Atmiņas integritātes konfigurēšana operētājsistēmā Windows: pilnīga tehniskā rokasgrāmata

  • Atmiņas integritāte ir VBS sastāvdaļa, kas pastiprina kodola koda integritāti, izolējot to hipervizora aizsargātā vidē.
  • Tās aktivizēšana ir atkarīga no aparatūras, programmaparatūras un draiveru prasībām, un to var pārvaldīt, izmantojot grafisko saskarni, reģistru, lietotņu kontroli vai MDM rīkus.
  • Windows piedāvā vairākus validācijas un diagnostikas mehānismus (Win32_DeviceGuard, msinfo32, SkTool, koda integritātes notikumus), lai pārbaudītu VBS un HVCI faktisko statusu.
  • Šo funkciju var izmantot gan fiziskā aparatūrā, gan Hyper-V virtuālajās mašīnās, ņemot vērā īpašus saderības un veiktspējas apsvērumus.
Joaquin Romero

18 Minutos

Atmiņas integritāte operētājsistēmā Windows

Ja esi ticis tik tālu, jo nevari sadzīvot ar Windows atmiņas integritāteSekojiet līdzi jaunumiem, jo ​​mēs padziļināti aplūkosim šo funkciju. Jūs uzzināsiet, kas tā īsti ir, kā tā ir saistīta ar kodola izolāciju un VBS, kā to iespējot mājas datorā, biznesa vidē (Intune, politikas, reģistrs, PowerShell…), kādas aparatūras prasības tai ir nepieciešamas un ko darīt, ja Windows absolūti atsakās to iespējot.

Mērķis ir, lai jūs pabeigtu šo rokasgrāmatu, zinot Kā konfigurēt atmiņas integritāti sistēmā Windows Jūs viegli uzzināsiet, kuri ziņojumi un parametri jāpārbauda, ​​lai pārliecinātos, ka viss darbojas pareizi, un kā diagnosticēt tipiskas kļūdas, kas rodas gan fiziskajos datoros, gan Hyper-V virtuālajās mašīnās. Mēs rīkosimies soli pa solim, taču ar pietiekamu tehnisko informāciju, lai no tā varētu gūt labumu gan pieredzējuši lietotāji, gan sistēmu administratori.

Kas ir atmiņas integritāte un kā tā iederas VBS?

Zvans atmiņas integritāte (Atmiņas integritāte jeb HVCI, hipervizora nodrošināta koda integritāte) ir galvenā Windows virtualizācijas drošības sastāvdaļa, kas pazīstama kā VBS (virtualizācijas drošība)Ideja ir vienkārša, bet ļoti spēcīga: Windows izveido izolētu virtuālo vidi, izmantojot hipervizoru, pieņemot, ka parastais kodols varētu tikt apdraudēts, un šajā aizsargātajā vidē veic kritiskas koda integritātes pārbaudes.

Pateicoties tam, sistēma var validēt kodu, kas darbojas kodola režīmā No drošāka konteksta atdaliet slepenos datus un sensitīvās darbības no pārējās operētājsistēmas un nostipriniet apdraudējumu modeli pret uzlabotu ļaunprogrammatūru, piemēram, rootkit vai ekspluatācijas ievainojamībām, kas tieši uzbrūk Windows kodolam.

Kad atmiņas integritāte ir darbspējīga, sistēma agresīvi ierobežo kodola atmiņas piešķiršanuKoda lapas tiek atzīmētas kā izpildāmas tikai pēc integritātes pārbaužu izturēšanas šajā drošajā vidē, un turklāt izpildāmās lapas nevar pārrakstīt. Citiem vārdiem sakot, tas ārkārtīgi apgrūtina... koda injekcija vai kritisko kodola struktūru modifikācija.

