Konfigurācija Kodola izolācija un atmiņas integritāte operētājsistēmā Windows Tas ir kļuvis par galveno jautājumu ikvienam, kas meklē uzlabotu datora drošību, īpaši vidēs, kur ļaunprātīga programmatūra un sistēmas uzbrukumi ir ikdienišķa parādība. Lai gan sākotnēji tā var šķist kā "slēpta" funkcija starp papildu iestatījumiem, tai patiesībā ir būtiska loma operētājsistēmas kodola aizsardzībā.
Turpmākajās rindās jūs atradīsiet ļoti pilnīgu rokasgrāmatu, kas izskaidro Kas īsti ir kodola izolācija?Kā darbojas virtualizācijas atmiņas integritāte (VBS), kādas ir tās prasības un ierobežojumi, kā to iespējot vai atspējot no grafiskā interfeisa vai izmantojot reģistru, PowerShell vai politikas, un kāda ir tās reālā ietekme uz datora veiktspēju un saderību.
Kas ir kodola izolācija operētājsistēmā Windows un kam tā tiek izmantota?
Zvans Kodola izolācija Tā ir uzlabota drošības funkcija, kas iebūvēta operētājsistēmās Windows 10, Windows 11 un Windows Server un kuras pamatā ir uz virtualizāciju balstīta drošība (VBS)Tās mērķis ir darbināt noteiktus kritiskus operētājsistēmas komponentus vidē, kas ir izolēta no pārējiem procesiem, ievērojami samazinot uzbrukuma virsmu pret ļaunprogrammatūru un ievainojamībām, kas mēģina apdraudēt kodolu.
Kad iespējojat kodola izolāciju, sistēma izveido aizsargāta virtuālā vide Izmantojot Windows hipervizoru, šī izolētā vide nodrošina augstas drošības funkcijas, kas neļauj ļaunprātīgam kodam, kas tiek izpildīts parastajā sistēmā, viegli mijiedarboties ar kodolu vai manipulēt ar kritiskām atmiņas struktūrām. Šī loģiskā atdalīšana darbojas kā papildu barjera starp sistēmu un jebko, kas nāk no ārpuses, neatkarīgi no tā, vai tas ir inficēts pielikums, apšaubāmas izcelsmes programma vai bojāts draiveris.
Iedomājieties, ka atverat e-pasts ar ļaunprātīgu pielikumuBez šīs izolācijas ļaunprātīga izmantošana varētu izmantot sistēmas ievainojamības, lai paplašinātu privilēģijas un sasniegtu kodolu. Ja ir iespējota kodola izolācija, liela daļa kritiskās loģikas ir aizsargāta šajā virtualizētajā vidē, ievērojami ierobežojot ļaunprogrammatūras darbības spēju pat tad, ja tai izdodas izpildīties ar paaugstinātām privilēģijām sistēmas neizolētajā daļā.
Kas ir atmiņas integritāte un kāda ir tās loma VBS?
Core Isolation ietvaros zvaigžņu elements ir tā sauktais Atmiņas integritāte, kas pazīstams arī kā HVCI (hipervizora nodrošināta koda integritāte). Šī funkcionalitāte pārvieto koda integritātes pārbaudi no kodola režīma uz drošu VBS vidi, lai hipervizors darbotos kā uzticamības sakne un nodrošinātu, ka kodolā tiek ielādēts tikai parakstīts un likumīgs kods.
Ar aktīvās atmiņas integritāti sistēma ierobežo kodola atmiņas piešķiršanu Tos varētu izmantot koda injekcijas uzbrukumiem vai drošības mehānismu atspējošanai. Tā kā integritātes validācija tiek veikta izolētā vidē, uzbrucējam, kuram izdodas apdraudēt tradicionālo kodolu, ir daudz grūtāk atspējot šos aizsardzības mehānismus, jo pats verifikācijas process nav viņu sasniedzams.
