Актуализацията на Windows 10 от април 2018 г. предоставя функции за сигурност "Core Isolation" и "Memory Integrity" на всички. Те използват защитата, базирана на виртуализацията, за да защитят процесите на основната операционна система от подправяне, но защитата на паметта е изключена по подразбиране за хората, които надстройват.
В оригиналното издание на Windows 10 функциите за сигурност на базата на виртуализация (VBS) са достъпни само в Enterprise изданията на Windows 10 като част от "Device Guard". С актуализацията от април 2018 г. Core Isolation предлага някои функции за сигурност, базирани на виртуализация издания на Windows 10.
Някои функции за изолиране на ядрото са разрешени по подразбиране на Windows 10 компютри, които отговарят на определени хардуерни и фърмуерни изисквания, включително 64-битов процесор и чип TPM 2.0. Освен това компютърът ви изисква технологията за виртуализация Intel VT-x или AMD-V и е активирана в настройките на UEFI на вашия компютър.
Когато тези функции са активирани, Windows използва функции за виртуализация на хардуера, за да създаде защитена зона от системна памет, изолирана от нормалната операционна система. Windows може да стартира системни процеси и софтуер за сигурност в тази защитена зона. Това предпазва важните процеси на операционната система да бъдат подправени от нещо, което се движи извън защитната зона.
Дори ако злонамерен софтуер се изпълнява на вашия компютър и знае експлойт, който да му позволи да пробие тези процеси на Windows, базираната на виртуализация сигурност е допълнителен защитен слой, който ще ги изолира от атаки.
Функцията, известна като "Integrity на паметта" в интерфейса на Windows 10, също е известна като "Hypervisor protected Code Integrity" (HVCI) в документацията на Microsoft.
Защитата на паметта е деактивирана по подразбиране на компютри, които са надстроени до актуализацията за април 2018 г., но можете да я активирате. Той ще бъде активиран по подразбиране при новите инсталации на Windows 10, които ще продължат напред.
Тази функция е подмножество на ядрото изолация. Windows обикновено изисква цифрови подписи за драйвери на устройства и друг код, който се изпълнява в режим на ядрото на ниско ниво. Това гарантира, че не са били подправени от злонамерен софтуер. Когато "Integrity паметта" е активирана, "услугата за цялостност на кода" в Windows се изпълнява в контейнера, защитен с хипервайзор, създаден от Core Isolation. Това би трябвало да направи почти невъзможно злонамереният софтуер да се намеси в проверките за цялостност на кода и да получи достъп до ядрото на Windows.
Тъй като интегритетът на паметта използва хардуера за виртуализация на системата, той е несъвместим с виртуални машини като VirtualBox или VMware. Само едно приложение може да използва този хардуер в даден момент.
Възможно е да видите съобщение, че Intel VT-X или AMD-V не е разрешено или достъпно, ако инсталирате програма за виртуална машина на система с активирана памет Integrity. В VirtualBox може да видите съобщението за грешка "Raw-mode не е налице с любезното съдействие на Hyper-V", докато защитата на паметта е активирана.
Така или иначе, ако срещнете проблем с софтуера ви за виртуална машина, трябва да го изключите, за да го използвате.
Основната характеристика Core Isolation не трябва да създава проблеми. Той е активиран за всички Windows 10 компютри, които могат да го поддържат, и няма интерфейс за неговото деактивиране.
Въпреки това, защитата на паметта може да причини проблеми с някои драйвери на устройства или други приложения на ниски нива на Windows, поради което е по подразбиране забранена при ъпгрейди. Microsoft все още настоява разработчиците и производителите на устройства да направят драйверите и софтуера си съвместими, поради което е разрешено по подразбиране за нови компютри и нови инсталации на Windows 10.
Ако един от драйверите, които вашият компютър изисква за зареждане, е несъвместим със защитата на паметта, Windows 10 спира безшумно защитата с памет, за да гарантира, че вашият компютър може да стартира и да работи правилно. Така че, ако се опитате да го активирате и да рестартирате само, за да откриете, че все още е с увреждания, ето защо.
Ако срещнете проблеми с други устройства или неправилно функциониращ софтуер след активиране на защитата с памет, Microsoft препоръчва да проверите за актуализации със съответното приложение или драйвер. Ако няма налични актуализации, изключете защитата на паметта.
Както споменахме по-горе, интегритетът на паметта също ще бъде несъвместим с някои приложения, които изискват изключителен достъп до хардуера за виртуализация на системата, като програми за виртуални машини. Другите инструменти, включително някои дебъгери, също изискват изключителен достъп до този хардуер и няма да работят с активирана паметта Integrity.
Можете да видите дали вашият компютър има активирани Core Isolation функции и да включите или изключите защитата на паметта от приложението Windows Defender Security Center. (Този инструмент ще бъде преименуван на "Windows Security" като част от актуализацията от октомври 2018 г.)
За да го отворите, потърсете "Център за защита на Windows Defender" в менюто "Старт" или отидете на "Настройки> Актуализиране и защита> Защита на Windows> Отворете Центъра за защита на Windows Defender.
Кликнете върху иконата "Security Device" в Центъра за защита.
Ако функцията Изолация на ядрото е активирана на хардуера на вашия компютър, тук ще видите съобщението "Защитата на базата на виртуализацията работи, за да защитите основните части на вашето устройство" тук.
За да разрешите (или да забраните) защитата на паметта, кликнете върху връзката "Детайли за изолиране на ядрото".
Този екран показва дали интегрирането на паметта е активирано или не. Това е единствената опция тук за сега.
За да активирате паметта Integrity, превключете ключа на "On". Ако срещнете проблеми с приложението или устройството и трябва да изключите паметта Integrity, върнете се тук и превключете превключвателя на "Off".
Ще бъдете подканени да рестартирате компютъра си и промяната ще влезе в сила само след като сте го направили.
Изолацията на ядрото и интегритета на паметта са някои от многото нови функции за сигурност, които Microsoft е добавила като част от Windows Defender Exploit Guard. Това е колекция от функции, предназначени за защита на Windows от атаки.
Exploit защита, която защитава вашата операционна система и приложения от много видове exploits, е активирана по подразбиране. Това замества стария инструмент на EMET на Microsoft и включва функции за борба с експлоатацията, които преди това препоръчахме да се инсталира Malware Anti-Exploit. Всички потребители на Windows 10 вече използват защитата.
Има и достъп до контролирана папка, който защитава вашите файлове от ransomware. Тя не е активирана по подразбиране, защото изисква известна конфигурация. Ако активирате тази функция, ще трябва да разрешите достъп до приложенията, преди да имат достъп до файлове в личните ви папки.
Придвижването напред ще гарантира по подразбиране паметта Integrity на всички нови персонални компютри, осигурявайки допълнителна защита срещу атаки. Само напреднали потребители, които използват софтуер за виртуална машина и други инструменти, които изискват достъп до хардуера за виртуализация на системата, трябва да го деактивират.