Svarīgākā aparatūras pārbaudes saraksts pirms jaunināšanas uz Windows 11
saistīto rakstu:
Svarīgākā aparatūras pārbaudes saraksts pirms jaunināšanas uz Windows 11

Atmiņas integritātes specifiskās funkcijas

Lai gan tas šķiet vienkāršs pārslēgšanās no grafiskā interfeisa, atmiņas integritāte īsteno vairākus pamatā esošos mehānismus. ļoti specifiskas aizsardzības virs kodolaStarp svarīgākajiem ir divi:

  • Kodola režīma vadības plūsmas aizsarga (CFG) bitkartes aizsardzībaTas neļauj ļaunprātīgam kodam manipulēt ar struktūrām, ko CFG izmanto kontrolleru izpildes plūsmas validēšanai, tādējādi aizverot daudzas iespējas izmantot ievainojamības, kas novirza nevēlamus funkciju izsaukumus.
  • Koda integritātes procesa aizsardzība kodola režīmāPārbaudes, kas apliecina kodola draivera uzticamību un pareizu parakstīšanu, tiek izpildītas VBS vidē, lai nevar manipulēt no paša kodola vispārpieņemtais.

Rezumējot, šī funkcija padara klasiskā kodola koda integritāti daudz robustāku, jo Tas pārvieto to uz kontekstu, ko izolē hipervizors. ka ļaunprogrammatūru ir daudz grūtāk uzbrukt.

Kur Windows saskarnē ir konfigurēta atmiņas integritāte?

Lietotāju datoros vistiešākā piekļuve atmiņas integritātei ir caur lietojumprogrammu Windows drošībaTas ietilpst sadaļā par serdes izolāciju vai kodola izolācija, kas apkopo visu, kas saistīts ar VBS atbalstītajām kodola aizsardzības iespējām.

Lai to aktivizētu no pašas saskarnes, parasti jāveic šāda darbība: ir labi zināt pat ja vēlāk vēlaties lietot konfigurāciju pēc politikas vai reģistra:

  • Atvērt Windows drošība (vairoga ikona sistēmas teknē vai meklējot to izvēlnē Sākt).
  • Ievadiet Ierīces drošība, kur redzēsiet bloku Kodola izolācija.
  • Noklikšķiniet uz Serdes izolācijas detaļas, kur parādās opcija Atmiņas integritāte blakus slēdzim.
  • Ieslēdziet slēdzi. Jūs varat redzēt šādus ziņojumus: “Atmiņas integritāte ir atspējota. Ierīce var būt neaizsargāta."pirms opcijas aktivizēšanas.
  • Restartējiet datoru, kad Windows aicina lietot izmaiņas.

Šajā pašā ekrānā pēc noklusējuma bieži var aktivizēt sekojošo: Microsoft bloķēto neaizsargāto draiveru sarakstsTas neļauj ielādēt noteiktus draiverus ar zināmām kļūdām, kad ir aktīva atmiņas integritāte. Tā ir svarīga funkcija, jo stiprina autovadītāju uzticības ķēdi.

Saistība starp kodola izolāciju un atmiņas integritāti

Atmiņas integritāte operētājsistēmā Windows

Drošības lietojumprogrammas ietvaros serdes izolācija Tas ietver vairākas funkcijas. Visredzamākā un svarīgākā lielākajai daļai lietotāju ir tieši atmiņas integritāte. Aktivizējot šo opciju, jūs faktiski darāt sekojošo: Iespējot HCCI VBS vidē no jūsu ierīces.

Kodola izolācija rada virtualizēta vide noteiktām jutīgām sistēmas daļāmAtmiņas integritāte balstās uz šo izolāciju, lai pārbaudītu un kontrolētu kodola kodu. Tādā veidā, pat ja tiek izmantota lietojumprogramma ar paaugstinātām privilēģijām, uzbrucējam ir daudz grūtāk modificēt kodolu vai tā iekšējās struktūras.

