Ако използвате Windows 10 или Windows 11 и сте загрижени за сигурността, вероятно сте виждали в Защита на Windows опциите на Изолация на ядрото y целостност на паметтаМного потребители виждат предупреждения като „Целостта на паметта е деактивирана, устройството ви може да е уязвимо“ и не винаги е ясно какво означава това или как правилно да се активира, без да се създават проблеми. Ако искате да научите повече, Как да защитите Windows-а си Можете да се консултирате с повече ресурси.
В това ръководство ще намерите много пълно обяснение, но на ясен език, за това какво точно представлява. Основна изолациякак работи целостност на паметтаТова ръководство обяснява изискванията, как да го активирате чрез графичните опции на Windows, командния ред или разширените правила и какво да направите, ако срещнете грешки, сини екрани или проблеми с производителността след активиране. Целта е да ви помогне да вземете информирано решение дали искате да го активирате и най-вече да го конфигурирате уверено. Можете също да се консултирате с нашата [връзка към съответната документация/ръководство/и др.]. пълно ръководство за сигурност и поверителност.
Какво е изолация на ядрото и каква роля играе целостта на паметта?
Повикването Изолация на ядрото Това е усъвършенствана технология за сигурност, интегрирана в Windows, която разчита на сигурност, базирана на виртуализация (VBS)По принцип Windows създава малка, изолирана виртуална среда в самата система, която действа като зона с максимално доверие и от която се следи какво се случва в системата. ядро и в други критични процеси.
В рамките на тази защитена среда се прилага следното: целостност на паметта, също известен като HVCI (Интегритет на кода, наложен от хипервизор)Тази функция изисква кодът, изпълняван в режим на ядрото, да бъде правилно подписан и проверен и стриктно контролира как се разпределят и променят ресурсите. памет на ядрото, блокирайки типичните опити на много видове зловреден софтуер да се инжектират в ядрото на системата.
Когато активирате изолацията на ядрото и целостта на паметта, Windows издига един вид „виртуална стена“ около ядрото: хипервизорът на Windows Това изолира част от паметта, където се извършват проверки за целостта на кода, а самото ядро става много по-строго контролирано. Това значително усложнява задачата на всеки хакер да модифицира вътрешните системни структури или да зарежда злонамерени драйвери.
Всичко това е част от промяна в модела за сигурност на Windows: ядрото вече не се приема за недосегаемо, а по-скоро се приема, че може да бъде атакувано и това се подсилва с допълнителен слой, който работи върху това ядро. изолирана виртуална средаТова е подход, подобен на наличието на „микро операционна система“, предназначена за наблюдение на основната система.
Функции и предимства на целостта на паметта
Целостта на паметта не е просто „още един превключвател“ в защитата на Windows. Тя е ключов компонент на VBS и предоставя няколко предимства. специфични защитни слоеве срещу атаки срещу ядрото и драйверите.
От една страна, тази функция защитава Растерна карта на Control Flow Guard (CFG) За контролерите в режим на ядро, CFG е технология, която се опитва да предотврати пренасочването на потока от изпълнение на програмата към неочаквани области на паметта.
Освен това, целостта на паметта защитава самия процес, целостта на кода в режим на ядротоТази организация е отговорна за проверката дали доверените процеси и контролери имат валидни сертификати и не са били подправени. По този начин се наблюдават не само другите, но и самите монитори, което намалява риска от саботиране на механизма за сигурност.
Друг важен принос е, че той стриктно ограничава разпределения на паметта на ядротоМного техники за ескалация на привилегии или руткитове се състоят именно в това да накарат системата да резервира памет по специфичен начин за инжектиране на зловреден код.
На практика всичко това се изразява в забележимо подобрение в Модел на заплаха за WindowsЯдрото се превръща от сравнително достъпна цел за определени семейства сложен зловреден софтуер в много по-защитено, особено когато се комбинира с други функции като Credential Guard или други хардуерно-базирани защити, както и ASR на Windows.
