Ako koristite Windows 10 ili Windows 11 i zabrinuti ste zbog sigurnosti, vjerovatno ste vidjeli u Windows sigurnost opcije za Izolacija jezgra y integritet memorijeMnogi korisnici vide upozorenja poput „Integritet memorije je onemogućen, vaš uređaj može biti ranjiv“, a nije uvijek jasno šta to znači ili kako ga pravilno omogućiti bez izazivanja problema. Ako želite saznati više, Kako osigurati svoj Windows Možete konsultovati više resursa.
U ovom vodiču ćete pronaći vrlo detaljno objašnjenje, ali na jasnom jeziku, o čemu se tačno radi. Izolacija jezgrakako to funkcioniše integritet memorijeOvaj vodič objašnjava zahtjeve, kako ga omogućiti putem grafičkih opcija Windowsa, komandne linije ili naprednih pravila, te šta učiniti ako naiđete na greške, plave ekrane ili probleme s performansama nakon aktivacije. Cilj je da vam pomogne da donesete informiranu odluku o tome želite li ga omogućiti i, prije svega, da ga samouvjereno konfigurirate. Također možete pogledati naš [link do relevantne dokumentacije/vodiča/itd.]. kompletan vodič za sigurnost i privatnost.
Šta je izolacija jezgra i kakvu ulogu igra integritet memorije?
Poziv Izolacija jezgra To je napredna sigurnosna tehnologija integrirana u Windows koja se oslanja na sigurnost zasnovana na virtualizaciji (VBS)U osnovi, Windows kreira malo, izolovano virtuelno okruženje unutar samog sistema, koje djeluje kao zona maksimalnog povjerenja i iz kojeg se prati šta se dešava u sistemu. kernel i u drugim kritičnim procesima.
Unutar tog zaštićenog okruženja, na scenu stupa sljedeće: integritet memorije, poznat i kao HVCI (Integritet koda koji se provodi hipervizorom)Ova funkcija zahtijeva da kod koji se izvršava u kernel modu bude pravilno potpisan i verifikovan, te strogo kontroliše način dodjeljivanja i modifikacije resursa. memorija kernela, blokirajući tipične pokušaje mnogih vrsta zlonamjernog softvera da se ubrizgaju u jezgro sistema.
Kada omogućite izolaciju jezgra i integritet memorije, Windows podiže neku vrstu "virtualnog zida" oko jezgra: Windows hipervizor Izoluje dio memorije gdje se vrše provjere integriteta koda, a sam kernel postaje mnogo strože kontroliran. Ovo uveliko komplikuje zadatak bilo kojeg napadača da modificira interne strukture sistema ili učita zlonamjerne drajvere.
Sve ovo je dio promjene u sigurnosnom modelu Windowsa: više se ne pretpostavlja da je kernel nedodirljiv, već se pretpostavlja da se može napasti, a to je pojačano dodatnim slojem koji se izvršava na tom kernelu. izolovano virtuelno okruženjeTo je pristup sličan postojanju "mikro operativnog sistema" posvećenog praćenju glavnog sistema.
Funkcije i prednosti integriteta memorije
Integritet memorije nije samo "još jedan prekidač" u Sigurnosti sustava Windows. To je ključna komponenta VBS-a i pruža nekoliko prednosti. specifični zaštitni slojevi protiv napada na kernel i drajvere.
S jedne strane, ova funkcija štiti Bitmapa Control Flow Guard (CFG) Za kontrolere u kernel modu, CFG je tehnologija koja pokušava spriječiti preusmjeravanje toka izvršavanja programa u neočekivana područja memorije.
Nadalje, integritet memorije štiti sam proces, integritet koda u kernel moduOvaj entitet je odgovoran za provjeru da li pouzdani procesi i kontroleri imaju važeće certifikate i da li su mijenjani. Na ovaj način se ne prate samo drugi, već i sami monitori, smanjujući rizik od sabotaže sigurnosnog mehanizma.
Još jedan važan doprinos je to što strogo ograničava alokacije memorije kernelaMnoge tehnike eskalacije privilegija ili rootkitovi se sastoje upravo od toga da se sistem na određeni način navede da rezerviše memoriju za ubrizgavanje zlonamjernog koda.
U praksi, sve se ovo prevodi u primjetno poboljšanje u Model prijetnje za WindowsKernel prelazi iz relativno pristupačne mete za određene porodice sofisticiranog zlonamjernog softvera u mnogo zaštićeniji sistem, posebno kada se kombinuje s drugim funkcijama kao što su Credential Guard ili druge hardverske zaštite, kao i ASR na Windowsu.
