Ажурирање система Виндовс 10 за април 2018. доноси „ЦореИзолација “и„ Меморија интегритет “обележи свима. Они користе безбедност засновану на виртуализацији да би заштитили процесе вашег основног оперативног система од неовлаштеног напада, али заштита меморије је подразумевано искључена за људе који надограђују.
Шта је језграна изолација?
У оригиналном издању оперативног система Виндовс 10,функције безбедности засноване на виртуализацији (ВБС) биле су доступне само у Ентерприсе издањима Виндовс 10 као део „Девице Гуард“. Ажурирање из априла 2018. године, Цоре Исолатион доноси неке безбедносне карактеристике засноване на виртуализацији у свим издањима Виндовс 10.
Неке функције главне изолације омогућујуподразумевано на Виндовс 10 рачунарима који испуњавају одређене захтеве хардвера и фирмвера, укључујући 64-битни ЦПУ и ТПМ 2.0 чип. Такође захтева да ваш рачунар подржава Интел ВТ-к или АМД-В технологију виртуализације и да је омогућен у УЕФИ поставкама рачунара.
Кад су ове функције омогућене, Виндовс користифункције виртуализације хардвера како би се створила сигурна област системске меморије која је изолована од уобичајеног оперативног система. Виндовс може покренути системске процесе и сигурносни софтвер у овом заштићеном подручју. Ово штити важне процесе оперативног система од неовлашћеног ометања било чега што се одвија изван сигурног подручја.
Чак и ако се злонамерни софтвер покреће на вашем рачунару и знаексплозив који би му требао омогућити да пробије ове Виндовс процесе, сигурност заснована на виртуализацији је додатни слој заштите који ће их изоловати од напада.
ПОВЕЗАН: Све ново у Виндовс 10 ажурирању за април 2018, доступно одмах
Шта је интегритет меморије?
Функција позната као "Интегритет меморије" у интерфејсу Виндовса 10 позната је и као "Интегрисаност заштићена од хипервизора" (ХВЦИ) у Мицрософтовој документацији.
Меморија интегритет је подразумевано онемогућена на ПЦ рачунарима који су надограђени на Ажурирање за април 2018, али то можете да омогућите. Биће омогућено подразумевано за нове инсталације система Виндовс 10 које се крећу према напријед.
Ова функција је подскуп Цоре Исолатион. Виндовс обично захтева дигиталне потписе за управљачке програме уређаја и други код који ради у режиму Виндовс кернел-а на ниском нивоу. На тај начин се осигурава да их злонамјерни софтвер није спретио. Када је омогућена „Меморија интегритет“, „услуга интегритета кода“ у Виндовс-у ради унутар спремника заштићеног хипервизором креираним од стране Цоре Исолатион. Ово би требало онемогућити малверзацију да извршава проверу провере интегритета кода и да приступи Виндовс језгри.
Проблеми са виртуелном машином
Како меморија интегритета користи хардвер за виртуализацију система, он је неспојив са програмима виртуелних машина попут ВиртуалБок или ВМваре. Само једна апликација може истовремено користити овај хардвер.
Можда ћете видети поруку која каже Интел ВТ-Кс или АМД-Вније омогућено или је доступно ако инсталирате програм виртуелне машине на систем са укљученим меморијским интегритетом. У ВиртуалБок-у можете видети поруку о грешци „Рав-мод је недоступан љубазношћу Хипер-В-а“ док је заштита меморије омогућена.
У сваком случају, ако наиђете на проблем са софтвером своје виртуелне машине, морате онемогућити Мемори Интегрити да бисте га користили.
Зашто је онемогућено према заданим поставкама?
Главна карактеристика језгрене изолације не би требало да ствара проблеме. Омогућено је на свим Виндовс 10 рачунарима који га могу подржати и не постоји интерфејс за његово деактивирање.
