La Цялостност на паметта на Windows Това се превърна в една от онези опции за сигурност, които виждате в приложението на Защита на WindowsЗвучи важно, но в същото време сте чували, че може да намали няколко FPS в игрите ви. Не е необичайно да се чувствате разкъсвани между това да изтласкате компютъра си до краен предел и да го поддържате добре защитен от злонамерен софтуер и експлойти.
Преди да решите дали да го активирате или деактивирате, е важно да разберете точно какво прави, какво печели вашата система по отношение на защитата и колко може да загубите в производителност. как да играя с всички тези настройки (VBS, хипервизор, драйвери и др.), без да обърквате нещата и да се окажете с нестабилен или по-малко сигурен компютър.
Какво е целостта на паметта в Windows и как работи?
Поканата за представяне на предложения „Целостност на паметта“ на Windows Всъщност това е удобният за потребителя интерфейс на по-голяма технология за сигурност: сигурност, базирана на виртуализация, или VBS. И двете вървят ръка за ръка и са предназначени да защитават най-чувствителната част от системата, ядрото, от високосложни атаки.
Windows разчита на интегриран хипервизор на самата система да се създаде изолирана виртуална среда, която действа като основа на доверие. Тази среда приема, че в най-лошия случай ядрото може да бъде компрометирано. Следователно, тя премества някои критични проверки за сигурност в защитено пространство, отделно от „нормалния“ Windows.
В тази защитена среда се извършва следното: целостност на кода в режим на ядротоПо принцип проверява дали драйверите и кодът, които искат да се изпълняват в ядрото, са подписани, надеждни и не са били променяни. Ако се промъкне нещо, което не отговаря на правилата, то не се изпълнява.
Целостта на паметта, като такава, добавя още един слой: Той контролира и ограничава начина, по който се разпределя и използва паметта. ядроСтраниците на паметта на ядрото се маркират като изпълними едва след преминаване на проверки за целостта. Освен това, след като бъдат изпълними, те вече не могат да бъдат записвани. Това значително усложнява нещата за експлойти, които се опитват да инжектират код или да променят критични структури на паметта.
Освен всичко друго, тази функция Предпазва от модификация на растерната карта на Control Flow Guard (CFG). в режим на ядрото и подсилва процеса на целостта на кода, който проверява дали привилегированите процеси имат валидни и надеждни сертификати.
Хардуерни изисквания и кога се активира автоматично
Microsoft не може просто да активира тази защита на който и да е стар компютър, защото тя разчита на съвременни процесори, фърмуери и функции за съхранение. Следователно, Целостта на паметта се активира само автоматично ако оборудването отговаря на редица минимални изисквания.
При чисти инсталации на Windows 11 и в някои Windows 10 (като например S-mode издания) на съвместим хардуер, целостта на паметта е нарушена. фабрика активнаСъщо така е активирано по подразбиране на системи, обозначени като „защитено ядро“. На други системи потребителят или администраторът решават дали да го включат.
Като цяло, екипът трябва да има модерен процесор с разширена поддръжка за виртуализация и смекчаване на рисковетеНапример, 8-мо поколение Intel или по-ново, AMD от архитектурата Zen 2 нататък или по-нови SoC-та на Qualcomm Snapdragon. Освен това, x64 изисква минимум 8 GB оперативна памет за да се гарантира, че системата няма да се срине при настройването на виртуализираната среда.
Също така е необходимо системният диск да е SSD от поне 64 GBBIOS/UEFI трябва да има активирана виртуализация, а инсталираните на системата драйвери трябва да са съвместими с HVCI (Hypervisor-Enforced Code Integrity). Без тези изисквания автоматичното активиране няма да се осъществи и VBS или целостта на паметта може да останат деактивирани.
Производителите на оригинално оборудване (OEM) и администраторите, които подготвят изображения, могат да активират целостта на паметта по подразбиране, като конфигурират специфични ключове в системния регистър, включително стойности като Enabled, БешеАктивираноОт и идентификатора за зареждане (BootId), който Windows използва за връщане назад към функцията, ако открие критични сривове при зареждане, причинени от нея.