Tomēr tās nav visas priekšrocības: šī izolācija un papildu pārbaudes var ietvert zināma ietekme uz sniegumuīpaši spēlēs vai lietotnēs, kas ir ļoti jutīgas pret latentumu. Daži lietotāji ziņo par FPS kritumiem vai pat zili ekrānšāviņi pēc funkcijas aktivizēšanas. Šādos gadījumos, ja tiek apstiprināts, ka problēmas avots ir HVCI, ir iespējams īslaicīgi atspējot kodola izolāciju kamēr tiek atjaunināti draiveri un programmaparatūra vai tiek labotas nesaderības.

Kad Windows pēc noklusējuma ir iespējota atmiņas integritāte?

Mūsdienu Windows versijās Microsoft daudzos jaunos datoros pēc noklusējuma parasti iespējo atmiņas integritāti. Konkrēti, Windows 11 pēc noklusējuma iespējo atmiņas integritāti tīrās instalācijās uz saderīgas aparatūras, lietotājam neko nepieskaroties. Tas pats attiecas uz iekārtām, kas tiek uzskatītas par aizsargāts kodols vecās tīrās Windows 10 instalācijas S režīmā.

Ja ierīce neatbilst minimālajām prasībām, funkcija netiks aktivizēta automātiski, bet gan Lietotājs vai administrators to var ieslēgt manuāli. no Windows drošības saskarnes, no politikas vai modificējot reģistru. Jebkurā gadījumā Microsoft uzstāj, ka IT speciālistiem un lietotājiem ir jāuztur pilnīga kontrole pār to, vai šī aizsardzība ir aktīva vai nē.

Aparatūras prasības atmiņas integritātes automātiskai iespējošanai

Lai sistēma automātiski iespējotu atmiņas integritāti bez lietotāja iejaukšanās, ir jāievēro diezgan specifisks aparatūras un programmaparatūras prasību kopums. Tas ir svarīgi, jo Tas izskaidro, kāpēc dažas ierīces nesaņem automātisku aktivizēšanu. lai gan viņi var izmantot šo funkciju pēc izvēles.

Līmenī procesorsVispārīgās vadlīnijas ir šādas:

  • 8. paaudzes Intel vai jaunāks operētājsistēmas Windows 11 versijai 22H2 (un 11. paaudzes Core procesoriem operētājsistēmā Windows 11 21H2).
  • AMD ar Zen 2 arhitektūru vai jaunākuTas ir, relatīvi nesenās paaudzes.
  • Qualcomm Snapdragon 8180 vai jaunāks ARM ierīcēs.

Turklāt aprīkojumam ir jābūt vismaz 8 GB RAM x64 platformās sistēmas vienība, kuras tips ir 64 GB vai lielāks SSD un ka BIOS/UEFI ir iespējotas šādas opcijas: aparatūras virtualizācijas opcijas.

Vēl viena būtiska prasība ir tāda, ka kontrolleri, kas ir saderīgi ar atmiņas integritātiJa kāds svarīgs draiveris neatbalsta HVCI vai ir zināms, ka tas ar to konfliktē, sistēma var izvēlēties automātiski neieslēgt VBS un atmiņas integritāti, lai izvairītos no nopietnām sāknēšanas problēmām. Tāpēc ir tik svarīgi vienmēr pārbaudīt draiveru saderību ar vecākām aparatūras sistēmām.

Atmiņas integritātes kontrole, izmantojot reģistrāciju (profesionālā un OEM vidē)

Korporatīvajā vidē ir ļoti izplatīta atmiņas integritātes kontrole, izmantojot Reģistra atslēgasvai nu tieši sistēmas attēlā, vai izmantojot pārvaldības rīkus, piemēram, Intune, skriptus vai GPO. Atslēgas atzars ir HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard un jo īpaši apakškoks Scenāriji\HypervisorEnforcedCodeIntegrity.

