Windows 10 2018 년 4 월 업데이트에 "핵심"모든 사람에게 격리”및“메모리 무결성”보안 기능. 가상화 기반 보안을 사용하여 핵심 운영 체제 프로세스가 변경되는 것을 방지하지만 업그레이드하는 사람들에게는 메모리 보호가 기본적으로 해제되어 있습니다.
핵심 격리 란 무엇입니까?
Windows 10의 최초 릴리스에서VBS (가상화 기반 보안) 기능은 "Device Guard"의 일부로 Windows 10 Enterprise 버전에서만 사용할 수있었습니다. 2018 년 4 월 업데이트에서 Core Isolation은 일부 가상화 기반 보안 기능을 모든 Windows 10 에디션에 제공합니다.
일부 핵심 격리 기능은64 비트 CPU 및 TPM 2.0 칩을 포함하여 특정 하드웨어 및 펌웨어 요구 사항을 충족하는 Windows 10 PC의 기본값입니다. 또한 PC에서 Intel VT-x 또는 AMD-V 가상화 기술을 지원하고 PC의 UEFI 설정에서 활성화해야합니다.
이러한 기능이 활성화되면 Windows는하드웨어 가상화 기능을 통해 일반적인 운영 체제와 격리 된 안전한 시스템 메모리 영역을 만들 수 있습니다. Windows는이 보안 영역에서 시스템 프로세스 및 보안 소프트웨어를 실행할 수 있습니다. 이는 보안 영역 외부에서 실행되는 모든 작업으로 인해 중요한 운영 체제 프로세스가 변경되는 것을 방지합니다.
악성 코드가 PC에서 실행 중이고 알고있는 경우에도이러한 Windows 프로세스를 손상시킬 수있는 악용 인 가상화 기반 보안은 공격으로부터 격리시키는 추가적인 보호 계층입니다.
관련 : Windows 10 2018 년 4 월 업데이트의 새로운 기능
메모리 무결성이란 무엇입니까?
Windows 10 인터페이스에서 "메모리 무결성"이라고하는 기능은 Microsoft 설명서에서 "HVCI (Hypervisor protected Code Integrity)"라고도합니다.
2018 년 4 월 업데이트로 업그레이드 한 PC에서는 메모리 무결성이 기본적으로 비활성화되어 있지만 활성화 할 수 있습니다. 앞으로 Windows 10을 새로 설치할 때 기본적으로 활성화됩니다.
이 기능은 핵심 격리의 하위 집합입니다. Windows에는 일반적으로 장치 드라이버 및 저수준 Windows 커널 모드에서 실행되는 기타 코드에 대한 디지털 서명이 필요합니다. 이를 통해 멀웨어에 의해 변조되지 않았는지 확인할 수 있습니다. "메모리 무결성"이 활성화되면 Windows의 "코드 무결성 서비스"가 Core Isolation으로 생성 된 하이퍼 바이저로 보호 된 컨테이너 내에서 실행됩니다. 이로 인해 맬웨어가 코드 무결성 검사를 조작하여 Windows 커널에 액세스하는 것이 거의 불가능 해집니다.
가상 머신 문제
메모리 무결성은 시스템의 가상화 하드웨어를 사용하므로 VirtualBox 또는 VMware와 같은 가상 머신 프로그램과 호환되지 않습니다. 한 번에 하나의 응용 프로그램 만이 하드웨어를 사용할 수 있습니다.
Intel VT-X 또는 AMD-V라는 메시지가 표시 될 수 있습니다메모리 무결성이 활성화 된 시스템에 가상 머신 프로그램을 설치하는 경우 활성화되지 않거나 사용할 수 없습니다. VirtualBox에서 메모리 보호를 사용하는 동안 "Raw 모드를 Hyper-V에서 사용할 수 없습니다"라는 오류 메시지가 표시 될 수 있습니다.
어느 쪽이든, 가상 머신 소프트웨어에 문제가 발생하면이를 사용하기 위해 메모리 무결성을 비활성화해야합니다.
기본적으로 비활성화되어있는 이유는 무엇입니까?
주요 핵심 격리 기능은 문제를 일으키지 않아야합니다. 이를 지원할 수있는 모든 Windows 10 PC에서 활성화되어 있으며 비활성화 할 수있는 인터페이스가 없습니다.
