Шта су „изолација језгра“ и „интегритет меморије“ у оперативном систему Виндовс 10?
Ажурирање Виндовса 10. април 2018. доноси безбедносне функције „Цоре Исолатион“ и „Мемори Интегрити“ за све. Они користе безбедност засновану на виртуелизацији да би заштитили процесе вашег оперативног система од ометања, али заштита меморије је подразумевано искључена за особе које надограђују.
Шта је језгро изолације?
У оригиналном издању оперативног система Виндовс 10, функције безбедности засноване на виртуелизацији (ВБС) биле су доступне само на Ентерприсе издањима оперативног система Виндовс 10 као део „Девице Гуард“. Са ажурирањем априла 2018, Цоре Исолатион доноси неке безбедносне функције засноване на виртуелизацији на све издања оперативног система Виндовс 10.
Неке основне функције изолације омогућене су по дефаулту на рачунарима са системом Виндовс 10 који задовољавају одређене хардверске и фирмваре захтјеве, укључујући и 64-битни ЦПУ и чип ТПМ 2.0. Такође захтева да ваш рачунар подржава Интел ВТ-к или АМД-В технологију виртуелизације, и да је омогућен у УЕФИ подешавањима вашег рачунара.
Када су ове функције омогућене, Виндовс користи функције виртуелизације хардвера да би креирао безбедно подручје системске меморије која је изолована од нормалног оперативног система. Виндовс може да покрене системске процесе и безбедносни софтвер у овој заштићеној области. Ово штити важне процесе оперативног система од неовлашћеног коришћења било чега што ради изван заштићеног подручја.
Чак и ако је на вашем рачунару покренут злонамерни софтвер и зна екплоит који би требало да му омогући да разбије ове Виндовс процесе, безбедност заснована на виртуелизацији је додатни слој заштите који ће их изоловати од напада..
Шта је интегритет меморије?
Карактеристика позната као “Меморијски интегритет” у интерфејсу оперативног система Виндовс 10 је такође позната као “Интегрисан код код хипервизора” (ХВЦИ) у документацији компаније Мицрософт.
Интегритет меморије је подразумевано онемогућен на рачунарима који су надограђени на ажурирање априла 2018. године, али можете да га омогућите. Он ће бити подразумевано омогућен на новим инсталацијама оперативног система Виндовс 10 напред.
Ова особина је подскуп основне изолације. Виндовс обично захтева дигиталне потписе за управљачке програме уређаја и друге кодове који се покрећу у режиму Виндовс језгра ниског нивоа. Тиме се осигурава да их малваре није ометао. Када је омогућен “Интегритет меморије”, “услуга интегритета кода” у оперативном систему Виндовс покреће се унутар контејнера заштићеног хипервизором креираног од стране Цоре Исолатион. Ово би требало да учини готово немогућим да злонамерни софтвер омета провјеру интегритета кода и добије приступ Виндовс кернелу.
Проблеми са виртуелном машином
Док меморијски интегритет користи хардвер за виртуелизацију система, он није компатибилан са програмима за виртуелне машине као што је ВиртуалБок или ВМваре. Само једна апликација може користити овај хардвер истовремено.
Можда ћете видети поруку да Интел ВТ-Кс или АМД-В нису омогућени или доступни ако инсталирате програм за виртуелну машину на систему са омогућеним меморијским интегритетом. У ВиртуалБоку можете видети поруку о грешци „Рав-моде није доступан захваљујући Хипер-В“ док је заштита меморије омогућена.
У сваком случају, ако наиђете на проблем са софтвером виртуелне машине, морате онемогућити Интегритет меморије да бисте га користили.
Зашто је онемогућен по дефаулту?
Главна функција изолације језгре не би требала узроковати никакве проблеме. Он је омогућен на свим Виндовс 10 рачунарима који га подржавају и нема интерфејса за његово онемогућавање.
