virtualisointiin perustuvat tietoturvatoiminnot (VBS) olivat käytettävissä vain Windows 10: n Enterprise-versioissa osana "Device Guardia". Huhtikuun 2018 päivityksellä Core Isolation tuo joitakin virtualisointipohjaisia suojausominaisuuksia kaikille Windows 10: n versiot.
Jotkin ydineristysominaisuudet ovat oletusarvoisesti käytössä Windows 10 -tietokoneissa, jotka täyttävät tietyt laitteisto- ja laiteohjelmistovaatimukset, mukaan lukien 64-bittisen CPU- ja TPM 2.0 -piirin. Se edellyttää myös, että tietokone tukee Intel VT-x- tai AMD-V-virtualisointiteknologiaa ja että se on otettu käyttöön tietokoneen UEFI-asetuksissa.
Kun nämä toiminnot ovat käytössä, Windows käyttää laitteiston virtualisointiominaisuuksia luodakseen suojatun järjestelmän muistialueen, joka on eristetty normaalista käyttöjärjestelmästä. Windows voi suorittaa järjestelmän prosesseja ja tietoturvaohjelmistoja tällä suojatulla alueella. Tämä suojaa tärkeitä käyttöjärjestelmien prosesseja suojaamattoman alueen ulkopuolella tapahtuvan toiminnan muuttamisen.
Vaikka haittaohjelmat ovat käynnissä tietokoneessasi ja tietävät hyödyn, jonka avulla se voi murtaa nämä Windows-prosessit, virtualisointipohjainen turvallisuus on lisäsuojakerros, joka eristää ne hyökkäyksistä.
Mikä on muistin eheys?
Windows 10: n käyttöliittymän "Memory Integrity" -ominaisuus tunnetaan myös Microsoftin dokumentaation nimellä "Hypervisor suojattu Code Integrity" (HVCI).
Muistin eheys on poistettu oletusarvoisesti tietokoneista, jotka on päivitetty huhtikuun 2018 päivitykseen, mutta voit ottaa sen käyttöön. Se otetaan oletuksena käyttöön Windows 10: n uusissa asennuksissa.
Tämä ominaisuus on osa ydineristystä. Windows tarvitsee tavallisesti digitaalisia allekirjoituksia laiteajureille ja muille matalan tason Windows-ytimen toimintatilaan. Näin varmistetaan, että haittaohjelma ei ole vahingoittanut niitä. Kun ”Memory Integrity” on käytössä, Windows-koodin ”integraalipalvelu” toimii Core Isolationin luoman hypervisor-suojatun säiliön sisällä. Tämän vuoksi on lähes mahdotonta, että haittaohjelmat vahingoittavat koodin eheyden tarkistuksia ja pääsevät Windows-ytimeen.
Virtuaalikoneen ongelmat
Koska Memory Integrity käyttää järjestelmän virtualisointilaitetta, se on yhteensopimaton virtuaalikoneohjelmien, kuten VirtualBoxin tai VMwaren kanssa. Vain yksi sovellus voi käyttää tätä laitetta kerrallaan.
Saatat nähdä viestin, jonka mukaan Intel VT-X tai AMD-V ei ole käytössä tai käytettävissä, jos asennat virtuaalikoneohjelman järjestelmään, jossa Memory Integrity on käytössä. VirtualBoxissa saattaa näkyä virheilmoitus ”Raw-tila ei ole käytettävissä Hyper-V: n avulla”, kun muistin suojaus on käytössä.
Jos virtuaalikoneohjelmiston kanssa ilmenee ongelmia, sinun on poistettava käytöstä Memory Integrity.
Miksi se on oletusarvoisesti pois käytöstä?
Tärkein eristysominaisuus ei saa aiheuttaa ongelmia. Se on käytössä kaikissa Windows 10 -tietokoneissa, jotka voivat tukea sitä, eikä siihen ole käyttöliittymää sen poistamiseksi käytöstä.
Muistin eheyssuojaus voi kuitenkin aiheuttaa ongelmia joidenkin laiteajureiden tai muiden matalan tason Windows-sovellusten kanssa, minkä vuoksi se on poistettu oletusarvoisesti päivityksistä. Microsoft pyrkii kehittäjiä ja laitevalmistajia edelleen ajamaan ohjaimia ja ohjelmistoja yhteensopiviksi, minkä vuoksi se on oletuksena käytössä uusissa tietokoneissa ja uusissa Windows 10 -asennuksissa.