U praksi, sve ovo se prevodi u značajno poboljšanje modela prijetnji za Windows: kernel prelazi iz relativno pristupačne mete za određene porodice sofisticiranog zlonamjernog softvera u mnogo zaštićeniji, posebno kada se kombinuje s drugim funkcijama kao što je Credential Guard ili druge hardverske zaštite.
Šta tačno štiti Core Isolation na vašem računaru?
Da bismo u potpunosti razumjeli šta ova funkcija pruža, korisno je razlikovati primarni hardver y periferni hardverIzolacija jezgra i integritet memorije prvenstveno se fokusiraju na zaštitu puta koji povezuje sistem sa primarnim hardverom (matična ploča, CPU, GPU, RAM, glavna jedinica za pohranu podataka...), gdje se dešavaju najdelikatnije stvari.
U međuvremenu, sve što je povezano putem USB ili drugi portovi Vanjski uređaji za pohranu podataka (kao što su miševi, tastature, štampači i mobilni telefoni) smatraju se perifernim hardverom. Iako ovi uređaji nisu jezgro računara, oni su glavna ulazna tačka za zlonamjerni softver. Integritet memorije otežava zlonamjernom softveru direktan napad na jezgro, čak i ako je jedan od ovih uređaja kompromitovan ili koristi ranjivi drajver.
Vrijedi napomenuti da ova funkcija Ne zamjenjuje antivirusni softver.Windows Defender (ili Microsoft Defender) ostaje neophodan za analizu datoteka, procesa i mrežnog prometa te je dio strategije za Zaštitite svoj računar od hakerskih napada i napadaIzolacija jezgra i integritet memorije djeluju kao dopuna niskog nivoa koja dolazi do izražaja kada napad pokuša direktno ciljati operativni sistem. Kombinacija oba uveliko jača ukupnu sigurnost.
Međutim, ova dodatna zaštita ima i svoje nedostatke. trošak resursaKao što sistemu kontrole pristupa s više koraka treba više vremena da vas pusti u vaš dom, što više provjera Windows izvrši na kodu učitanom u kernel, to više vremena i procesorske snage troši. Ovo se može primijetiti na vrlo slabim sistemima ili u situacijama poput zahtjevnih igara.
Prednosti i mane: sigurnost naspram performansi
Omogućavanje izolacije jezgra i integriteta memorije jasno povećava sigurnost sistemaAli nije sve bajno. Mnogi korisnici su primijetili da, nakon aktiviranja ovih opcija, FPS u igrama je smanjen ili da se sistem čini nešto težim, posebno na računarima koji su već bili na hardverskom limitu.
Također postoje slučajevi u kojima se, kada se aktivira izolacija jezgra, pojavljuje sljedeće plavi ekrani smrti (BSOD) ili čudne blokade. U većini ovih situacija, porijeklo je obično isto: nekompatibilni upravljački programi ili loše dizajnirani koji ne ispunjavaju najstroža pravila integriteta koda koja zahtijeva HVCI.
S druge strane, ako koristite računar relativno konzervativno (ne preuzimate neobičan softver, posjećujete pouzdane web stranice, ažurirate sistem i ostavljate Microsoft Defender aktivnim), možda nećete primijetiti veliku razliku u sigurnosti kada aktivirate Core Isolation, dok biste mogli primijetiti gubitak performansi, posebno u igrama ili vrlo zahtjevnim aplikacijama.
Razumna preporuka je obično sljedeća: ako je vaša oprema relativno moderna, Ispunjava zahtjeve virtualizacijeAko ne vidite nikakve greške prilikom aktiviranja funkcije i ne primjećujete nikakve značajne probleme s performansama, vrijedi ostaviti izolaciju jezgra omogućenom. Međutim, ako počnete osjećati ozbiljne padove performansi ili nestabilnost, možda biste trebali razmisliti o tome da je isključite ili koristite samo u određeno vrijeme.
U svakom slučaju, čak i sa svim ovim aktiviranim funkcijama, ključni element ostaje korisnik: izbjegavajte neobična preuzimanjaNeotvaranje sumnjivih priloga, neposjećivanje sumnjivih web stranica i ažuriranje svega ostaje najbolja odbrana. Tehnologija pomaže, ali ne čini čuda ako niste pažljivi tokom pregledavanja.
Kako omogućiti izolaciju jezgra i integritet memorije iz sigurnosnog programa Windows
Najdirektniji i najočitiji način za aktiviranje izolacije jezgra i integriteta memorije je kroz sam Aplikacija za sigurnost Windowsakoji je integriran i u Windows 10 i u Windows 11. Koraci su vrlo slični u oba sistema, iako se naziv menija neznatno mijenja.