Међутим, заштита интегритета меморије може узроковати проблеме са неким управљачким програмима уређаја или другим Виндовс апликацијама ниског нивоа, због чега је подразумевано онемогућена на надоградњама. Мицрософт и даље гура произвођаче и произвођаче уређаја да компатибилни са својим драјверима и софтвером, због чега је подразумевано омогућен на новим рачунарима и новим инсталацијама оперативног система Виндовс 10.
Ако је неки од управљачких програма потребан за покретање вашег рачунара некомпатибилан са заштитом меморије, Виндовс 10 ће искључити заштиту за меморију како би осигурао да се ваш рачунар може покренути и радити исправно. Дакле, ако покушате да га омогућите и рестартујете само да бисте пронашли да је још увек онемогућен, то је разлог зашто.
Ако наиђете на проблеме са другим уређајима или неисправним софтвером након омогућавања заштите меморије, Мицрософт препоручује да проверите да ли постоје исправке за одређену апликацију или управљачки програм. Ако нема доступних исправки, искључите Заштита меморије.
Као што смо већ поменули, Интегритет меморије ће такође бити некомпатибилан са неким апликацијама које захтевају ексклузивни приступ хардверу виртуелизације система, као што су програми за виртуелне машине. Други алати, укључујући и неке дебуггере, такође захтевају ексклузиван приступ овом хардверу и неће радити са омогућеним меморијским интегритетом.
Како омогућити интегритет меморије изолације језгра
Можете да видите да ли је ваш рачунар омогућио функције за изолацију језгре и укључите или искључите заштиту меморије у апликацији Виндовс Дефендер Сецурити Центер. (Овај алат ће бити преименован у „Виндовс Сецурити“ као део ажурирања за октобар 2018.)
Да бисте је отворили, потражите “Виндовс Дефендер Сецурити Центер” у свом Старт менију или идите на Сеттингс> Упдате & Сецурити> Виндовс Сецурити> Отворите Виндовс Дефендер Сецурити Центер.
Кликните на икону „Безбедност уређаја“ у центру за безбедност.
Ако је основна изолација омогућена на хардверу рачунара, овде ћете видети поруку „Сигурност заснована на виртуелизацији ради како би се заштитили основни делови уређаја“.
Да бисте омогућили (или онемогућили) заштиту меморије, кликните на везу „Основни подаци о изолацији“.
Овај екран показује да ли је меморијски интегритет омогућен или не. То је једина опција за сада.
Да бисте омогућили интегритет меморије, окрените прекидач на „Он“. Ако наиђете на проблеме са апликацијом или уређајем и морате да онемогућите Интегритет меморије, вратите се овде и пребаците прекидач на „Офф“.
Од вас ће бити затражено да поново покренете рачунар, а промјена ће ступити на снагу само једном.
Више Виндовс Дефендер Екплоит Гуард функција
Основна изолација и интегритет меморије су неке од многих нових сигурносних функција које је Мицрософт додао као дио програма Виндовс Дефендер Екплоит Гуард. Ово је колекција функција дизајнираних да обезбеде Виндовс против напада.
Заштита од искориштавања, која штити ваш оперативни систем и апликације од многих типова експлозија, омогућена је по дефаулту. Ово замењује стари стари ЕМЕТ алат и укључује анти-екплоит функције које смо претходно препоручили за инсталацију Малваре Анти-Екплоит. Сви корисници Виндовса 10 сада имају заштиту од искориштавања.
Ту је и Цонтроллед Фолдер Аццесс, који штити ваше датотеке од рансомваре-а. Он није подразумевано омогућен јер захтева неку конфигурацију. Ако омогућите ову функцију, мораћете да дозволите приступ апликацијама пре него што приступају датотекама у вашим личним фасциклама.
Напредује, Интегритет меморије ће бити омогућен по подразумеваној вредности на свим новим рачунарима, пружајући додатну заштиту од напада. Само напредни корисници који користе софтвер виртуелне машине и други алати који захтевају приступ хардверу виртуелизације система ће морати да га онемогуће.