Što su “izolacija jezgre” i “integritet memorije” u sustavu Windows 10?
Ažuriranje sustava Windows 10 u travnju 2018. donosi sigurnosne značajke "Core Isolation" i "Memory Integrity". Oni koriste sigurnost temeljenu na virtualizaciji kako bi zaštitili procese vašeg operativnog sustava od neovlaštenog rukovanja, ali zaštita memorije je prema zadanim postavkama isključena za osobe koje nadograđuju.
Što je izolacija jezgre?
U izvornom izdanju sustava Windows 10, značajke sigurnosti temeljene na virtualizaciji (VBS) bile su dostupne samo na Enterpriseovim izdanjima sustava Windows 10 kao dio "Device Guard". S ažuriranjem travnja 2018., Core Isolation donosi neke sigurnosne značajke temeljene na virtualizaciji na sve izdanja sustava Windows 10.
Neke osnovne značajke izolacije omogućene su prema zadanim postavkama na računalima sa sustavom Windows 10 koja zadovoljavaju određene hardverske i firmware zahtjeve, uključujući 64-bitni CPU i čip TPM 2.0. To također zahtijeva da vaše računalo podržava tehnologiju virtualizacije Intel VT-x ili AMD-V te da je omogućeno u postavkama UEFI-ja računala.
Kada su te značajke omogućene, Windows koristi značajke virtualizacije hardvera za stvaranje sigurnog područja memorije sustava koja je izolirana od normalnog operativnog sustava. Windows može pokretati sistemske procese i sigurnosni softver u ovom zaštićenom području. Time se štite važni procesi operativnog sustava od neovlaštenog miješanja u nešto što radi izvan zaštićenog područja.
Čak i ako se na vašem računalu pokrene zlonamjerni softver i poznaje exploit koji bi trebao omogućiti ispucavanje tih Windows procesa, sigurnost temeljena na virtualizaciji je dodatni sloj zaštite koji će ih izolirati od napada.
Što je memorijski integritet?
Značajka poznata kao "Memorijski integritet" u sučelju sustava Windows 10 također je poznata kao "Integritet kodova s hipervizorima" (HVCI) u dokumentaciji tvrtke Microsoft.
Memorija Integritet je prema zadanim postavkama onemogućena na računalima koja su nadograđena na ažuriranje travnja 2018., ali možete ih omogućiti. On će biti omogućen prema zadanim postavkama na novim instalacijama sustava Windows 10 koji se kreću naprijed.
Ova značajka je podskup temeljne izolacije. Windows normalno zahtijeva digitalne potpise za upravljačke programe uređaja i druge kodove koji se pokreću u načinu rada s jezgrom Windowsa niske razine. Time se osigurava da ih nije zlonamjerno zlonamjerno mijenjao. Kada je omogućen "Memory Integrity" ("Integritet memorije"), "usluga integriteta koda" u sustavu Windows pokreće se unutar kontejnera zaštićenog hipervizorom stvorenog pomoću Core Isolation. To bi trebalo učiniti gotovo nemogućim zlonamjerni softver da neovlašteno mijenja provjere integriteta koda i dobije pristup kernelu sustava Windows.
Problemi s virtualnim strojem
Kako memorijski integritet koristi virtualizacijski hardver sustava, on nije kompatibilan s programima virtualnog računala kao što je VirtualBox ili VMware. Istodobno može koristiti samo jedan program.
Možda ćete vidjeti poruku da Intel VT-X ili AMD-V nisu omogućeni ili dostupni ako instalirate program virtualnog računala na sustav s omogućenim memorijskim integritetom. U VirtualBoxu možete vidjeti poruku o pogrešci "Raw-mode nije dostupan zahvaljujući Hyper-V" dok je zaštita memorije omogućena.
U svakom slučaju, ako naiđete na problem sa softverom za virtualni stroj, morate ga onemogućiti da biste ga koristili.
Zašto je onemogućen prema zadanim postavkama?
Glavna značajka izolacije jezgre ne bi trebala uzrokovati nikakve probleme. Omogućen je na svim računalima sa sustavom Windows 10 koja ga mogu podržati, a nema sučelja za njegovo onemogućavanje.
