Hvad er Core Isolation og Memory Integrity i Windows 10?
Windows 10's April 2018 Update bringer "Kerneisolering" og "Memory Integrity" sikkerhedsfunktioner til alle. Disse bruger virtualiseringsbaseret sikkerhed for at beskytte dine centrale operativsystemprocesser mod manipulation, men hukommelsesbeskyttelse er som standard slukket for personer, som opgraderer.
Hvad er Core Isolation?
I den oprindelige udgave af Windows 10 var VBS-funktioner (Virtualization Based Security) kun tilgængelige på Enterprise-udgaver af Windows 10 som en del af "Device Guard." Med opdateringen fra april 2018 giver Core Isolation nogle virtualiseringsbaserede sikkerhedsfunktioner til alle udgaver af Windows 10.
Nogle Core Isolation-funktioner er som standard aktiveret på Windows 10-pc'er, der opfylder visse krav til hardware og firmware, herunder at have 64-bit CPU og TPM 2.0-chip. Det kræver også, at din pc understøtter Intel VT-x eller AMD-V virtualiseringsteknologien, og at den er aktiveret i din pc's UEFI-indstillinger.
Når disse funktioner er aktiveret, bruger Windows hardware virtualiseringsfunktioner til at oprette et sikkert område af systemhukommelse, der er isoleret fra det normale operativsystem. Windows kan køre systemprocesser og sikkerhedssoftware i dette sikre område. Dette beskytter vigtige operativsystemprocesser mod at blive manipuleret af noget, der løber uden for det sikre område.
Selvom malware kører på din pc og kender en udnyttelse, der gør det muligt at knække disse Windows-processer, er den virtualiseringsbaserede sikkerhed et ekstra lag af beskyttelse, som vil isolere dem fra angreb.
Hvad er hukommelse integritet?
Funktionen kendt som "Memory Integrity" i Windows 10's grænseflade er også kendt som "Hypervisor protected Code Integrity" (HVCI) i Microsofts dokumentation.
Hukommelsesintegritet er som standard deaktiveret på pc'er, der opgraderes til opdateringen til april 2018, men du kan aktivere den. Det vil som standard blive aktiveret på nye installationer af Windows 10 fremad.
Denne funktion er en delmængde af Core Isolation. Windows kræver normalt digitale signaturer til enhedsdrivere og anden kode, der kører i Windows-kerneniveau på lavt niveau. Dette sikrer, at de ikke er blevet manipuleret af malware. Når "Hukommelsesintegritet" er aktiveret, kører "integritetstjenesten" i Windows inde i den hypervisorbeskyttede beholder, der er oprettet af Core Isolation. Dette bør gøre det næsten umuligt for malware at manipulere med kodeintegritetskontrol og få adgang til Windows-kernen.
Virtuelle maskinproblemer
Da Memory Integrity bruger systemets virtualiserings hardware, er det uforeneligt med virtuelle maskinprogrammer som VirtualBox eller VMware. Kun én applikation kan bruge denne hardware ad gangen.
Du kan muligvis se en meddelelse, der siger, at Intel VT-X eller AMD-V ikke er aktiveret eller tilgængelig, hvis du installerer et virtuelt maskinprogram på et system med hukommelsesintegritet aktiveret. I VirtualBox kan du muligvis se fejlmeddelelsen "Raw-mode er ikke tilgængelig på grund af Hyper-V", mens Hukommelsesbeskyttelse er aktiveret.
Uanset hvad, hvis du støder på et problem med din virtuelle maskine software, skal du deaktivere Hukommelsesintegritet til at bruge den.
Hvorfor er det deaktiveret som standard?
Hovedkernisoleringsfunktionen bør ikke forårsage nogen problemer. Det er aktiveret på alle Windows 10-pc'er, der kan understøtte det, og der er ingen grænseflade til at deaktivere den.