Starp svarīgākajām iekšējām funkcijām atmiņas integritāte ir atbildīga par Aizsargājiet vadības plūsmas aizsarga (CFG) bitkarti Piemērojot šos pasākumus kodola režīma draiveriem, tie arī stiprina koda integritātes procesu, kas apstiprina, ka citiem privileģētiem procesiem ir derīgi sertifikāti. Šie pasākumi ievērojami ierobežo mēģinājumus novirzīt izpildes plūsmas uz ļaunprātīgu kodu vai ielādēt kodolā neuzticamus bināros failus.
Serdes izolācijas prasības un saderība
Lai gan Windows pēc noklusējuma integrē šīs funkcijas, Ne visas ierīces ir saderīgas vai arī tie ir iespējoti pēc noklusējuma. Lai kodola izolācija un atmiņas integritāte darbotos pareizi, aparatūrai un programmaparatūrai ir jāatbilst vairākiem nosacījumiem: aparatūras virtualizācijas atbalstam (Intel VT-x, AMD-V), drošai sāknēšanai, noteiktiem centrālā procesora paplašinājumiem, piemēram, MBEC/GMET, un serveru vai virtualizācijas vidē papildu virtuālās mašīnas izolācijas iespējām.
Daudzos gadījumos šīs iespējas ir atkarīgas arī no BIOS/UEFI iestatījumiJa virtualizācija vai drošā sāknēšana ir atspējota programmaparatūras līmenī, VBS nevarēs startēt un kodola izolācijas funkcijas nebūs pieejamas pat tad, ja tās iespējosiet sistēmā Windows. Turklāt daži vecāki vai slikti uzturēti draiveri var būt nesaderīgi ar šīm tehnoloģijām, radot kļūdas. Zilie ekrāni, piemēram, kļūda IRQL_NOT_LESS_OR_EQUAL vai tieši novēršot atmiņas integritātes aktivizēšanu.
Kā iespējot vai atspējot kodola izolāciju no Windows drošības?
Vienkāršākais un vislabāk orientētais veids mājas vai biroja lietotājiem ir pārvaldīt kodola izolāciju no pašas ierīces. Windows drošības lietojumprogramma, kur lielākā daļa sistēmas drošības iestatījumu ir sagrupēti vienā panelī.
Lai pārskatītu un modificētu šīs opcijas, operētājsistēmās Windows 10 un Windows 11 varat veikt līdzīgu darbību secību: atveriet lietotni Windows drošība, izmantojot vairoga ikonu sistēmas teknē vai meklēšanu, un pēc tam dodieties uz Ierīces drošība un jūs atrodat bloku Kodola izolācijaŠajā ekrānā parasti parādās ziņojums, kas norāda, vai atmiņas integritāte ir iespējota vai nē, kā arī brīdinājums par iespējamu ievainojamību, ja tā paliek atspējota.
Iekšpusē Serdes izolācijas detaļas Jūs atradīsiet slēdzi atmiņas integritātes ieslēgšanai vai izslēgšanai, kā arī opciju ar nosaukumu Microsoft bloķēto neaizsargāto draiveru sarakstsTas novērš tādu draiveru ielādi, kuriem ir zināmi nopietni trūkumi. Kad esat iespējojis atmiņas integritāti, sistēma liks jums restartēt datoru, lai piemērotu izmaiņas, un pēc restartēšanas blakus kodola izolācijas sadaļai vajadzētu redzēt zaļu apstiprinājuma ikonu.
Jā, kad to ieslēdzat, tie parādās veiktspējas problēmas, FPS kritums spēlēs Vai pat ja rodas zili ekrāni, vienmēr varat atgriezties tajā pašā panelī un izslēgt slēdzi. Windows ļauj mainīt šo iestatījumu tik reižu, cik vēlaties, kas ir ērti, ja, piemēram, vēlaties to aktivizēt tikai noteiktos laikos (piemēram, ja izmantojat nezināmus USB diskus vai instalējat programmatūru no apšaubāmiem avotiem).
