Co jsou Izolace jádra a Integrita paměti v systému Windows 10?
Aktualizace Windows 10 v dubnu 2018 přináší bezpečnostní funkce "Core Isolation" a "Integrita paměti" všem. Tyto funkce využívají zabezpečení založené na virtualizaci, které chrání procesy jádra operačního systému před neoprávněnými manipulacemi, avšak ochrana paměti je ve výchozím nastavení vypnuta pro uživatele, kteří aktualizují.
Co je jádrová izolace?
V původním vydání systému Windows 10 byly funkce virtualizace založené na zabezpečení (VBS) k dispozici pouze v podnikových verzích systému Windows 10 jako součást nástroje Device Guard. S aktualizací z dubna 2018 přináší Core Isolation některé funkce zabezpečení založené na virtualizaci všem vydání Windows 10.
Některé funkce izolace jádra jsou ve výchozím nastavení povoleny na počítačích Windows 10, které splňují určité požadavky na hardware a firmware, včetně 64bitového CPU a čipu TPM 2.0. Vyžaduje také, aby váš počítač podporoval virtualizační technologii Intel VT-x nebo AMD-V a že je aktivován v nastavení UEFI počítače.
Když jsou tyto funkce povoleny, systém Windows používá funkce virtualizace hardwaru k vytvoření zabezpečené oblasti systémové paměti, která je izolována od normálního operačního systému. Systém Windows může spustit systémové procesy a bezpečnostní software v této zabezpečené oblasti. Tímto způsobem chráníte důležité procesy operačního systému před tím,.
Dokonce i v případě, že běží malware na vašem počítači a zná exploit, který by měl umožňovat crackovat tyto procesy systému Windows, je virtualizace založená na zabezpečení další vrstvou ochrany, která je izoluje od útoku.
Co je paměť Integrity?
Funkce známá jako "paměťová integrita" v rozhraní Windows 10 je také známá jako "Hypervisor Protected Code Integrity" (HVCI) v dokumentaci společnosti Microsoft.
Integrita paměti je ve výchozím nastavení zakázána na počítačích, které byly aktualizovány na aktualizaci v dubnu 2018, ale můžete je povolit. Ve výchozím nastavení bude povolena nová instalace systému Windows 10 vpřed.
Tato vlastnost je podmnožinou základní izolace. Systém Windows normálně vyžaduje digitální podpisy pro ovladače zařízení a jiný kód, který běží v režimu jádra v nižší úrovni systému Windows. To zajistí, že nebyly poškozeny malware. Pokud je zapnutá funkce "Integrita paměti", služba "Integrity kódu" ve Windows běží uvnitř kontejneru chráněného hypervisorem, který byl vytvořen Core Izolací. To by mělo způsobit, že je téměř nemožné, aby malware manipuloval s kontrolami integrity kódu a získal přístup k jádru systému Windows.
Problémy s virtuálními počítači
Vzhledem k tomu, že Integrita paměti používá virtualizační hardware systému, je nekompatibilní s programy virtuálních počítačů, jako je VirtualBox nebo VMware. Pouze jedna aplikace může používat tento hardware najednou.
Může se zobrazit zpráva, že Intel VT-X nebo AMD-V není povolena nebo je k dispozici, pokud nainstalujete program virtuálního počítače do systému s povolenou pamětí Integrity. V modulu VirtualBox se může zobrazit chybová zpráva "Raw-mode není k dispozici s laskavým svolením Hyper-V", pokud je povolena ochrana paměti.
Ať tak či onak, pokud narazíte na problém s vaším softwarem virtuálního počítače, musíte jej zakázat.
Proč je zakázáno výchozí?
Hlavní funkce izolace jádra by neměla způsobovat žádné problémy. Je povolen na všech počítačích se systémem Windows 10, které jej mohou podporovat, a neexistuje rozhraní pro jeho zakázání.
Zabezpečení paměti Integrity však může způsobit problémy s některými ovladači zařízení nebo jinými aplikacemi s nízkou úrovní Windows, a proto je ve výchozím nastavení zakázáno při upgraduch. Společnost Microsoft stále vyzývá vývojáře a výrobců zařízení k tomu, aby jejich ovladače a software byly kompatibilní, a proto je ve výchozím nastavení povoleno na nových počítačích a nových instalacích systému Windows 10.