На практика всичко това се превръща в забележително подобрение в модела на заплахите за Windows: ядрото преминава от относително достъпна цел за определени семейства сложен зловреден софтуер към много по-защитено, особено когато се комбинира с други функции като Credential Guard или други хардуерно-базирани защити.
Какво точно защитава Core Isolation на вашия компютър?
За да разберем напълно какво предоставя тази функция, е полезно да правим разлика между основен хардуер y периферен хардуерИзолацията на ядрото и целостта на паметта се фокусират предимно върху защитата на пътя, който свързва системата с основния хардуер (дънна платка, процесор, графичен процесор, RAM памет, основно устройство за съхранение...), където се случват най-деликатните неща.
Междувременно, всичко, което е свързано чрез USB или други портове Външни устройства за съхранение (като мишки, клавиатури, принтери и мобилни телефони) се считат за периферен хардуер. Въпреки че тези устройства не са ядрото на компютъра, те са основна входна точка за зловреден софтуер. Целостта на паметта помага за по-трудно злонамерен софтуер да атакува директно ядрото, дори ако едно от тези устройства е компрометирано или използва уязвим драйвер.
Заслужава да се отбележи, че тази функция Той не замества антивирусния софтуер.Windows Defender (или Microsoft Defender) остава от съществено значение за анализа на файлове, процеси и мрежов трафик и е част от стратегията за Защитете компютъра си от хакерски атаки и атакиИзолацията на ядрото и целостта на паметта действат като ниско ниво на допълнение, което влиза в действие, когато атака се опитва да насочи директно към операционната система. Комбинацията от двете значително засилва цялостната сигурност.
Тази допълнителна защита обаче има своите недостатъци. разходи за ресурсиТочно както система за контрол на достъпа с повече стъпки отнема повече време, за да ви пусне в дома ви, колкото повече проверки извършва Windows върху кода, зареден в ядрото, толкова повече време и процесорна мощност консумира. Това може да се забележи на много нисък клас системи или в ситуации като взискателни игри.
Предимства и недостатъци: сигурност срещу производителност
Активирането на изолацията на ядрото и целостта на паметта очевидно увеличава системна сигурностНо не всичко е розово. Много потребители са забелязали, че след активиране на тези опции, FPS в игрите е намален или че системата се усеща малко по-тежка, особено на компютри, които вече са били на хардуерния лимит.
Има и случаи, при които, когато се активира изолацията на ядрото, се появява следното сини екрани на смъртта (BSOD) или странни блокажи. В повечето от тези ситуации произходът обикновено е един и същ: несъвместими драйвери или лошо проектирани, които не отговарят на най-строгите правила за целостност на кода, изисквани от HVCI.
От друга страна, ако използването на компютъра ви е сравнително консервативно (не изтегляте необичаен софтуер, посещавате надеждни уебсайтове, поддържате системата си актуализирана и оставяте Microsoft Defender активен), може да не забележите огромна разлика в сигурността, когато активирате Core Isolation, но може да забележите загуба на производителност, особено в игри или много интензивни приложения.
Разумната препоръка обикновено е следната: ако оборудването ви е сравнително модерно, Отговаря на изискванията за виртуализацияАко не виждате никакви грешки при активиране на функцията и не забелязвате никакви значителни проблеми с производителността, струва си да оставите Core Isolation активирана. Ако обаче започнете да изпитвате сериозни спадове в производителността или нестабилност, може да помислите за деактивирането ѝ или използването ѝ само в определени моменти.
Във всеки случай, дори и с всички тези функции активирани, ключовият елемент остава потребителят: избягвайте странни изтеглянияНеотварянето на подозрителни прикачени файлове, непосещаването на съмнителни уебсайтове и актуализирането на всичко остава най-добрата защита. Технологиите помагат, но не правят чудеса, ако не сте внимателни, докато сърфирате.
Как да активирате изолацията на ядрото и целостта на паметта от защитата на Windows
Най-директният и визуален начин за активиране на изолацията на ядрото и целостта на паметта е чрез самия Приложение за сигурност на Windowsкойто е интегриран както в Windows 10, така и в Windows 11. Стъпките са много сходни и в двете системи, въпреки че името на менюто се променя леко.