Lai iespējotu uz virtualizāciju balstītu drošību un atmiņas integritāti ar ieteicamā konfigurācija (bez UEFI bloķēšanas, lai to varētu mainīt), tiek izmantoti šādi ieraksti:

  • Iespējot VirtualizationBasedSecurity DeviceGuard, ar vērtību 1, lai aktivizētu VBS.
  • RequirePlatformSecurityFeatures ar tādām vērtībām kā 1 (tikai droša sāknēšana) vai 3 (droša sāknēšana + DMA aizsardzība).
  • Slēgts DeviceGuard un HypervisorEnforcedCodeIntegrity, lai izlemtu, vai bloķēt konfigurāciju, izmantojot UEFI programmaparatūru (0 bez bloķēšanas, 1 bloķēšana).
  • Enabled sadaļā Scenarios\HypervisorEnforcedCodeIntegrity, lai īpaši ieslēgtu vai izslēgtu atmiņas integritāti.
  • saistošs DeviceGuard ar vērtību 1, ja vēlaties, lai sistēma Nepabeidziet sāknēšanas procesu, ja VBS vai tā kritiskie komponenti neizdodas..

Iekārtu ražotājiem vai administratoriem, kas sagatavo attēlus, ir viens īpaši svarīgs iestatījums: vērtību iestatīšana HVCI ceļā. Iespējots=1, WasEnabledBy=1 y Iespējotā sāknēšanas ID=Tas nodrošina atmiņas integritāti. starts iespējots un vienlaikus, ka pati sistēma to var automātiski atspējot, ja pirmajās restartēšanas reizēs tā konstatē sāknēšanas bloķējumus draiveru nesaderības dēļ.

BootId ir skaitītājs, kas tiek palielināts katrā veiksmīgā palaišanas reizē un atrodas atslēgā. HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters\BootIdHVCI automātiskās deaktivizācijas loģika darbojas tikai tad, ja BootId ir mazāks nekā EnabledBootId + 3Tas nodrošina sava veida drošības tīklu, lai novērstu iekārtas nelietojamību vadītāja konflikta dēļ.

Mainīt atmiņas integritātes grafiskā interfeisa darbību

Vēl viena interesanta atslēga administratoriem ir WasEnabledBy HVCI apakškokā. Tas kalpo, lai kontrolētu, kā opcija tiek attēlota Windows drošības lietotnē un kas ir "atbildīgs" par tās aktivizēšanu.

Ja vērtība tiek noņemta WasEnabledBySaskarne parāda ziņojumu “Šo iestatījumu pārvalda jūsu administrators” un atspējo lietotāja kontroli, kas ir noderīgi, ja vēlaties ļoti stingra un nerediģējama korporatīvā politikaJa tas ir iestatīts uz noteiktu vērtību (piemēram, 2), saskarne atgriežas normālā darbībā, un lietotājs var atkārtoti iesniegt izmaiņas no lietojumprogrammas.

Iespējojiet atmiņas integritāti, izmantojot lietotņu vadību uzņēmumiem

Organizācijās, kas jau izmanto Lietojumprogrammu kontrole (lietotņu kontrole uzņēmumiem)Atmiņas integritāti var nodrošināt, integrējot to pašā lietojumprogrammu kontroles politikā. To var izdarīt vairākos veidos, un visi tie ir paredzēti, lai izmantotu esošo centralizēto pārvaldību.

Starp visizplatītākajām iespējām ir:

  • Izmantojiet Lietojumprogrammu vadības palīgs lai izveidotu vai rediģētu politiku un atzīmētu izvēles rūtiņu Koda integritāti aizsargā hipervizors politikas noteikumu sadaļā.
  • Palaidiet PowerShell cmdlet Set-HVCIOptions, kas ļauj detalizētāk pielāgot HVCI opcijas, izmantojot skriptus vai automatizācijas rīkus.
  • Tieši modificējiet Lietotņu kontroles politikas XML pielāgojot elementa vērtību <HVCIOptions>, ļoti noderīgi, pārvaldot komandas fermu ar vienu politikas veidni.

Tas ļauj izlemt, vai iespējot vai atspējot atmiņas integritāti. ceļot ar pašu lietojumprogrammu vadības direktīvu, saglabājot visu koda drošības modeli vienuviet un izvairoties no izkliedētām konfigurācijām.