그러나 메모리 무결성 보호로 인해일부 장치 드라이버 또는 기타 저수준 Windows 응용 프로그램의 문제로 인해 업그레이드시 기본적으로 비활성화되어 있습니다. Microsoft는 여전히 개발자와 장치 제조업체가 드라이버와 소프트웨어를 호환 가능하게하도록 추진하고 있으므로 새 PC와 Windows 10의 새로운 설치에서 기본적으로 활성화되어 있습니다.
PC 부팅에 필요한 드라이버 중 하나가메모리 보호와 호환되지 않는 Windows 10은 자동으로 메모리 보호를 해제하여 PC가 제대로 부팅되고 작동 할 수 있도록합니다. 따라서 사용하도록 설정 한 후 다시 부팅하여 여전히 사용 중지 된 것으로 확인하면 그 이유가 있습니다.
다른 장치에 문제가 발생하거나메모리 보호를 설정 한 후 소프트웨어가 제대로 작동하지 않으면 특정 응용 프로그램이나 드라이버의 업데이트를 확인하는 것이 좋습니다. 사용 가능한 업데이트가 없으면 메모리 보호를 끄십시오.
위에서 언급했듯이 메모리 무결성도가상 머신 프로그램과 같은 시스템의 가상화 하드웨어에 독점적으로 액세스해야하는 일부 애플리케이션과 호환되지 않습니다. 일부 디버거를 포함한 다른 도구도이 하드웨어에 독점적으로 액세스해야하며 메모리 무결성이 활성화 된 상태에서는 작동하지 않습니다.
코어 격리 메모리 무결성을 활성화하는 방법
PC에 Core Isolation이 있는지 확인할 수 있습니다기능을 활성화하고 Windows Defender 보안 센터 응용 프로그램에서 메모리 보호를 켜거나 끕니다. 이 도구는 2018 년 10 월 업데이트의 일부로 "Windows 보안"으로 이름이 변경됩니다.
이를 열려면 시작 메뉴에서 "Windows Defender 보안 센터"를 검색하거나 설정> 업데이트 및 보안> Windows 보안> Windows Defender 보안 센터 열기로 이동하십시오.
보안 센터에서 "장치 보안"아이콘을 클릭하십시오.
PC 하드웨어에서 Core Isolation (핵심 격리)이 활성화 된 경우 여기에 "장치의 핵심 부분을 보호하기 위해 가상화 기반 보안이 실행 중입니다"라는 메시지가 표시됩니다.
메모리 보호를 활성화 (또는 비활성화)하려면 "핵심 격리 세부 정보"링크를 클릭하십시오.
이 화면은 메모리 무결성의 활성화 여부를 보여줍니다. 지금은 이것이 유일한 옵션입니다.
메모리 무결성을 활성화하려면 스위치를 "켜기"로 전환하십시오. 응용 프로그램 또는 장치 문제가 발생하여 메모리 무결성을 비활성화해야하는 경우 여기로 돌아와 스위치를 "끄기"로 전환하십시오.
컴퓨터를 다시 시작하라는 메시지가 표시되며 변경 사항은 한 번만 적용됩니다.
더 많은 Windows Defender Exploit Guard 기능
핵심 격리 및 메모리 무결성은Microsoft가 Windows Defender Exploit Guard의 일부로 추가 한 많은 새로운 보안 기능 이것은 공격으로부터 Windows를 보호하도록 설계된 기능 모음입니다.
작동을 보호하는 악용 방지여러 유형의 익스플로잇에서 시스템 및 응용 프로그램이 기본적으로 활성화되어 있습니다. 이 도구는 Microsoft의 기존 EMET 도구를 대체하며 이전에 Malware Anti-Exploit 설치를 권장 한 악용 방지 기능을 포함합니다. 모든 Windows 10 사용자는 이제 악용 방지 기능을 갖습니다.
폴더 액세스 제어도 있습니다.랜섬웨어로부터 파일을 보호합니다. 일부 구성이 필요하므로 기본적으로 사용하도록 설정되어 있지 않습니다. 이 기능을 사용하면 응용 프로그램이 개인 파일 폴더의 파일에 액세스하기 전에 액세스를 허용해야합니다.
관련 : Windows Defender의 새로운 취약성 공격 방지 작동 방식 및 구성 방법
앞으로 메모리 무결성이 활성화됩니다모든 새 PC에서 기본적으로 공격에 대한 추가 보호 기능을 제공합니다. 가상 시스템 소프트웨어 및 시스템 가상화 하드웨어에 액세스해야하는 기타 도구를 사용하는 고급 사용자 만 비활성화해야합니다.