Ietekme uz veiktspēju un kad to aktivizēt vai nē
Ir svarīgi saprast, ka kodola izolācija un jo īpaši atmiņas integritāte Šīs funkcijas veiktspējas ziņā nav bezmaksas.Katrs papildu drošības slānis nozīmē vairāk pārbaužu, vairāk koda validācijas un vairāk darba centrālajam procesoram, lai pārbaudītu, kas darbojas sistēmā. Jaudīgos datoros tas var būt tik tikko pamanāms, bet mazāk jaudīgās ierīcēs vai spēlējot prasīgas spēles, var būt novērojams kadru ātruma kritums vai mazāk vienmērīga reakcija.
Daudzi lietotāji ir ziņojuši, ka, pēc kodola izolācijas aktivizēšanasSpēles un grafikas lietojumprogrammas darbojas nedaudz sliktāk, un to atspējošana atjauno to iepriekšējo darbību. Dažos konkrētos gadījumos tās pat ir saskārušās ar kritiskas kļūdas, piemēram, BSOD Critical_Process_Died mēģinot to aktivizēt, it īpaši, ja bija veci vai slikti izstrādāti draiveri, kas nedarbojās labi ar šīm aizsardzības funkcijām.
Tāpēc ir lietderīgi ņemt vērā lietošanas kontekstu. Ja datoru galvenokārt izmantojat spēļu un augstas veiktspējas uzdevumu veikšanai Relatīvi kontrolētā vidē ar labiem drošības ieradumiem (aizdomīgu izpildāmo failu nelejupielādēšana, aizdomīgu vietņu izvairīšanās, Windows Defender atjaunināšana), iespējams, vēlēsities atspējot kodola izolāciju, lai maksimāli izmantotu aparatūru. Tomēr, ja daudz pārlūkojat tīmekli, bieži atverat pielikumus, pievienojat trešo pušu ārējās ierīces vai dators tiek koplietots bibliotēkās, birojos vai izglītības iestādēs, ir ļoti ieteicams nedaudz samazināt veiktspēju apmaiņā pret ievērojami lielāku drošību.
Atmiņas integritāte un aparatūras izolācija: kā sistēma aizsargā
Apspriežot šo funkciju, bieži tiek minēts arī tas, ka atdala augstas drošības procesus no pārējiem sistēmas, izveidojot virtuālu barjeru starp to, ko mēs varētu uzskatīt par primāro aparatūru (mātesplati, centrālo procesoru, grafisko karti, operatīvo atmiņu un galveno atmiņu), un perifērijas aparatūru (USB ierīces, printerus, ārējos diskus utt.). Ideja ir tāda, ka jebkura mijiedarbība ar kritiski svarīgām sastāvdaļām iziet cauri stingrākiem filtriem.
Šī aizsardzība neaizstāj Windows Defender tas neaizstāj citus tradicionālos ļaunprogrammatūras apkarošanas risinājumus, bet gan tos papildina. Antivīruss joprojām ir atbildīgs par failu skenēšanu, ļaunprogrammatūras modeļu noteikšanu un zināmu draudu bloķēšanu, savukārt kodola izolācija uzrauga uzbrukumu vektorus, kas vērsti pret pašu kodolu un visjutīgākajām atmiņas struktūrām. Parasti ieteicams vienmēr ieslēgt Windows Defender un, pēc izvēles, pievienot būtiska drošības programmatūra atkarībā no konkrētajām vajadzībām.
Kā soli pa solim iespējot kodola izolāciju operētājsistēmā Windows 11?
Operētājsistēmā Windows 11 šīs funkcijas iespējošana ir diezgan vienkārša un neprasa reģistra rediģēšanu, ja vēlaties vienkāršāku pieeju. Būtībā tas ietver piekļuvi sistēmas iestatījumiem, navigāciju drošības sadaļā un Windows drošības paneļa atrašanu, lai iespējotu kodola izolāciju un atmiņas integritāti.