U Windowsu 11, aplikaciju možete otvoriti pritiskom na Windows+I da odete u Postavke, a zatim unesete Privatnost i sigurnost > Sigurnost WindowsaTamo ćete vidjeti dugme za otvaranje. Također možete pretražiti "Windows Security" iz menija Start ili kliknuti na ikonu plavog štita koja se obično pojavljuje u sistemskoj paleti.
Kada ste u programu Windows Security, idite na odjeljak Sigurnost uređajaTamo ćete pronaći odjeljak pod nazivom Izolacija jezgraVjerovatno ćete vidjeti poruku koja ukazuje na to da Integritet memorije je onemogućen i da vaš uređaj može biti ranjiv ako ga ne aktivirate.
Kliknite na Detalji izolacije jezgraOtvorit će se ekran s nekoliko naprednih opcija. Najvažnija je prekidač. Integritet memorijeAktiviranjem, Windows će početi primjenjivati ove ojačane politike integriteta koda na kernel, sprječavajući učitavanje potencijalno zlonamjernih upravljačkih programa ili koda.
U istom odjeljku možete pronaći i, ovisno o vašoj verziji Windowsa, opciju Microsoftova lista blokiranih ranjivih drajveraOva funkcija, koja je obično omogućena po zadanim postavkama, sprječava učitavanje određenih drajvera za koje se zna da imaju ozbiljne ranjivosti. U kombinaciji s integritetom memorije, pruža dodatni sloj sigurnosti od problematičnih drajvera.
Kako omogućiti integritet memorije i VBS pomoću naredbi i registra
Ako upravljate više računara ili želite precizniju kontrolu, i to je moguće. Omogućite izolaciju jezgra i integritet memorije putem komandne linijeOvo uključuje direktno mijenjanje određenih ključeva u Windows registru. Ovo je vrlo korisno u korporativnim okruženjima ili kada želite automatizirati konfiguraciju.
Za početak, otvorite Komandni redak kao administratorPritisnite Windows + S, upišite "cmd", kliknite desnim tasterom miša na "Komandni redak" i odaberite "Pokreni kao administrator". Prihvatite upit Kontrole korisničkog računa ako se pojavi.
Glavni ključ za integritet pamćenja leži u HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrityUnutar te grane, vrijednost omogućeno Ovo kontrolira da li je HCVI omogućen (1) ili onemogućen (0). Možete ga omogućiti naredbom sličnom ovoj:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v Enabled /t REG_DWORD /d 1 /f
Izolacija jezgra zavisi od sigurnost zasnovana na virtualizaciji (VBS) je omogućeno. To se kontroliše ključem. HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuardTamo imate nekoliko važnih vrijednosti: na primjer, EnableVirtualizationBasedSecurity (za uključivanje VBS-a), RequirePlatformSecurityFeatures (zahtijevati sigurno pokretanje i DMA zaštitu s različitim vrijednostima) i zaključan (da bi se naznačilo da li je UEFI zaključavanje uspostavljeno ili ne).
Tipičan skup naredbi za konfigurisanje VBS-a i HVCI-a bez trajnog zaključavanja bilo čega u firmveru mogao bi izgledati ovako, uvijek izvršavan u konzoli sa povišenim privilegijama:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f
Korištenje Kontrole aplikacija za poslovanje i PowerShella
U organizacijama koje primjenjuju sigurnosne politike na mnogim računarima, Microsoft nudi još jedan način za omogućavanje integriteta memorije: Kontrola aplikacija za poslovanje, nasljednik Windows Defender Application Control-a. Odatle, HVCI se može uključiti kao dio centralizirane politike.
Jedan uobičajen način je korištenje Pomoćnik za kontrolu aplikacijakoji vas vodi kroz kreiranje ili izmjenu pravila. Unutar tog čarobnjaka, na stranici s pravilima pravila, možete odabrati opciju Integritet koda zaštićen hipervizoromOvo ukazuje na to da želite omogućiti integritet memorije na svim uređajima koji primjenjuju tu politiku.
Druga alternativa je korištenje PowerShell cmdleta Set-HVCIOptionsOvo vam omogućava da konfigurišete različite HVCI režime rada, kao što su revizija, prisilni rad itd. Ovo je veoma korisno ako želite da testirate kompatibilnost vaših kontrolera u režimu revizije prije prelaska na strogo prisilni režim.