Pārbaudiet VBS statusu un atmiņas integritāti

Kad funkcija ir aktivizēta, ir svarīgi droši pārbaudīt, vai VBS un HCCI darbojas.Windows piedāvā vairākus mehānismus, lai to validētu, gan no komandrindas, gan ar grafiskiem rīkiem.

Kā izvairīties no krāpniecības, pērkot lētus cietos diskus
saistīto rakstu:
Kā izvairīties no krāpniecības, pērkot lētu atmiņu un cietos diskus

Win32_DeviceGuard un PowerShell WMI klase

Operētājsistēmās Windows 10, Windows 11 un Windows Server 2016 vai jaunākās versijās ir WMI klase Win32_DeviceGuardkas atklāj vairākas ar VBS un atmiņas integritāti saistītas īpašības. No PowerShell konsoles ar administratora privilēģijām varat to vaicāt, izmantojot:

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

Izvade cita starpā parāda, tādi lauki kā:

  • Instances identifikators y versija, kas identificē klases instanci un versiju (pašlaik 1.0).
  • Pieejamās drošības īpašības, vērtību masīvs, kas norāda, kuras drošības funkcijas ierīce atbalsta (hipervizora saderība, droša sāknēšana, DMA aizsardzība, droša atmiņas pārrakstīšana, NX aizsardzība, SMM mazināšana, MBEC/GMET, APIC virtualizācija…).
  • Nepieciešamās drošības īpašības, kas norāda, kuri drošības rekvizīti ir būtiski VBS aktivizēšanai (piemēram, nepieciešamība pēc Hyper-V, drošas sāknēšanas, IOMMU utt.).
  • Koda integritātes politikas ieviešanas statuss y Lietotāja režīmsKodsIntegritātePolitikas ieviešanaStatusskas norāda, vai koda integritātes politikas ir atspējotas, atrodas audita režīmā vai piespiedu režīmā.
  • Drošības pakalpojumi konfigurēti y Drošības pakalpojumi darbojaskur var redzēt, ja Akreditācijas datu aizsardzība, atmiņas integritāte vai citi VBS pakalpojumi ir konfigurēti un vai tie patiešām darbojas?
  • Virtualizācijas drošības statuss, kas tiek izmantota, lai noskaidrotu, vai VBS nav iespējots, ir iespējots, bet nav palaists, vai ir tieši iespējots un darbojas.
  • Virtuālās mašīnas izolācija y Virtuālās mašīnas izolācijas īpašības, kas ziņo par MV izolāciju, izmantojot tādas vērtības kā AMD SEV-SNP, Intel TDX vai pašu virtualizācijas drošību.

Šo īpašību interpretācija ļauj jums diagnosticēt, kāpēc VBS neieslēdzas (ja trūkst aparatūras funkcijas, ja ir konfigurācijas problēma, ja tā ir tikai iespējota, bet nedarbojas utt.) un ja atmiņas integritāte ir audita režīmā vai stingrās izpildes režīmā.

Izmantojot msinfo32.exe un citas pārbaudes

Vēl viens ātrs un diezgan vizuāls veids, kā pārbaudīt VBS statusu, ir palaist msinfo32.exeAtverot to ar paaugstinātām atļaujām sadaļā Sistēmas pārskats Apakšā parādās bloks ar uz virtualizāciju balstītas drošības funkcijas un darbojas pakalpojumi.

Varat arī pārbaudīt gaistošu reģistra atslēgu, kas atspoguļo HVCI statusu, proti HKLM\System\CurrentControlSet\Control\CI\State, kur vērtība HVCI iespējots Norāda, vai atmiņas integritāte pēc sāknēšanas faktiski ir aktīva.

No lietotāja viedokļa vissteidzamākā pārbaude joprojām ir atvēršana Windows drošība > Ierīces drošība un paskaties uz virsrakstu Virtualizācijas balstītu drošības pakalpojumu ieviešana un atmiņas integritātes slēdzī kodola izolācijas detaļās.