Међутим, заштита интегритета меморије може проузроковатипроблема са неким управљачким програмима уређаја или другим Виндовс апликацијама ниског нивоа, због чега је он онемогућен према надоградњи. Мицрософт и даље подстиче програмере и произвођаче уређаја да своје драјвере и софтвер учине компатибилним, због чега је то омогућено на новим рачунарима и новим инсталацијама Виндовс 10.
Ако је један од управљачких програма који ваш рачунар треба да се покрене јенекомпатибилан са заштитном меморијом, Виндовс 10 ће тихо искључити заштиту заштите како би осигурао да се рачунар може покренути и правилно радити. Дакле, ако покушате да га омогућите и поново покренете само да бисте утврдили да је и даље онемогућен, то је разлог зашто.
Ако наиђете на проблеме са другим уређајима илинеисправног софтвера након омогућавања Меморијске заштите, Мицрософт препоручује проверу исправки за одређену апликацију или управљачки програм. Ако нису доступне исправке, искључите заштиту од меморије.
Као што смо горе споменули, меморија интегритета ће такођебити некомпатибилни са неким апликацијама којима је потребан ексклузивни приступ хардверу за виртуализацију система, као што су програми виртуелних машина. Остали алати, укључујући неке уређаје за уклањање погрешака, такође захтевају ексклузивни приступ овом хардверу и неће радити са омогућеним Интегритетом меморије.
Како омогућити целовиту меморију изолације језгре
Можете да видите да ли на рачунару постоји Цоре Исолатиономогућене функције и укључују или искључују заштиту заштите из апликације Виндовс Дефендер Сецурити Центер. (Овај алат ће бити преименован у „Виндовс Сецурити“ у оквиру ажурирања за октобар 2018.)
Да бисте га отворили, потражите „Виндовс Сецурити центар за заштиту“ у менију Старт или се упутите на Подешавања> Ажурирање и безбедност> Виндовс безбедност> Отворите безбедносни центар Виндовс Дефендер.
Кликните на икону „Заштита уређаја“ у Центру безбедности.
Ако је на хардверу вашег рачунара омогућена Цоре Исолатион, видећете поруку „Покретање сигурности засноване на виртуализацији ради заштите основних делова уређаја“ овде.
Да бисте омогућили (или онемогућили) заштиту од меморије, кликните везу „Детаљи о основној изолацији“.
На овом екрану ћете видети је ли меморијски интегритет омогућен или не. То је за сада једина опција овде.
Да бисте омогућили интегритет меморије, пребаците прекидач на „Укључено“. Ако наиђете на проблеме апликација или уређаја и требате да онемогућите меморију интегритета, вратите се овде и пребаците прекидач на „Искључено“.
Од вас ће се затражити да поново покренете рачунар, а промена ће ступити на снагу тек кад је наиђете.
Више функција Виндовс Дефендер Екплоит Гуард функције
Изолација језгра и интегритет меморије су неки одмноге нове безбедносне функције које је Мицрософт додао као део Виндовс Дефендер Екплоит Гуард-а. Ово је колекција функција дизајнираних да заштите Виндовс од напада.
Искористите заштиту која штити ваш радсистем и апликације са више врста подвига, омогућено је подразумевано. Ово замењује Мицрософтов стари алат ЕМЕТ и укључује функције против експлоатације за које смо претходно препоручили инсталацију злонамјерног софтвера. Сви корисници Виндовс 10 сада имају заштиту од експлоатације.
Постоји и контролисани приступ директоријуму, којиштити ваше датотеке од рансомвареа. Подразумевано није омогућено јер захтева одређену конфигурацију. Ако омогућите ову функцију, мораћете да омогућите апликацијама приступ пре него што приступе датотекама у вашим мапама личних датотека.
ПОВЕЗАН: Како функционише нова заштита оперативног система Виндовс Дефендер (и како то конфигурисати)
Ако напредујете, биће омогућен интегритет меморијеподразумевано на свим новим ПЦ рачунарима, пружајући додатну заштиту од напада. Само напредни корисници који користе софтвер виртуелне машине и друге алате који захтевају приступ хардверу за виртуализацију система мораће да га онемогуће.