Konačno, svako ko ima iskustva sa XML-om može direktno uređivati Datoteka pravila za kontrolu aplikacija i modificirati vrijednost elementa <HVCIOptions>Ovo omogućava prilično detaljnu kontrolu nad načinom na koji se integritet memorije primjenjuje u okruženju u kojem se istovremeno upravlja s mnogo računara.
Cijeli ovaj pristup je više usmjeren prema preduzećima, ali je dobro znati da se integritet memorije može upravljati i iz korisničkog interfejsa i iz alata i skripti za upravljanje pravilima, ovisno o potrebama svakog okruženja.
Kako provjeriti da li su VBS i integritet memorije zaista aktivni
Nakon što ste omogućili VBS i integritet memorije, logično je pitati se da li Oni zaista rade ili ako je nešto ostalo nedovršeno. Windows nudi nekoliko načina za provjeru ovoga, i grafički i putem naredbi.
Jedan od najsveobuhvatnijih je korištenje WMI klase Win32_DeviceGuardOvo je dostupno iz PowerShell sesije s administratorskim privilegijama. Pokretanje ovakve naredbe može generirati prilično detaljan izvještaj:
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard
Izlaz ove naredbe uključuje polja kao što su DostupnaSvojstvaSigurnostikoja navodi koje su hardverske sigurnosne funkcije prisutne (podrška za hipervizor, sigurno pokretanje, DMA zaštita, NX zaštite, SMM ublažavanja, MBEC/GMET, APIC virtualizacija itd.) i Obavezna sigurnosna svojstva, što ukazuje na to koja su svojstva neophodna da bi VBS bio ispravno omogućen.
Također ćete vidjeti polja poput Konfigurisane sigurnosne usluge y SigurnosneUslugePokrenutekoji pokazuju da li usluge poput Čuvari pouzdanosti ili integritet memorije Konfigurisani su i da li se zapravo izvršavaju. Na primjer, vrijednost koja uključuje "2" obično ukazuje na to da je integritet memorije konfigurisan ili pokrenut.
Još jedno ključno polje je Status sigurnosti zasnovan na virtualizacijiOvo će vam reći da li je VBS onemogućen (0), omogućen, ali ne radi (1) ili omogućen i potpuno funkcionalan (2). Da bi izolacija jezgra ispravno radila, ova vrijednost bi idealno trebala biti 2.
Ako više volite nešto vizualnije i manje tehničko, možete se okrenuti msinfo32.exePokrenite ovaj program (na primjer, upisivanjem "msinfo32" u polje za pretragu sustava Windows) iz sesije s povišenim privilegijama. Na dnu Pregled sistema Vidjet ćete blok posvećen VBS funkcijama, koji pokazuje da li je omogućen i koje su povezane zaštite aktivne.
Integritet memorije u Hyper-V virtuelnim mašinama
Integritet memorije i izolacija jezgra nisu samo za fizički hardver. Mogu se omogućiti i unutar... Hyper-V virtuelna mašinapod uslovom da su ispunjeni određeni zahtjevi. U tom scenariju, virtuelna mašina (VM) uživa istu zaštitu kao i fizički računar od zlonamjernog softvera koji pokušava napasti jezgro gostujuće mašine.
Da biste to uradili, the Hyper-V host Mora koristiti barem Windows Server 2016 ili Windows 10 verziju 1607, a virtuelna mašina mora biti generacija 2 i pokrenite kompatibilnu verziju Windowsa. Unutar virtuelne mašine, koraci za omogućavanje izolacije jezgra su isti kao i na običnom računaru.
Važno je razumjeti integritet memorije u virtuelnoj mašini. Zaštitite gosta, a ne domaćinaAdministrator hosta i dalje ima mogućnost kontrole konfiguracije virtuelne mašine i može, u stvari, onemogućiti učešće te virtuelne mašine u VBS-u pomoću naredbi kao što su:
Set-VMSecurity -VMName <NombreVM> -VirtualizationBasedSecurityOptOut $true
Izolacija jezgra i integritet memorije su dvije ključne komponente pojačanja sigurnosti Windowsa: iskorištavanjem virtualizacije hardvera, dodaju vrlo dubok sloj zaštite preko jezgra i upravljačkih programa, sposobni da zaustave sofisticirane napade koji su ranije imali potpunu slobodu; međutim, njihova aktivacija zahtijeva ispunjavanje određenih hardverskih zahtjeva i prihvatanje da, na nekim sistemima ili za vrlo zahtjevne upotrebe, može postojati cijena koju treba platiti u performansama ili kompatibilnosti upravljačkih programa, pa je preporučljivo pažljivo razmotriti njihovu upotrebu i uvijek se oslanjati na dobre sigurnosne prakse prilikom pregledavanja i instaliranja softvera.
