Kaj so izolacija jedra in celovitost pomnilnika v sistemu Windows 10?
Posodobitev za Windows 10 v aprilu 2018 prinaša varnostnim funkcijam »Izolacija jedra« in »Pomnilniško integriteto« vsakomur. Ti uporabljajo varnost na osnovi virtualizacije za zaščito procesov vašega osrednjega operacijskega sistema pred nedovoljenim posegom, vendar je zaščita pomnilnika privzeto izključena za ljudi, ki nadgradijo.
Kaj je jedro izolacije?
V prvotni izdaji operacijskega sistema Windows 10 so bile funkcije za varnost na osnovi virtualizacije (VBS) na voljo samo v izdajah sistema Windows 10 kot del programa »Device Guard«. Z posodobitvijo aprila 2018 je Core Isolation prinesel nekatere varnostne funkcije na osnovi virtualizacije vsem izdaj sistema Windows 10.
Nekatere osnovne funkcije izolacije so privzeto omogočene na računalnikih z operacijskim sistemom Windows 10, ki izpolnjujejo določene zahteve glede strojne opreme in strojne opreme, vključno z 64-bitnim procesorjem in čipom TPM 2.0. Prav tako zahteva, da vaš računalnik podpira tehnologijo virtualizacije Intel VT-x ali AMD-V in da je omogočen v nastavitvah UEFI za vaš računalnik..
Ko so te funkcije omogočene, Windows uporablja funkcije virtualizacije strojne opreme za ustvarjanje varnega območja sistemskega pomnilnika, ki je izoliran od običajnega operacijskega sistema. Windows lahko na tem varnem področju izvaja sistemske procese in varnostno programsko opremo. To ščiti pomembne procese v operacijskem sistemu pred tem, da bi se karkoli izvajalo zunaj varnega območja.
Tudi če se na vašem računalniku izvaja zlonamerna programska oprema in pozna izkoriščanje, ki bi mu lahko omogočilo, da razreže te procese Windows, je varnost na osnovi virtualizacije dodatna zaščita, ki jih bo izolirala pred napadom..
Kaj je spomin??
Funkcija, imenovana »spominska celovitost« v vmesniku sistema Windows 10, je v Microsoftovi dokumentaciji znana tudi kot »Hipervisorsko zaščitena koda integritete« (HVCI).
Pomnilniška celovitost je privzeto onemogočena na osebnih računalnikih, ki so nadgrajeni na posodobitev aprila 2018, vendar jo lahko omogočite. Omogočeno bo privzeto pri novih namestitvah sistema Windows 10 naprej.
Ta funkcija je podmnožica Core Isolation. Windows običajno zahteva digitalne podpise za gonilnike naprav in drugo kodo, ki se izvaja v načinu jedra nizke ravni Windows. To zagotavlja, da jih zlonamerna programska oprema ni spreminjala. Ko je omogočena pomnilniška celovitost, se “storitev za integriteto kode” v sistemu Windows izvaja znotraj vsebnika, zaščitenega s hipervizorjem, ki ga ustvari izolacija jedra. To bi moralo skoraj onemogočiti, da bi zlonamerna programska oprema spreminjala preverjanje integritete kode in pridobila dostop do jedra Windows.
Težave z navideznim računalnikom
Ker pomnilniška integriteta uporablja sistemsko strojno opremo za virtualizacijo, je nezdružljiva s programi za navidezne naprave, kot sta VirtualBox ali VMware. Ta strojna oprema lahko hkrati uporablja samo ena aplikacija.
Morda boste videli sporočilo, da Intel VT-X ali AMD-V ni omogočen ali na voljo, če namestite program navideznega stroja v sistem z omogočeno pomnilniško integriteto. V VirtualBoxu se lahko prikaže sporočilo o napaki »Raw-mode ni na voljo za Hyper-V«, medtem ko je možnost Memory Protection omogočena.
V vsakem primeru, če naletite na težavo s programsko opremo za navidezno napravo, morate onemogočiti celovitost pomnilnika, da jo uporabljate.
Zakaj je privzeto onemogočen?
Glavna funkcija izolacije jedra ne sme povzročati težav. Omogočen je na vseh računalnikih z operacijskim sistemom Windows 10, ki ga lahko podpirajo, in ni vmesnika za onemogočanje.