Pokud je některý z ovladačů, které vyžaduje počítač pro spouštění, nekompatibilní s ochranou paměti, systém Windows 10 mlčky vypne ochranu paměti, aby se zajistilo správné zavedení a správné fungování počítače. Takže pokud se pokusíte povolit a restartovat pouze, aby se zjistilo, že je stále potřeba, to je důvod.
Pokud po zapnutí funkce Ochrana paměti narazíte na problémy s jinými zařízeními nebo chybným softwarem, společnost Microsoft doporučuje prověřovat aktualizace pomocí konkrétní aplikace nebo ovladače. Pokud nejsou k dispozici žádné aktualizace, vypněte ochranu paměti.
Jak jsme uvedli výše, paměť Integrity bude také nekompatibilní s některými aplikacemi, které vyžadují exkluzivní přístup k virtualizačnímu systému systému, jako jsou programy virtuálních strojů. Jiné nástroje, včetně některých debuggerů, vyžadují také exkluzivní přístup k tomuto hardwaru a nebudou pracovat s povolenou pamětí Integrity.
Jak povolit integritu paměti izolace jádra
Můžete zjistit, zda je v počítači povoleno funkce Core Isolation a zapnout nebo vypnout ochranu paměti v aplikaci Windows Defender Security Center. (Tento nástroj bude v rámci aktualizace v říjnu 2018 přejmenován na "Zabezpečení systému Windows").
Chcete-li jej otevřít, vyhledejte v nabídce Start nabídku "Centrum zabezpečení Windows Defender" nebo přejděte do části Nastavení> Aktualizace a zabezpečení> Zabezpečení systému Windows> Spusťte Centrum zabezpečení aplikace Windows Defender.
Klikněte na ikonu "Zabezpečení zařízení" v centru zabezpečení.
Je-li zapnuta izolace jádra v hardware počítače, zobrazí se zde zpráva "Zabezpečení založené na virtualizaci, které chrání základní součásti vašeho zařízení".
Chcete-li povolit (nebo zakázat) ochranu paměti, klikněte na odkaz "Podrobnosti o izolaci jádra".
Tato obrazovka zobrazuje, zda je zapnutá integrita paměti nebo ne. To je zatím jediná možnost.
Chcete-li zapnout funkci Integrita paměti, přepněte přepínač do polohy "Zapnuto". Pokud se setkáte s problémy s aplikací nebo zařízením a je nutné vypnout funkci Integrita paměti, vraťte se a přepněte přepínač do polohy "Vypnuto".
Budete vyzváni k restartování počítače a změna se projeví až poté, co máte.
Další funkce služby Windows Defender Exploit Guard
Core Isolation a Integrity paměti jsou některé z mnoha nových bezpečnostních funkcí, které společnost Microsoft přidala jako součást programu Windows Defender Exploit Guard. Jedná se o sadu funkcí určených k zabezpečení systému Windows proti útokům.
Ochrana před zneužitím, která chrání váš operační systém a aplikace z mnoha typů zneužití, je ve výchozím nastavení povolena. Toto nahrazuje starý nástroj EMET společnosti Microsoft a obsahuje funkce proti zneužití, které předtím doporučujeme nainstalovat program Malware Anti-Exploit. Všichni uživatelé systému Windows 10 nyní využívají ochranu.
K dispozici je také přístup k řízené složce, který chrání vaše soubory před ransomware. Ve výchozím nastavení není povolena, protože vyžaduje nějakou konfiguraci. Pokud povolíte tuto funkci, budete muset povolit přístup k aplikacím dříve, než budou mít přístup k souborům ve vašich osobních složkách.
Pokračovat vpřed, Integrita paměti bude ve výchozím nastavení povolena na všech nových počítačích a poskytne další ochranu před útoky. Pouze pokročilí uživatelé, kteří používají software virtuálního počítače a další nástroje, které vyžadují přístup k virtualizačnímu systému systému, je budou muset zakázat.