Tipisks maršruts ietver atvēršanu Konfigurējot Windows (piemēram, izmantojot Win + I), dodieties uz Privātums un drošība, Ieiet Windows drošība un pieskarieties pogai, kas atver lietojumprogrammu. Tur, sānu izvēlnē, varat izvēlēties Ierīces drošībaJūs atrodat kodola izolācijas bloku, piekļūstat informācijai un aktivizējat vadību. Atmiņas integritāte Ja tā ir izslēgta. Pēc loga aizvēršanas un sistēmas restartēšanas funkcija ir iespējota; vispārīgus padomus par to, kā to izdarīt, skatiet Uzlabojiet drošību operētājsistēmā Windows 11 Jūs varat pārskatīt papildu rokasgrāmatas.
Šo pašu procesu var atkārtot tik reižu, cik vēlaties. Dažos gadījumos var būt noderīgi to ieslēgt tikai nepieciešamības gadījumā, piemēram, kad Jūs gatavojaties pievienot USB disku no kāda cita.Tas ir īpaši svarīgi, strādājot ar nezināmas izcelsmes ārējiem diskdziņiem vai ja datoru koplietojat ar vairākiem lietotājiem. Lai gan tas nav drošs aizsargs, tas samazina iespēju, ka ļaunprogrammatūra izmanto draivera ievainojamību, lai iekļūtu kodola līmenī.
Aktivizēšana operētājsistēmā Windows 10 un līdzības ar Windows 11
Windows 10 ietver arī kodola izolāciju un atmiņas integritāti. Aktivizēšanas veids ir ļoti līdzīgs Tas ir līdzīgi kā operētājsistēmā Windows 11, ar nelielām atšķirībām dažu izvēļņu nosaukumos. Atkal process ietver iestatījumu paneļa, drošības sadaļas un Windows drošības lietotnes atvēršanu.
Šajā gadījumā atveriet iestatījumus un dodieties uz Atjaunināšana un drošība, Izvēlies tu Windows drošība un tad kategorija Ierīces drošībaTur jūs atradīsiet sadaļu “Kodola izolācija” un detalizētajā sadaļā slēdzi, lai ieslēgtu vai izslēgtu atmiņas integritāti. Šo iestatījumu var mainīt jebkurā laikā, kas ir noderīgi, ja jūs mijāties starp intensīvas interneta pārlūkošanas un spēļu sesijām, kurās vēlaties izspiest no savas sistēmas katru pēdējo FPS.
Iespējot atmiņas integritāti un VBS no komandrindas (reģistra)
Korporatīvajām vidēm vai pieredzējušiem lietotājiem, kuri vēlas automatizēt VBS konfigurāciju un atmiņas integritāti, Windows reģistram ir diezgan detalizēta kontroleIzmantojot komandrindas rīku REG, varat pievienot un modificēt nepieciešamās atslēgas, lai startēšanas laikā iespējotu hipervizora un virtualizācijas aizsardzības; pirms tam ieteicams izveidot reģistra dublējumkopijas.
Tipiska konfigurācija ietver uz drošību balstītas virtualizācijas iespējošanu, noteiktu platformas funkciju pieprasīšanu, hipervizora nodrošinātas koda integritātes aktivizēšanu un UEFI bloķēšanas pielāgošanu. Tas tiek darīts, modificējot ierakstus zem atslēgas. HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard un tās apakšatslēga Scenāriji\HypervisorEnforcedCodeIntegrity, pielāgojot tādas vērtības kā EnableVirtualizationBasedSecurity, RequirePlatformSecurityFeatures, Locked, Enabled vai Mandatory, visas REG_DWORD formātā ar skaitliskām vērtībām, kas nosaka darbību.