Как да активирате целостта на паметта (VBS и HVCI) от системата
Отвъд превключвателя, видим в „Защита на Windows“, целостта на паметта и VBS се контролират с регистрационни ключове и правила които позволяват фина настройка на поведението. Това е особено полезно в компании или организации.
В системния регистър на Windows, сигурността, базирана на виртуализация, се управлява от пътя HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuardТова определя дали VBS е активиран, какво ниво на сигурност на платформата е необходимо (само Secure Boot, Secure Boot + DMA защита и т.н.), дали конфигурацията е заключена от UEFI и дали е активирана целостта на паметта (HVCI).
Например, за да се активира VBS и целостта на паметта с типична конфигурация, входни данни като EnableVirtualizationBasedSecurity=1 y RequirePlatformSecurityFeatures със стойности, които определят какъв тип защита на фърмуера е задължителна (напр. 1 само за Secure Boot или 3 за Secure Boot + DMA защита).
Самата цялост на паметта зависи от подключа DeviceGuard\Сценарии\ХипервизорEnforcedCodeIntegrityТам е маркирано Активирано=1 За да активирате функцията, можете да проверите дали състоянието е заключено на ниво фърмуер, като използвате ключа . Заключен с различни стойности в зависимост от това дали е желано UEFI заключване или не.
За среди, където искате да използвате максимума, има опция да маркирате политиката като задължителенВ този режим, ако хипервизорът, защитеното ядро или някой от ключовите му модули не се заредят при зареждане, системата ще процесът на зареждане не продължаваТова е много агресивна защита, която подсилва сигурността. Тя обаче може да усложни възстановяването, ако има проблеми със съвместимостта.
Контрол чрез App Control за бизнеса и PowerShell
В корпоративните мрежи най-удобният начин за управление на целостта на паметта обикновено е чрез Контрол на приложения за бизнеса (преди WDAC)Това ви позволява да активирате HVCI заедно с правилата за контрол на приложенията от централизирани политики.
Съветникът за контрол на приложенията ви позволява да създавате или редактирате правила и да изберете опцията за „Целостност на кода, защитена от хипервизор“ в секцията с правила. По този начин, когато политиката бъде внедрена, компютрите започват да налагат целостта на паметта според дефинираните параметри.
Друг начин е да използвате PowerShell. С командлети като Set-HVCIOptions Опциите на HVCI могат да се променят автоматично на множество устройства. Това е много полезно при скриптове за внедряване или първоначална конфигурация на оборудването.
Ако работите директно с XML файловете на App Control, можете също да коригирате стойността на елемента. в рамките на политиката, фина настройка на поведението на целостта на кода, защитен от хипервизор, без да се докосва системният регистър един по един на всяка машина.
За да предотврати включването или изключването на целостта на паметта от крайния потребител от интерфейса за защита на Windows, администраторът може да манипулира ключа БешеАктивираноОтКоригирането или премахването на тази стойност води до затъмняване на потребителския интерфейс и показване на съобщение, като например „Тази настройка се управлява от вашия администратор“.
Как да проверим дали VBS и целостта на паметта са действително активни
Разчитането на обикновен превключвател не е достатъчно, особено в среди, където сигурността е критична. Windows предлага няколко начина за проверете действителното състояние на VBS и целостта на паметта използване на WMI, графични инструменти и лог файлове.
Един от най-изчерпателните е класът WMI. Win32_DeviceGuard, достъпен от PowerShell с повишени привилегии чрез командата Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuardРезултатът показва кои хардуерни защити са налични и кои са активирани в момента.
Резултатите включват области като Налични свойства за сигурност. Това показва дали устройството има поддръжка на хипервизор, Secure Boot, DMA защита, NX защити, SMM смекчавания, MBEC/GMET или APIC виртуализация. Всяка възможност е представена от специфична числова стойност.