Jos jokin tietokoneesi ajureista tarvitsee käynnistää, se ei ole yhteensopiva muistin suojauksen kanssa, Windows 10 muuttaa muistin suojaamisen hiljaa, jotta tietokoneesi voi käynnistää ja toimia oikein. Joten jos yrität ottaa sen käyttöön ja käynnistää vain uudelleen, jotta se on edelleen poissa käytöstä, siksi.
Jos sinulla on ongelmia muiden laitteiden kanssa tai ohjelmisto toimii virheellisesti muistin suojauksen käyttöönoton jälkeen, Microsoft suosittelee päivitysten tarkistamista tietyn sovelluksen tai ohjaimen kanssa. Jos päivityksiä ei ole, poista muistin suojaus käytöstä.
Kuten edellä mainittiin, myös Memory Integrity on yhteensopimaton joidenkin sovellusten kanssa, jotka vaativat yksinoikeutta käyttää järjestelmän virtualisointilaitteita, kuten virtuaalikoneohjelmia. Muut työkalut, mukaan lukien joitakin debuggereita, edellyttävät myös yksinomaista pääsyä tähän laitteistoon ja eivät toimi, kun Memory Integrity on käytössä.
Core Isolation Memory Integrity -toiminnon käyttöönotto
Voit tarkistaa, onko tietokoneessa Core Isolation -ominaisuudet käytössä, ja vaihtaa Memory Protection -toiminnon päälle tai pois Windows Defender Security Center -sovelluksesta. (Tämä työkalu nimetään uudelleen nimellä Windows-suojaus osana lokakuun 2018 päivitystä.)
Voit avata sen valitsemalla Käynnistä-valikosta ”Windows Defender Security Center” tai valitsemalla Asetukset> Päivitä & suojaus> Windowsin suojaus> Avaa Windows Defenderin tietoturvakeskus.
Napsauta ”Security Security” -kuvaketta Security Centerissä.
Jos Core Isolation on otettu käyttöön tietokoneen laitteistossa, näet viestin "Virtualization -pohjainen suojaus laitteen ydinosien suojaamiseksi" tässä.
Voit ottaa muistin suojauksen käyttöön tai poistaa sen käytöstä napsauttamalla ”Core Isolation Details” -linkkiä.
Tämä näyttö näyttää, onko Memory Integrity -toiminto käytössä vai ei. Se on nyt ainoa vaihtoehto.
Jos haluat ottaa muistin eheyden käyttöön, käännä kytkin asentoon ”Päällä”. Jos ilmenee sovellus- tai laitevikoja ja sinun on poistettava muistin eheys, palaa tähän ja käännä kytkin asentoon ”Pois”.
Sinua kehotetaan käynnistämään tietokone uudelleen, ja muutos tulee voimaan vasta kun olet.
Lisää Windows Defender Exploit Guard -ominaisuuksia
Core Isolation ja Memory Integrity ovat osa monia uusia suojausominaisuuksia, joita Microsoft on lisännyt osana Windows Defender Exploit Guardia. Tämä on kokoelma ominaisuuksia, jotka on suunniteltu suojaamaan Windowsia hyökkäyksiltä.
Käytössä oleva suojaus, joka suojaa käyttöjärjestelmääsi ja sovelluksiasi monista eri käyttökohteista, on oletusarvoisesti käytössä. Tämä korvaa Microsoftin vanhan EMET-työkalun, ja siihen sisältyy anti-use -ominaisuuksia, joita aiemmin suosittelimme Malware Anti-Exploitin asentamista varten. Kaikilla Windows 10 -käyttäjillä on nyt suojaussuoja.
On myös Controlled Folder Access, joka suojaa tiedostoja ransomware-ohjelmistosta. Se ei ole oletusarvoisesti käytössä, koska se vaatii jonkinlaista kokoonpanoa. Jos otat tämän ominaisuuden käyttöön, sinun on sallittava sovellusten käyttö, ennen kuin he voivat käyttää tiedostoja henkilökohtaisissa tiedostojen kansioissa.
Edestakaisin, Memory Integrity otetaan käyttöön kaikissa uusissa tietokoneissa, mikä suojaa hyökkäyksiä vastaan. Vain kehittyneitä käyttäjiä, jotka käyttävät virtuaalikoneohjelmistoa ja muita työkaluja, jotka vaativat pääsyä järjestelmän virtualisointilaitteeseen, on poistettava käytöstä.