Piemēram, varat iestatīt VBS bez atmiņas integritātes, vienkārši iespējojot Iespējot VirtualizationBasedSecurityvai apvienojiet to ar atslēgu RequirePlatformSecurityFeatures lai pieprasītu drošu sāknēšanu (vērtība 1) vai drošu sāknēšanu ar DMA aizsardzību (vērtība 3). Parametrs Slēgts ļauj definēt, vai tiek lietota UEFI bloķēšana, un opciju saistošs Tas izraisa sistēmas palaišanas pārtraukšanu, ja hipervizors, drošais kodols vai kāds no tā atkarīgajiem moduļiem netiek pareizi ielādēts.
HypervisorEnforcedCodeIntegrity apakškokā vērtība Enabled Tas tieši kontrolē, vai atmiņas integritāte ir iespējota, kamēr atslēga Slēgts Tajā pašā scenārijā tā izlemj, vai bloķēt to ar UEFI. Turklāt ir vērtība ar nosaukumu WasEnabledBy kas tiek izmantots, lai kontrolētu, kā lietotājam tiek attēlots grafiskais interfeiss: ja tas tiek noņemts, lietotāja interfeisā tiek parādīts ziņojums "Šo iestatījumu pārvalda jūsu administrators", un slēdzis tiek parādīts kā atspējots; ja tas ir iestatīts uz noteiktu vērtību, interfeiss atkal darbojas normāli.
Pārvaldība, izmantojot lietotņu vadību uzņēmumiem un PowerShell
Uzņēmumu izvietojumos, kur drošības politikas ir centralizētas, Lietotņu kontrole uzņēmumiem (agrāk Windows Defender lietojumprogrammu vadība) piedāvā vēl vienu veidu, kā strukturētāk iespējot atmiņas integritāti. Tās iestatīšanas vednis ļauj izveidot vai rediģēt lietojumprogrammu vadības politiku un atlasīt opciju, lai Koda integritāti aizsargā hipervizors politikas noteikumu lapā.
Papildus grafiskajam interfeisam ir iespējams izmantot arī PowerShell cmdlet. Set-HVCIOptions, kas īpaši izstrādāts HVCI opciju pielāgošanai vai lietotņu vadības direktīvas XML tiešai rediģēšanai, modificējot elementa vērtību lai aktivizētu vēlamās aizsardzības. Šīs pieejas ir īpaši noderīgas, ja vēlaties lietot vienu un to pašu konfigurāciju daudzām ierīcēm, nemainot tās atsevišķi, un tās var papildināt ar Drošības politikas, izmantojot secpol.msc pārvaldītās vidēs.
Pārbaudiet, vai ir iespējota VBS un atmiņas integritāte
Lai precīzi pārbaudītu, vai uz drošību balstīta virtualizācija un atmiņas integritāte Viņi patiesībā ir aktīvi un skrienWindows nodrošina vairākus rīkus, kas paredzēti administratoriem un pieredzējušiem lietotājiem, tostarp īpašu WMI klasi un klasisko msinfo32.
WMI klase Win32_DeviceGuardPiekļūstams no PowerShell ar paaugstinātām privilēģijām, izmantojot komandu Get-CimInstance un nosaukumtelpu root\Microsoft\Windows\DeviceGuard, tas atgriež daudzus laukus, kas saistīti ar VBS un HVCI drošības īpašībām. Tie ietver:
Unikālais identifikators Instances identifikators un versija klases, kas pašlaik parasti ir 1.0, kā arī saraksta Pieejamās drošības īpašībaskas norāda, kādas aparatūras drošības funkcijas ir pieejamas ierīcē, piemēram, hipervizora atbalsts, droša sāknēšana, DMA aizsardzība, droša atmiņas pārrakstīšana, NX aizsardzība, SMM mazināšanas, MBEC/GMET vai APIC virtualizācija.