Други важни области включват:
- Задължителни свойства за сигурностНеобходими са функции за сигурност, за да се активира VBS.
- Конфигурирани услуги за сигурност. За да проверите дали са конфигурирани Credential Guard, целостта на паметта, защитата при сигурно зареждане, измерването на фърмуера, хардуерно приложената защита на стека и др.
- Услуги за сигурност, работещиСъщото като по-горе, но за услуги, които се изпълняват в момента.
Също така е важно да се обърне внимание на Състояние на сигурността, базирано на виртуализациякъдето специфична стойност показва дали VBS е деактивиран, активиран, но не е стартиран, или активиран и работи. Накрая, състоянието на целостта на директната памет може да се провери в ключа на волатилния регистър. HKLM\Система\Текущ контролен набор\Контрол\CI\Състояние\HVCIEnabled, както и в информацията от MsInfo32 (в раздела „Изпълнение на услуги за сигурност, базирани на виртуализация“).
SkTool и други разширени ресурси за диагностициране на VBS
За по-сложни сценарии, като например проблеми с хипервизора, ключове за сигурност или грешки при стартиране на VBS, Microsoft включва помощна програма в Windows SDK, наречена SkTool което значително опростява диагнозата.
SkTool се намира в папката кофа за боклук на SDK, по път като „C:\Program Files (x86)\Windows Kits\10\bin\10.0.xxx\ ", където Може да бъде x64, arm64 и т.н. Когато се изпълнява без параметри, показва текущото състояние на хипервизора и VBS, като ясно показва защо е стартирал или защо не е успял да стартира.
Той поддържа няколко модификатора на командния ред, като например /състояние (обща информация за хипервизора и защитеното ядро), /lkey (Състояние на главния ключ на VSM) или /смекчаване на последиците (активни смекчаващи мерки). Параметърът „главен ключ“ е много полезен за разследване на проблеми с Windows Hello или други подобрени функции за сигурност когато системата не приема ПИН код или лицево разпознаване.
Ако например Secure Boot е деактивиран или нещо се промени в състоянието, измерено от TPM, SkTool може да отрази това Главният ключ на VSM не може да бъде отключен, указващ специфичния код на грешката и обясняващ, че е генериран нов ключ и е съхранен в UEFI променлива.
В допълнение към SkTool, за да проверите какво се е случило с автоматичното активиране на целостта на паметта по време на инсталацията, можете да се обърнете към файл setupact.logПотърсете низа HVCI и вижте дали е активиран правилно или системата е решила да не го активира, защото не отговаря на някакво изискване, показвайки кодове като ПРОБЛЕМИ С_СЪВМЕСТИМОСТ_С_VBS с подробности за откритите несъвместимости (неподдържана архитектура, липса на SLAT, липса на таблица с атрибути на паметта на UEFI, твърде малък диск, липса на SSD и др.).
Влияние върху производителността и игрите: Струва ли си да го деактивирате?
Един от най-големите въпроси за много потребители е балансът между сигурност и производителност, особено в игрите. Има доказателства и препоръки, дори от самата Microsoft, които показват, че Целостта на паметта и други VBS функции могат да намалят FPS с няколко процентни пункта., средно около 5% в зависимост от играта и хардуера.
В някои актуализации на Windows 11 са наблюдавани случаи, при които, в комбинация с други функции, като например Платформа за виртуална машина (използвани например за стартиране на приложения за Android), въздействието върху определени заглавия беше по-забележимо, особено в екипи със справедливи ресурси или с графични процесори, където е забележимо допълнително натоварване.
В документация и изявления, свързани с проблеми с производителността в игрите, Microsoft дори препоръчва на най-взискателните потребители... Временно деактивирайте VBS и целостта на паметта кога ще играят. И след това да ги активират отново. Практическият проблем е, че тези промени обикновено изискват рестартиране на компютъра. Това прави операцията малко тромава за ежедневно изпълнение.