Vendar pa lahko zaščita pomnilniške integritete povzroči težave z nekaterimi gonilniki naprav ali drugimi programi nizke ravni Windows, zato je privzeto onemogočena pri nadgradnjah. Microsoft še vedno spodbuja razvijalce in proizvajalce naprav, da svoje gonilnike in programsko opremo združijo, zato je privzeto omogočen na novih računalnikih in novih namestitvah sistema Windows 10.
Če je eden od gonilnikov, ki jih vaš računalnik zahteva za zagon, nezdružljiv z zaščito pomnilnika, bo Windows 10 izključil zaščito pomnilnika in tako zagotovil, da se računalnik lahko zažene in deluje pravilno. Torej, če jo poskusite omogočiti in ponovno zaženete samo, da ugotovite, da je še vedno onemogočen, je to razlog.
Če se po omogočanju zaščite pomnilnika pojavijo težave z drugimi napravami ali nepravilno delujočo programsko opremo, Microsoft priporoča, da preverite, ali obstajajo posodobitve za določeno aplikacijo ali gonilnik. Če ni na voljo nobenih posodobitev, izklopite Memory Protection.
Kot smo že omenili, bo Memory Integrity tudi nezdružljiva z nekaterimi aplikacijami, ki zahtevajo ekskluzivni dostop do strojne opreme za virtualizacijo sistema, kot so programi virtualnih strojev. Druga orodja, vključno z nekaterimi razhroščevalniki, prav tako zahtevajo ekskluzivni dostop do te strojne opreme in ne bodo delovala z omogočeno integriteto pomnilnika.
Kako omogočiti celovito pomnilniško izolacijo jedra
Ogledate si lahko, ali ima vaš računalnik omogočene funkcije za izolacijo jedra in vklopite ali izklopite zaščito pomnilnika v programu Windows Defender Security Center. (To orodje bo preimenovano v »Windows Security« kot del posodobitve oktobra 2018).
Če jo želite odpreti, v meniju »Start« poiščite »Varnostno središče programa Windows Defender« ali pa izberite Nastavitve> Posodobitev in varnost> Varnost sistema Windows> Odprite varnostno središče programa Windows Defender.
Kliknite ikono »Varnost naprave« v varnostnem središču.
Če je v strojni opremi računalnika omogočena jedrna izolacija, boste tukaj videli sporočilo »Varnost na osnovi virtualizacije se izvaja za zaščito osrednjih delov naprave«.
Če želite omogočiti (ali onemogočiti) zaščito pomnilnika, kliknite povezavo »Osnovni podatki o izolaciji«.
Ta zaslon vam pokaže, ali je pomnilniška celovitost omogočena ali ne. To je zdaj edina možnost.
Če želite omogočiti celovitost pomnilnika, preklopite stikalo na »Vključeno«. Če naletite na težave z aplikacijo ali napravo in morate onemogočiti celovitost pomnilnika, se vrnite sem in preklopite stikalo na »Izključeno«.
Računalnik boste morali znova zagnati, sprememba pa bo začela veljati šele, ko boste.
Več funkcij programa Windows Defender Exploit Guard
Izolacija jedra in celovitost pomnilnika so nekatere od številnih novih varnostnih funkcij, ki jih je Microsoft dodal kot del programa Windows Defender Exploit Guard. To je zbirka funkcij za zaščito sistema Windows pred napadom.
Zaščita pred izkoriščanjem, ki ščiti vaš operacijski sistem in aplikacije pred mnogimi vrstami izkoriščanja, je privzeto omogočena. To nadomešča Microsoftovo staro orodje EMET in vključuje funkcije za preprečevanje izkoriščanja, za katere smo pred tem priporočili namestitev protivirusnega programa Malware Anti-Exploit. Vsi uporabniki operacijskega sistema Windows 10 zdaj izkoriščajo zaščito.
Na voljo je tudi nadzor dostopa do map, ki ščiti vaše datoteke pred ransomware. Privzeto ni omogočen, ker zahteva določeno konfiguracijo. Če omogočite to funkcijo, boste morali omogočiti dostop do aplikacij, preden bodo lahko dostopali do datotek v osebnih mapah datotek.
Naprej bo pomnilniška celovitost privzeto omogočena na vseh novih osebnih računalnikih, kar zagotavlja dodatno zaščito pred napadi. Samo napredni uporabniki, ki uporabljajo programsko opremo za navidezne naprave in druga orodja, ki zahtevajo dostop do strojne opreme za virtualizacijo sistema, jo bodo morali onemogočiti.