В Windows 11 можете да отворите приложението, като натиснете Windows + I да отидете в Настройки и след това да въведете Поверителност и сигурност > Защита на Windowsкъдето ще видите бутон за отварянето му. Можете също да потърсите „Защита на Windows“ от менюто „Старт“ или да щракнете върху иконата на син щит, която обикновено се показва в системния трей.
След като влезете в „Защита на Windows“, отидете на раздела Сигурност на устройствотоТам ще намерите раздела, наречен Изолация на ядротоВероятно ще видите съобщение, което показва, че Целостта на паметта е деактивирана и че устройството ви може да е уязвимо, ако не го активирате.
Кликнете върху Детайли за изолацията на сърцевинатаЩе се отвори екран с няколко разширени опции. Най-важната е превключвателят. Цялостност на паметтаЧрез активирането му, Windows ще започне да прилага тези засилени политики за целостта на кода към ядрото, предотвратявайки зареждането на потенциално злонамерени драйвери или код.
В същия раздел можете да намерите и опцията, в зависимост от вашата версия на Windows Списък с уязвими драйвери на MicrosoftТази функция, която обикновено е активирана по подразбиране, предотвратява зареждането на определени драйвери, за които е известно, че имат сериозни уязвимости. В комбинация с целостта на паметта, тя осигурява допълнителен слой защита срещу проблемни драйвери.
Как да активирате целостта на паметта и VBS с помощта на команди и системния регистър
Ако управлявате няколко компютъра или искате по-фин контрол, това също е възможно. Активирайте изолацията на ядрото и целостта на паметта чрез командния редТова включва директно модифициране на специфични ключове в системния регистър на Windows. Това е много полезно в корпоративна среда или когато искате да автоматизирате конфигурацията.
За да започнете, отворете Команден ред като администраторНатиснете Windows + S, въведете „cmd“, щракнете с десния бутон върху „Команден ред“ и изберете „Изпълни като администратор“. Приемете подканата за контрол на потребителските акаунти, ако се появи.
Основният ключ към целостта на паметта се крие в HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrityВ рамките на този клон, стойността Enabled Това контролира дали HCVI е активиран (1) или деактивиран (0). Можете да го активирате с команда, подобна на тази:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v Enabled /t REG_DWORD /d 1 /f
Изолацията на ядрото зависи от сигурност, базирана на виртуализация (VBS) е активирано. Това се контролира от ключа. HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuardТам имате няколко важни ценности: например, EnableVirtualizationBasedSecurity (за включване на VBS), RequirePlatformSecurityFeatures (да се изисква сигурно зареждане и DMA защита с различни стойности) и Заключен (за да се посочи дали е настроено UEFI заключване или не).
Типичен набор от команди за конфигуриране на VBS и HVCI без постоянно заключване на каквото и да е във фърмуера може да изглежда така, винаги изпълняван в конзола с повишени привилегии:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f
Използване на App Control for Business и PowerShell
В организации, които внедряват политики за сигурност на много компютри, Microsoft предлага друг начин за активиране на целостта на паметта: Контрол на приложения за бизнеса, наследник на Windows Defender Application Control. Оттам нататък HVCI може да бъде включен като част от централизирана политика.
Един често срещан начин е да се използва Асистент за контрол на приложениятакойто ви води през създаването или промяната на политиката. В този съветник, на страницата с правила за политиката, можете да изберете опцията Целостта на кода е защитена от хипервизорТова показва, че искате да активирате целостта на паметта на всички устройства, които прилагат тази политика.
Друга алтернатива е да използвате командлета PowerShell Set-HVCIOptionsТова ви позволява да конфигурирате различни режими на работа на HVCI, като например одит, принудителна работа и др. Това е много полезно, ако искате да тествате съвместимостта на вашите контролери в режим на одит, преди да превключите към строго принудителен режим.