От гледна точка на сигурността, струва си да се помни, че тази функция усложнява атаките срещу ядрото и Спира драйвери или модули със съмнителни или уязвими сигнатури.Ако използвате само Windows Defender, изтегляте програми от източници, които не винаги контролирате, и като цяло не искате да поемате твърде много рискове, окончателното деактивиране на целостта на паметта ви прави по-изложени на определени видове злонамерен софтуер.
Практическото решение обикновено включва оценка на вашия рисков профил: дали оборудването е за работа, управлявате чувствителна информация или сте склонни да инсталирате по-малко „необичайни“ неща. Препоръчително е да оставите целостта на паметта включена.Ако вашият компютър е предназначен единствено за игри и изстискване на всеки последен FPS, може да помислите да го изключите, докато играете, знаейки, че поемате по-високо ниво на риск, особено ако изтегляте изпълними файлове от ненадеждни източници.
Поетапни решения, когато целостта на паметта не се включи
Когато системата настоява, че не може да осигури целостта на паметта, могат да се приложат няколко решения, от най-малко до най-„агресивно“, докато оперативната функция бъде възстановена, без да се компрометира стабилността на оборудването.
Първата стъпка обикновено е преглед и инсталирайте всички налични актуализации От „Настройки“ > „Актуализация на Windows“. Често един обикновен актуализиран драйвер или корекция за съвместимост решава проблема, без да е необходимо да се прави каквото и да било друго.
След това отидете на Защита на Windows > Защита на устройството > Изолиране на ядрото и там, където се появи съобщението за грешка, щракнете върху „Проверка за несъвместими драйвери“. Ако там е посочен конкретен драйвер, най-добрият начин на действие е да опитате Актуализирайте го от диспечера на устройствата чрез търсене на драйвери по производител или чрез изтегляне на най-новата версия директно от уебсайта на доставчика.
Ако списъкът не показва ясно кой файл причинява проблема, можете да използвате командния ред с администраторски права. Оттам можете да изпълнявате команди като dism /online /get-drivers /format:table за да се изброят всички инсталирани драйвери. Оттам се идентифицира „Публикуваното име“, съответстващо на подозрителния драйвер, и се отбелязва за използване в други операции.
В по-екстремни случаи, когато актуализацията не е възможна, a принудително деинсталиране на драйвери С помощта на инструменти като pnputil можете да премахнете пакета от системата и след това да инсталирате съвместима или алтернативна версия. Винаги се препоръчва да създадете резервно копие, преди да опитате този тип процедура.
Други мерки за ремонт, когато всичко друго се провали
Не всички проблеми с целостта на паметта произтичат от драйвери. Понякога има и други основни проблеми. повредени системни файлове, злонамерен софтуер или сериозно компрометирана система Windows поради години употреба, промени в хардуера или грешки в системния регистър.
Доста безопасна стъпка е да използвате Проверка на системни файлове (SFC) И когато подозирате хардуерен проблем, изпълнете Memtest64Отваряне на командния ред като администратор и изпълнение sfc /scannowWindows сканира критични системни файлове и замества всички, които са повредени или липсват. След сканирането се препоръчва да рестартирате и да опитате отново да активирате целостта на паметта от „Защита в Windows“.
Добра идея е също да прекарате пълен анализ на зловреден софтуер Можете да премахнете вируса, като използвате „Защита от вируси и заплахи“ > „Опции за сканиране“ > „Пълно сканиране“ или надеждно решение на трета страна. Някои инфекции разчитат на манипулиране на процеси и услуги в паметта и могат да попречат на активирането на тази функция.
Ако системата остане все така упорита, единствената оставаща опция е... Безопасен режимРестартирането и избирането на стартиране в безопасен режим зарежда само минималните драйвери. След това можете да опитате да активирате целостта на паметта и да прегледате събитията. Можете дори да извършвате почистване на проблемен софтуер с по-малко смущения.