Međutim, zaštita memorijskog integriteta može uzrokovati probleme s nekim upravljačkim programima uređaja ili drugim Windows aplikacijama niske razine, zbog čega je prema zadanim postavkama onemogućena na nadogradnjama. Microsoft još uvijek potiče proizvođače i proizvođače uređaja da svoje upravljačke programe i softver učine kompatibilnim, zbog čega je prema zadanim postavkama omogućen na novim računalima i novim instalacijama sustava Windows 10.
Ako je jedan od upravljačkih programa za pokretanje računala nekompatibilan sa zaštitom memorije, Windows 10 isključuje zaštitu za memoriju kako bi osigurao da se vaše računalo može dignuti i ispravno raditi. Dakle, ako pokušate omogućiti i ponovno pokrenuti samo da biste pronašli da je još uvijek onemogućen, to je razlog zašto.
Ako nakon omogućavanja zaštite memorije naiđete na probleme s drugim uređajima ili neispravnim softverom, Microsoft preporučuje provjeru ažuriranja s određenim programom ili upravljačkim programom. Ako nema dostupnih ažuriranja, isključite Zaštita memorije.
Kao što smo već spomenuli, memorijski integritet će također biti nekompatibilan s nekim aplikacijama koje zahtijevaju ekskluzivni pristup virtualizacijskom hardveru sustava, kao što su programi virtualnih računala. Drugi alati, uključujući i neke alate za ispravljanje pogrešaka, također zahtijevaju ekskluzivni pristup ovom hardveru i neće raditi s omogućenim memorijskim integritetom.
Kako omogućiti integritet memorije jezgre jezgre
Možete provjeriti ima li vaše računalo omogućene značajke izolacije jezgre i uključite ili isključite zaštitu memorije u programu Windows Defender Security Center. (Ovaj alat će biti preimenovan u "Sigurnost sustava Windows" kao dio ažuriranja za listopad 2018.)
Da biste ga otvorili, potražite “Centar za sigurnost programa Windows Defender” u izborniku Start ili idite na Postavke> Ažuriranje i sigurnost> Sigurnost sustava Windows> Otvorite sigurnosni centar sustava Windows Defender.
Kliknite ikonu "Sigurnost uređaja" u centru za sigurnost.
Ako je osnovna izolacija omogućena na hardveru računala, ovdje ćete vidjeti poruku "Sigurnost temeljena na virtualizaciji radi kako bi se zaštitili osnovni dijelovi uređaja".
Da biste omogućili (ili onemogućili) zaštitu memorije, kliknite vezu "Osnovni podaci o izolaciji".
Ovaj zaslon prikazuje je li memorijski integritet omogućen ili ne. To je jedina opcija za sada.
Da biste omogućili integritet memorije, okrenite prekidač na "On". Ako naiđete na probleme s aplikacijom ili uređajem i morate onemogućiti memorijski integritet, vratite ovdje i prebacite prekidač na "Off".
Od vas će se tražiti da ponovo pokrenete računalo, a promjena će stupiti na snagu samo jednom.
Više značajki Windows Defender Exploit Guarda
Osnovna izolacija i integritet memorije su neke od mnogih novih sigurnosnih značajki koje je Microsoft dodao kao dio programa Windows Defender Exploit Guard. To je skup značajki dizajniranih za osiguranje sustava Windows od napada.
Zaštita od iskorištavanja, koja štiti vaš operativni sustav i aplikacije od mnogih vrsta eksplozija, omogućena je prema zadanim postavkama. Ovo zamjenjuje Microsoftov stari EMET alat, a uključuje anti-exploit značajke koje smo prethodno preporučili za instalaciju Malware Anti-Exploit. Svi korisnici sustava Windows 10 sada imaju zaštitu od iskorištavanja.
Tu je i Controlled Folder Access, koji štiti vaše datoteke od ransomwarea. Nije omogućeno prema zadanim postavkama jer zahtijeva određenu konfiguraciju. Ako omogućite tu značajku, morat ćete omogućiti pristup aplikacijama prije nego što mogu pristupiti datotekama u vašim osobnim mapama datoteka.
Naprijed, memorijski integritet bit će omogućen prema zadanim postavkama na svim novim računalima, pružajući dodatnu zaštitu od napada. Samo napredni korisnici koji koriste softver virtualnog stroja i drugi alati koji zahtijevaju pristup hardveru virtualizacije sustava morat će ga onemogućiti.