И накрая, всеки с опит в XML може директно да редактира Файл с правила за контрол на приложенията и променете стойността на елемента <HVCIOptions>Това позволява сравнително подробен контрол върху това как се прилага целостта на паметта в среда, където много компютри се управляват едновременно.
Целият този подход е по-скоро насочен към бизнеса, но е добре да се знае, че целостта на паметта може да се управлява както от потребителския интерфейс, така и от инструменти и скриптове за управление на политики, в зависимост от нуждите на всяка среда.
Как да проверим дали VBS и целостта на паметта са действително активни
След като сте активирали VBS и целостта на паметта, е логично да се запитате дали Те наистина работят или ако нещо е останало недовършено. Windows предлага няколко начина за проверка на това, както графично, така и чрез команди.
Един от най-изчерпателните е използването на WMI класа Win32_DeviceGuardТова е достъпно от PowerShell сесия с администраторски права. Изпълнението на команда като тази може да генерира доста подробен отчет:
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard
Изходът от тази команда включва полета като Налични свойства за сигурносткойто изброява кои хардуерни функции за сигурност са налични (поддръжка на хипервизор, защитено зареждане, DMA защита, NX защити, SMM смекчавания, MBEC/GMET, APIC виртуализация и др.) и Задължителни свойства за сигурност, което показва кои свойства са необходими, за да бъде VBS активиран правилно.
Ще видите и полета като Конфигурирани услуги за сигурност y Услуги за сигурност, работещикоито показват дали услуги като Персонална охрана о ла целостност на паметта Те са конфигурирани и дали действително работят. Например, стойност, която включва „2“, обикновено показва, че целостта на паметта е съответно конфигурирана или работи.
Друго ключово поле е Състояние на сигурността, базирано на виртуализацияТова ще ви покаже дали VBS е деактивиран (0), активиран, но не работи (1) или активиран и напълно функциониращ (2). За да работи правилно изолацията на ядрото, в идеалния случай тази стойност трябва да бъде 2.
Ако предпочитате нещо по-визуално и по-малко техническо, можете да се обърнете към msinfo32.exeСтартирайте тази програма (например, като въведете „msinfo32“ в полето за търсене на Windows) от сесия с повишени привилегии. В долната част на Общ преглед на системата Ще видите блок, посветен на функциите на VBS, показващ дали е активиран и какви свързани защити са активни.
Цялостност на паметта във виртуални машини Hyper-V
Целостта на паметта и изолацията на ядрата не са само за физически хардуер. Те могат да бъдат активирани и в... Виртуална машина Hyper-Vпри условие че са изпълнени определени изисквания. В този сценарий виртуалната машина се ползва със същата защита като физически компютър срещу зловреден софтуер, който се опитва да атакува ядрото на гост машината.
За това Hyper-V хост Трябва да работи с поне Windows Server 2016 или Windows 10 версия 1607, а виртуалната машина трябва да е от поколение 2 и да използвате съвместима версия на Windows. Вътре в виртуалната машина стъпките за активиране на изолацията на ядрото са същите като на обикновен компютър.
Важно е да се разбере целостта на паметта във виртуалната машина Защитете госта, а не домакинаАдминистраторът на хоста все още има възможността да контролира конфигурацията на виртуалната машина и всъщност може да деактивира участието на тази виртуална машина във VBS с команди като:
Set-VMSecurity -VMName <NombreVM> -VirtualizationBasedSecurityOptOut $true
Изолирането на ядрото и интегритетът на паметта са два ключови компонента за подсилване на сигурността на Windows: използвайки виртуализация на хардуера, те добавят много дълбок слой защита върху ядрото и драйверите, способни да спрат сложни атаки, които преди това са имали свобода на действие; активирането им обаче изисква спазване на определени хардуерни изисквания и приемане, че при някои системи или за много взискателни приложения може да има цена, която трябва да се плати в производителността или съвместимостта на драйверите, така че е препоръчително внимателно да се обмисли използването им и винаги да се разчита на добри практики за сигурност, когато разглеждате и инсталирате софтуер.