Lauks Nepieciešamās drošības īpašības norāda, kuri elementi ir nepieciešami, lai VBS tiktu iespējots šajā ierīcē (piemēram, nepieciešama droša sāknēšana vai DMA aizsardzība), savukārt Drošības pakalpojumi konfigurēti Tas parāda, vai ir konfigurēti tādi pakalpojumi kā Credential Guard, atmiņas integritāte, System Guard Secure Launch, SMM programmaparatūras mērīšana vai kodola režīma steka aizsardzība, tostarp vai pēdējais atrodas audita vai piespiedu lietojumprogrammas režīmā.
Saistībā ar iepriekš minēto, Drošības pakalpojumi darbojas Tas norāda, kuri pakalpojumi faktiski darbojas konkrētajā brīdī, nošķirot konfigurētos un darbojošos pakalpojumus. Citi svarīgi lauki ir: Koda integritātes politikas ieviešanas statuss, kas atklāj, vai sistēmas koda integritātes politika ir atspējota, atrodas audita režīmā vai piespiedu režīmā; Lietotāja režīmsKodsIntegritātePolitikas ieviešanaStatuss, kas piedāvā to pašu informāciju, bet koncentrējas uz lietotāja režīma kodu; un Virtualizācijas drošības statuss, kas precizē, vai VBS ir atspējots, vienkārši iespējots, bet neaktīvs, vai pilnībā iespējots un darbojas.
Visbeidzot, Virtuālās mašīnas izolācija y Virtuālās mašīnas izolācijas īpašības Tie norāda pieejamo virtuālās mašīnas izolācijas līmeni un atbalstītās tehnoloģijas, piemēram, AMD SEV-SNP, uz drošību balstītu virtualizāciju vai Intel TDX, kas ir būtiskas, ja vēlaties lietot šos aizsardzības līdzekļus virtualizētās vidēs.
Ja dodat priekšroku vizuālākai pieejai, varat palaist msinfo32.exe Ar paaugstinātām privilēģijām tiks atvērts logs Sistēmas informācija. Sistēmas kopsavilkuma sadaļas apakšdaļā ir bloks, kas veltīts VBS funkcijām un to stāvokļiem, kurā detalizēti norādīts, vai ir iespējota uz virtualizāciju balstīta drošība un kuri konkrētie komponenti ir aktīvi.
Aparatūras noteiktā steka aizsardzība un tās saistība ar atmiņas integritāti
Aizsardzības pasākumu saimē, kas saistīti ar kodola izolāciju, mēs atrodam aparatūras nodrošināta steka aizsardzība, funkcija, kuras pamatā ir mūsdienu centrālo procesoru (piemēram, Intel Control-Flow Enforcement Technology vai AMD Shadow Stack) specifiskas iespējas, kas paredzētas, lai novērstu ļaunprātīga koda manipulēšanu ar atgriešanas adresēm kodola režīma kaudzē, lai novirzītu izpildi uz ļaunprātīgām kravām.
Saderīgos procesoros centrālais procesors (CPU) uztur atgriešanas adrešu otrā kopija tikai lasāmā ēnu kaudzē, kas nav pieejama parastajiem draiveriem. Ja programma vai draiveris mēģina mainīt atgriešanas adresi galvenajā kaudzē, centrālais procesors nosaka neatbilstību, salīdzinot to ar atsauci, kas saglabāta ēnu kaudzē. Kad tas notiek, sistēma izraisa kritisku kļūdu (tipisku zilo ekrānu) un aptur izpildi, bloķējot mēģinājumu pārņemt izpildes plūsmu.
Ne visi kontrolieri ir saderīgi ar šo aizsardzību, jo Daži likumīgi autovadītāji maina atgriešanas adreses. neļaunprātīgiem mērķiem. Šī iemesla dēļ Microsoft ir sadarbojies ar vairākiem ražotājiem, lai nodrošinātu, ka to jaunākās versijas atbalsta aparatūras balstītu steka aizsardzību. Šo funkciju var iespējot vai atspējot, izmantojot slēdzi Windows drošības saskarnē, taču, lai tā darbotos, ir jābūt iespējotai atmiņas integritātei un ir nepieciešams centrālais procesors, kas ievieš iepriekš minētās tehnoloģijas.