Biežāk sastopamo atmiņas integritātes problēmu novēršana

Ne visiem ir tāda pieredze, ka ierīce ir gatava lietošanai. Diezgan bieži var redzēt bēdīgi slaveno ziņojumu... "Atmiņas integritāti nevar aktivizēt" Vai arī Intune pārvaldītās vidēs konfigurācija var parādīt kļūdas statusu bez papildu paskaidrojuma. Šādos gadījumos ir noderīgi, ja ir pieejams neliels diagnostikas pārbaužu un metožu arsenāls.

Manuālas aktivizēšanas kļūdas mājas datoros

Ja Windows drošības programmā iespējojat atmiņas integritāti un sistēma to atsakās, parasti aiz tā ir kaut kas slēpjas. viens no šiem faktoriem:

  • Novecojuši vai nesaderīgi draiveriīpaši USB ierīces, vecākas grafikas kartes vai neparastas perifērijas ierīces.
  • Pretvīrusu vai drošības programmatūra no trešajām personām, kas ir pretrunā ar HVCI darbību un tās pārbaudēm.
  • Aparatūras saderības problēmas (Centrālprocesoram trūkst nepieciešamo funkciju, BIOS bez virtualizācijas, SLAT, IOMMU vai drošas sāknēšanas trūkums noteiktos gadījumos).
  • Gaidāmie Windows atjauninājumikas neļauj pabeigt VBS un atmiņas integritātes izvietošanu, kamēr nav instalēti noteikti ielāpi.

Daži ceļveži iesaka ekstremālus risinājumus, piemēram, pārinstalējiet logus no nulles vai veikt rūpnīcas datu atiestatīšanu, taču pirms šī punkta sasniegšanas ir vērts izmēģināt daudz mazāk invazīvas iespējas: noņemt problemātiskos draiverus, atjaunināt visus draiverus (īpaši USB un mikroshēmojumu), veikt skenēt ar sistēmas failu pārbaudītāju (sfc /scannow) un pilnu ļaunprogrammatūras skenēšanu, izmantojot Windows Security.

Gadījumos, kad šķiet, ka funkciju ir bloķējis "administrators", ir vēl viens risinājums pārskatīt un modificēt reģistrunodrošinot, ka vērtība Enabled HVCI ceļš ir iestatīts uz 1, un nav aktīvu grupas politiku, kas noteiktu pretējo. Tomēr visas izmaiņas reģistrā ir jāveic ar administratora tiesībām un pēc dublējuma izveides, jo Kļūda var padarīt sistēmu nestabilu..

Aktivizācijas kļūme, izmantojot Intune vai citus MDM rīkus

Intune pārvaldītās izvietošanās reizēs kodola izolācijas vai atmiņas integritātes politika ir samērā bieži redzama kā kļūda lielā daļā ierīču, savukārt manuāla aktivizēšana no lokālās saskarnes darbojas.

Kad tas notiek, un Ne IME.log, ne notikumu skatītājā nav skaidru ierakstu.Ieteicams pārbaudīt:

  • Ka ierīce patiesi nodrošina. aparatūras un programmaparatūras prasības, tostarp BIOS iespējotu virtualizāciju, drošo sāknēšanu, ja to pieprasa politika, un atjauninātus draiverus.
  • Ka nav citas iepriekšējas direktīvas vai konfigurācijas, kas tas bija pretrunā ar Intune politiku HCCI, īpaši, ja ir pārbaudīti iestatījumi ar un bez UEFI bloķēšanas.
  • Ka Intune aģents faktiski saņem direktīvu, vēlreiz pārbaudot IME.log meklē pieminējumus par DeviceGuard vai HVCI, pat ja netiek parādīta tieša kļūda.
  • Ja kļūda rodas tikai noteiktos modeļos, pārbaudiet to ar VBS saderības diagnostikas rīkiem (piemēram, SkTool vai ieraksti par setupact.log) ja tie ir atklāti VBS_COMPAT_ISSUES betons.