Beskyttelse af hukommelse integritet kan imidlertid medføre problemer med nogle enhedsdrivere eller andre Windows-programmer på lavt niveau, hvorfor det er deaktiveret som standard ved opgraderinger. Microsoft presser stadig udviklere og enhedsproducenter til at gøre deres drivere og software kompatible. Derfor er den som standard aktiveret på nye pc'er og nye installationer af Windows 10.
Hvis en af driverene, som din pc skal starte, er uforenelig med hukommelsesbeskyttelse, slukkes Windows 10 med hukommelsesbeskyttelse for at sikre, at din pc kan starte og fungere korrekt. Så hvis du forsøger at aktivere det og genstarte kun for at finde, at det stadig er deaktiveret, er det derfor.
Hvis du støder på problemer med andre enheder eller funktionsfejl, når du har aktiveret hukommelsesbeskyttelse, anbefaler Microsoft, at du tjekker for opdateringer med det specifikke program eller driveren. Hvis der ikke er nogen opdateringer, skal du slukke for Hukommelsesbeskyttelse.
Som nævnt ovenfor vil Memory Integrity også være uforenelig med nogle applikationer, der kræver eksklusiv adgang til systemets virtualiseringshardware, såsom virtuelle maskinprogrammer. Andre værktøjer, herunder nogle debuggere, kræver også eksklusiv adgang til denne hardware og fungerer ikke med Memory Integrity aktiveret.
Sådan aktiveres Core Isolation Memory Integrity
Du kan se, om din pc har Core Isolation-funktioner aktiveret og skifte hukommelsesbeskyttelse til eller fra i Windows Defender Security Center-applikationen. (Dette værktøj bliver omdøbt til "Windows Security" som en del af opdateringen fra oktober 2018.)
For at åbne det skal du søge efter "Windows Defender Security Center" i din Start-menu eller gå til Indstillinger> Opdatering og sikkerhed> Windows Security> Åbn Windows Defender Security Center.
Klik på ikonet "Enhedsikkerhed" i Sikkerhedscenter.
Hvis Core Isolation er aktiveret på pc'ens hardware, vil du se meddelelsen "Virtualiseringsbaseret sikkerhed kører for at beskytte kerne dele af din enhed" her.
For at aktivere (eller deaktivere) Hukommelsesbeskyttelse, klik på linket "Kerneisoleringsdetaljer".
Denne skærm viser, om Hukommelsesintegritet er aktiveret eller ej. Det er den eneste mulighed her for nu.
For at aktivere Hukommelsesintegritet skal du dreje kontakten til "Til". Hvis du støder på applikations- eller enhedsproblemer og skal deaktivere Hukommelsesintegritet, skal du vende tilbage og vende knappen til "Fra".
Du bliver bedt om at genstarte din computer, og ændringen træder først i kraft, når du har.
Flere Windows Defender Exploit Guard funktioner
Kerneisolering og hukommelsesintegritet er nogle af de mange nye sikkerhedsfunktioner, som Microsoft har tilføjet som led i Windows Defender Exploit Guard. Dette er en samling af funktioner designet til at sikre Windows mod angreb.
Exploit beskyttelse, som beskytter dit operativsystem og applikationer fra mange typer udnyttelser, er aktiveret som standard. Dette erstatter Microsofts gamle EMET-værktøj og indeholder anti-udnyttelsesfunktioner, som vi tidligere anbefalede at installere Malware Anti-Exploit for. Alle Windows 10-brugere har nu brugervenlighed.
Der er også kontrolleret mappetilgang, som beskytter dine filer fra ransomware. Det er ikke aktiveret som standard, fordi det kræver en vis konfiguration. Hvis du aktiverer denne funktion, skal du tillade applikationer adgang, før de kan få adgang til filer i dine personlige filmapper.
Fremadrettet vil Hukommelsesintegritet som standard blive aktiveret på alle nye pc'er, hvilket giver yderligere beskyttelse mod angreb. Kun avancerede brugere, der bruger virtuel maskine software og andre værktøjer, der kræver adgang til system virtualisering hardware, skal deaktivere den.