Ja, mēģinot to aktivizēt, sistēma brīdina, ka pastāv nesaderīgs draiveris vai pakalpojumsIeteicams pārbaudīt atjauninājumus ierīces ražotāja vietnē vai attiecīgās lietojumprogrammas vietnē. Dažreiz problemātiskā komponente ir pakalpojums, kas saistīts ar draiveri, kas tiek ielādēts tikai programmas startēšanas laikā, tāpēc, ja vēlaties, lai steka aizsardzība paliktu iespējota, var būt nepieciešams atinstalēt šo programmatūru vai pilnībā atteikties no tās lietošanas.
Problēmu novēršana un atgriezeniskā saite kļūmju gadījumā
VBS, atmiņas integritātes vai steka aizsardzības iespējošana var ietekmēt dažas sistēmas. daži draiveri pārstāj ielādēt vai sistēma kļūst nestabilaLabākajā gadījumā pietiks vienkārši atjaunināt draiverus no ierīču pārvaldnieka vai ražotāja vietnes; nopietnākās situācijās startēšanas laikā var rasties kritiska kļūda.
Ja pēc šo funkciju iespējošanas sistēma neieslēdzas pareizi vai darbojas neregulāri, viena no iespējām ir izmantot Windows atkopšanas vide (Windows RE)Vispirms ieteicams atspējot visas politikas (piemēram, grupas politiku), kas tika izmantotas VBS un HVCI ieviešanai. Pēc tam startējiet skarto datoru sistēmā Windows RE, piesakieties sistēmā un no turienes varat mainīt atbilstošo reģistra atslēgu, lai atspējotu atmiņas integritāti, iestatot HypervisorEnforcedCodeIntegrity vērtību Enabled uz 0. Pēc restartēšanas sistēmai vajadzētu atkal startēties bez šīs aizsardzības, kas parasti atjauno stabilitāti, ja problēma bija saderības problēma. Ja problēma ir nopietna startēšanas kļūme, skatiet rokasgrāmatu [attiecīgajā sadaļā]. INACCESSIBLE_BOOT_DEVICE kļūda.
Vidēs, kur tas ir arī vēlams pārvaldīt vizuālos brīdinājumus Kad šie brīdinājumi parādās Windows drošībā (piemēram, dzeltenā izsaukuma zīmes ikona, kad atmiņas integritāte ir atspējota), lietas kļūst sarežģītas. Vienkārša reģistra pielāgošana ne vienmēr ir pietiekama, un bieži vien ir nepieciešams apvienot grupas politiku, Intune vai citus pārvaldības rīkus, lai paslēptu šos brīdinājumus, neapmeklējot katru datoru atsevišķi, lai aizvērtu ziņojumu lokālajā saskarnē — tam arī ir nepieciešamas administratora privilēģijas.
Atmiņas integritāte Hyper-V virtuālajās mašīnās
Atmiņas integritāte ne tikai aizsargā fiziskās sistēmas; to var izmantot arī virtuālās mašīnas, kas darbojas ar Hyper-Vkur tā darbojas ļoti līdzīgi tam, kā tā darbotos reālā datorā. Virtuālajā mašīnā šīs funkcijas iespējošanas darbības būtībā ir vienādas: jāaktivizē VBS, jāpārliecinās, ka var inicializēt atmiņas integritāti, un jāizpilda virtualizētās aparatūras prasības.
Ir svarīgi saprast, ka šī aizsardzība aizsargā viesa virtuālo mašīnu pret ļaunprogrammatūru kas darbojas tajā, bet nepievieno papildu drošību resursdatoram. No resursdatora sistēmas ir iespējams atspējot atmiņas integritāti konkrētai virtuālajai mašīnai, izmantojot Hyper-V pārvaldības komandas (piemēram, Set-VMSecurity ar VBS izslēgšanas opciju), lai administrators saglabātu kontroli pār to, kuri viesi izmanto šīs funkcijas un kuri ne.