Dažreiz Windows pašas sāknēšanas aizsardzības loģika nosaka Neaktivizēt HCCI automātiski, izmantojot politiku Ja iepriekšējās startēšanas reizēs ir konstatētas avārijas vai piespiedu restartēšanas, kas norāda uz nesaderīgu draiveri, pat ja lietotājs to var manuāli iespējot bez acīmredzamām problēmām, pārskatiet saistītās atslēgas. Iespējotās palaišanas ID un ziņojumi ar SYSPRP HVCI Setupact.log pārbaude palīdz noskaidrot, vai kaut kas tamlīdzīgs ir noticis.

SkTool un žurnālu izmantošana VBS un atmiņas integritātes atkļūdošanai

Windows SDK ietver mazpazīstamu, bet ļoti noderīgu utilītu papildu atbalstam un administrēšanai, ko sauc par SkToolTas atrodas SDK mapē “bin”, līdzīgā ceļā kā C:\Program Files (x86)\Windows Kits\10\bin\10.0.26100.0\<arquitectura>kur arhitektūra būs x64, arm64 utt.

Skriešana sktool.exe Bez parametriem tiek parādīts hipervizora un VBS pašreizējais stāvoklis, pat norādot iemesls, kāpēc VBS ir sākusies vai nav sākusiesSlēdži, piemēram, /statuss, /lkey o /mazināšanas Tie ļauj jums padziļināti iedziļināties atslēgu nodrošināšanas, droša kodola risku mazināšanas un citu virtualizācijas balstītas drošības aspektu detaļās.

No otras puses, lai pārbaudītu, vai atmiņas integritāte izpildlaikā bloķē kontrollerus, varat skatīt notikumu žurnālu. Lietojumprogrammu un pakalpojumu žurnāli\Microsoft\Windows\CodeIntegrity\OperationalNotikumi ar Notikuma ID 3087 Tie parasti ir saistīti ar HVCI saderības problēmām ar noteiktiem draiveriem un ir galvenais pavediens izpratnei. kura sastāvdaļa ir jāatjaunina vai jānomaina.

Ja vēlaties pārskatīt, kā sistēmas sagatavošanas laikā tika pieņemts lēmums par HVCI iespējošanu vai atspējošanu pēc noklusējuma, sadaļā setupact.log Varat meklēt tādas virknes kā HCCI: HCCI iespējošana o Operētājsistēma neatbilst HVCI automātiskās iespējošanas prasībāmZiņojumi, kas ietver VBS_COMPAT_ISSUES 0xXXXXXXXXX Tajos, izmantojot heksadecimālu vērtību, ir uzskaitītas dažādas konstatētās saderības problēmas (piemēram, neatbalstīta arhitektūra, SLAT trūkums, ACPI WSMT tabulas neesamība, trūkstošs SSD, nepietiekams RAM apjoms utt.).

Sistēmas atjaunošana, ja atmiņas integritāte rada nestabilitāti

Ja pēc atmiņas integritātes aktivizēšanas sistēma Tas neieslēdzas pareizi, sasalst startēšanas laikā vai kļūst nestabilsIeteicamā rīcība ir izmantot Windows atkopšanas vidi (Windows RE), lai atsauktu izmaiņas.

El vispārējā procedūra sastāv no:

  • Uz laiku atspējojiet jebkuru grupas politika vai MDM politika kas piespiež VBS vai HVCI.
  • Ieslēdziet skarto aprīkojumu Windows REizmantojot uzlabotas atkopšanas iespējas.
  • Atveriet konsoli ar privilēģijām un modificēt HVCI iespējoto atslēgu reģistrā, iestatot to uz 0 DeviceGuard zarā, lai atspējotu atmiņas integritāti.
  • Restartējiet ierīci un pārbaudiet, vai sistēma atkal startējas normāli.