В много сериозни ситуации, когато оборудването е станало нестабилно или просто не стартира правилно след опит за форсиране на VBS или HVCI, можете да прибегнете до Среда за възстановяване на Windows (Windows RE)Там можете да деактивирате свързани групови правила, да промените ключовете в системния регистър, за да ги поставите Активирано=0 в конфигурацията за целостта на паметта и връщане на системата в по-базово състояние, което ѝ позволява нормално стартиране.
Цялостност на паметта във виртуални машини Hyper-V
Целостта на паметта не се ограничава само до физически машини. Тя може също така да защити виртуални машини, базирани на Hyper-V почти по същия начин, по който защитава нормален компютър, при условие че са изпълнени определени изисквания.
Домакинът на Hyper-V трябва да работи поне Windows Server 2016 или Windows 10 версия 1607Освен това, виртуалната машина трябва да е от поколение 2 с модерна гостеска операционна система (Windows 10, Windows 11 или Windows Server 2016 или по-нова версия). В самата виртуална машина стъпките за активиране на VBS и целостта на паметта са почти идентични с тези за физическа машина.
Защитата, която осигурява, се фокусира върху предотвратяване на компрометиране на ядрото от злонамерен софтуер, работещ във виртуалната машина. Това обаче не засилва допълнително сигурността на хоста. Администраторът на хоста все още има контрол върху, например, деактивиране на целостта на паметта на виртуалната машина използвайки команди като Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true.
Има някои ограничения. Елементи като виртуални адаптери за оптични канали Те не са съвместими с целостта на паметта и ако искате да ги използвате, трябва да изключите виртуалната машина от VBS чрез настройките за сигурност на виртуалната машина. Същото важи и за опции като AllowFullSCSICommandSet на дискове с преминаване, които са несъвместими с HVCI.
В Windows с вложена виртуализация можете да имате ролята на Hyper-V във виртуална машина, която също има активирана целостта на паметта. Трябва обаче да следвате специфична последователност на конфигуриране и да се уверите, че както хост, така и гост виртуалните машини отговарят на изискванията.
Кога трябва да се поддържа активно и кога трябва да се деактивира?
Въпросът за милион долара, особено ако сте загрижени за FPS в игрите, е дали си струва тази функция да е винаги включена. На повечето съвременни компютри и за обща употреба, Жертвата на производителността е разумна в сравнение със скока в безопасността. която получавате срещу злонамерени експлойти на ядрото и драйвери.
Ако не използвате антивирусен софтуер на трети страни, разчитате на Windows Defender и често изтегляте програми от нерегулирани сайтове, целостта на паметта добавя важен допълнителен слой защита. Тя намалява повърхността за атака и принуждава драйверите на устройства да преминават през по-строга проверка.
От друга страна, ако вашият абсолютен приоритет е конкурентната производителност в игрите и всеки кадър е от значение, можете да обмислите междинна стратегия: Деактивирайте VBS и целостта на паметта, когато знаете, че ще прекарвате времето си само в играене на игри. и да ги активирате отново за ежедневно сърфиране, офис приложения и т.н. Имайте предвид обаче, че промените изискват рестартиране. Не е толкова удобно, колкото просто натискане на бутон.
За напредналите потребители или администратори, ключът е задълбоченото разбиране на средата. От работни станции, обработващи чувствителни данни, до административни работни станции, всеки обикновено се възползва от активираната целостност на паметта като част от цялостна стратегия за сигурност. Поддържа се от архивиране и строги правила за актуализиране.
В крайна сметка, разбирането как работи VBS, как взаимодейства с драйвери, фърмуер и производителност, и как да се диагностицират грешките му, позволява вземането на по-информирани решения: поддържане на Целостта на паметта на Windows като мощен съюзник срещу сложни атакиили да го деактивират в много специфични моменти, знаейки отлично какво се печели и губи във всеки отделен случай.