Lai Hyper-V virtuālās mašīnas izmantotu atmiņas integritāti, resursdatoram ir jādarbojas vismaz Windows Server 2016 vai Windows 10 versija 1607un virtuālajām mašīnām ir jābūt 2. paaudzes ar modernu operētājsistēmu (Windows 10 vai Windows Server 2016 vai jaunāka versija). Ir iespējams arī apvienot atmiņas integritāti ar ligzdota virtualizācijaar nosacījumu, ka Hyper-V loma vispirms ir iespējota pašā virtuālajā mašīnā un ir izpildīti nepieciešamie nosacījumi.
Ir zināmi ierobežojumi, kas jāzina: dažas virtuālās ierīces, piemēram, virtuālie šķiedru kanālu adapteriŠie diski nav saderīgi ar atmiņas integritāti, tāpēc virtuālā mašīna ir jāizslēdz no VBS, pirms to pievienošanas, izmantojot Hyper-V drošības opcijas. Tas pats attiecas uz caurlaides diskiem, kas konfigurēti ar AllowFullSCSICommandSet, kuriem pirms to izmantošanas ir jāatspējo uz virtualizāciju balstītā drošība šai VM.
Alternatīvas, ja kodola izolācija nav iespējama
Komandās, kurās aparatūra neatbilst prasībāmJa draiveri rada pastāvīgus konfliktus vai veiktspējas ietekme ir pārāk liela, ir lietderīgi apsvērt alternatīvus risinājumus riskantu lietojumprogrammu palaišanai, neapdraudot galveno sistēmu. Starp visplašāk izmantotajām tehnoloģijām ir tādas kā dokers vai pilnīgu virtuālo mašīnu izmantošana.
Docker ļauj jums izveidot konteinera tipa izolētas vides kur lietojumprogrammas var palaist iekapsulētā veidā. Operētājsistēmā Windows to var izmantot, lai iestatītu sava veida atsevišķu "mini sistēmu", kurā testēt aizdomīgu programmatūru vai konkrētus pakalpojumus, zinot, ka, aizverot un izdzēšot konteineru, viss tā saturs pazūd bez pēdām resursdatorā. Sarežģītākām pārbaudēm vai ja nepieciešama pilnīga darbvirsma, klasiskā pieeja ir konfigurēt virtuālā mašīna ar Windows un tur palaist potenciāli bīstamas programmas; ja kaut kas noiet greizi vai tiek atklāta ļaunprogrammatūra, vienkārši iznīciniet virtuālo mašīnu un izveidojiet jaunu.
Lai gan šīs alternatīvas precīzi neatkārto kodola līmeņa atmiņas integritātes piedāvāto aizsardzības veidu, tās tomēr nodrošina praktisks izolācijas līmenis ļoti noderīgi, ja nav iespējams vai ieteicams aktivizēt kodola izolāciju pašā fiziskajā sistēmā.
Konfigurācija Kodola izolācija, atmiņas integritāte un saistītā aizsardzība operētājsistēmā Windows Tas piedāvā kvalitatīvu drošības lēcienu, taču tas rada papildu resursu patēriņu un galvassāpes ar nesaderīgiem draiveriem; padziļināta izpratne par to darbību, iespējošanu vai atspējošanu, validāciju ar Win32_DeviceGuard un msinfo32, kā arī alternatīvas, ja tās nav dzīvotspējīgas, ļauj pielāgot ideālo līdzsvaru starp veiktspēju un aizsardzību atbilstoši datora vai infrastruktūras faktiskajam lietojumam. Kopīgojiet ceļvedi, un vēl vairāk cilvēku uzzinās visu par kodola izolāciju un atmiņas integritāti operētājsistēmā Windows.