Šī pieeja ļauj atjaunot datorus, kas ir iestrēguši sāknēšanas kļūdas ciklā, bez nepieciešamības pilnībā pārinstalēt operētājsistēmu vai zaudēt datus, un tā ir īpaši noderīga ražošanas vidēs, kur Dīkstāve ir kritiski svarīga.

Atmiņas integritāte Hyper-V virtuālajās mašīnās

Atmiņas integritāte nav raksturīga tikai fiziskām iekārtām: tā var būt arī iespējot Hyper-V virtuālajās mašīnāsViesu sistēmas aizsardzība tāpat kā fiziska resursdatora aizsardzība. Virtuālajā mašīnā konfigurācijas darbības ir praktiski vienādas: VBS un HVCI iespējošana, izmantojot politikas, reģistru vai Windows drošības saskarni.

Tomēr ir svarīgi skaidri saprast aizsardzības perimetru: atmiņas integritāti. Tas aizsargā pret ļaunprātīgu programmatūru, kas darbojas virtuālajā mašīnā.Tomēr tas nenodrošina nekādu papildu aizsardzību pret resursdatora administratoru vai uzbrukumiem pašam hipervizoram.

No Hyper-V resursdatora jūs varat atspējot virtuālās mašīnas iekļaušanu virtualizācijas drošības shēmā, izmantojot cmdlet:

Set-VMSecurity -VMName <NombreMV> -VirtualizationBasedSecurityOptOut $true

Lai tas viss darbotos pareizi, ir jāņem vērā vairākas prasības.:

  • Hyper-V resursdatoram ir jādarbojas Windows Server 2016 vai Windows 10 1607 vai jaunāka versija.
  • Virtuālajai mašīnai jābūt 2. paaudze un palaidiet operētājsistēmu Windows Server 2016 vai Windows 10 vai jaunāku versiju.
  • Atmiņas integritāti atbalsta ligzdota virtualizācijaTomēr vispirms ir jāinstalē Hyper-V loma virtuālajā mašīnā vidē, kas ir sagatavota ligzdotai virtualizācijai.
  • L virtuālie šķiedru kanālu adapteri Tie nav saderīgi ar atmiņas integritāti; pirms to pievienošanas virtuālajai mašīnai (VM), šī virtuālā mašīna ir jāizslēdz no VBS, izmantojot Set-VMSecurity.
  • Iespēja AllowFullSCSICommandSet Caurlaides diski arī netiek atbalstīti, ja ir iespējota HVCI; atkal ir jāatsakās no VBS virtuālās mašīnas, pirms izmantojat šo konfigurāciju.

Ja šis nosacījumu kopums ir pienācīgi izpildīts, ir iespējams izvietot laboratorijas un ražošanas scenāriji ar VBS un atmiņas integritāti virtuālajās mašīnās, kas atvieglo politiku un konfigurāciju testēšanu, tieši neapdraudot resursdatoru.

Windows atmiņas integritāte ir kļuvusi par mūsdienu drošības modeļa centrālais elements operētājsistēmas: izmanto virtualizāciju, lai izolētu kritiskus koda integritātes lēmumus, nostiprina kodolu pret progresīviem uzbrukumiem, integrē tā pārvaldību ar lietotņu kontroli, ierīču politikām un tādiem rīkiem kā Intune, un ļauj detalizēta diagnostika izmantojot WMI, msinfo32, SkTool un īpašus reģistrus.

Pastāvīgā atmiņas krātuve (PMEM)
saistīto rakstu:
Pastāvīgā atmiņas krātuve (PMEM): kas tā ir un kam tā tiek izmantota

Zinot tā aparatūras prasības, reģistra atslēgas un rezerves kopēšanas mehānismus, to ir iespējams kontrolēti izvietot gan personālajos datoros, gan lielās korporatīvajās vidēs, pilnībā izmantojot tā potenciālu, nezaudējot no redzesloka. līdzsvars starp drošību, saderību un veiktspēju. Dalieties ar šo informāciju, lai vairāk cilvēku varētu uzzināt par šo tēmu.