Изоляция ядра и Целостность памяти в Защитнике Windows 10

За последние несколько лет, кибер-атаки изменились. Хакеры теперь могут захватить ваш компьютер и заблокировать файлы, если вы не готовы заплатить им деньги. Эти типы атак называются Ransomware, и они используют эксплойты уровня ядра, которые пытаются запустить вредоносное ПО с наивысшими привилегиями, например WannaCry и Petya ransomware. Чтобы смягчить эти типы атак, Microsoft развернула функцию, позволяющую включить Изоляция Ядра и Целостность памяти для предотвращения таких атак.

Изоляция ядра — обеспечивает дополнительную защиту от вредоносных программ и других атак, изолируя процессы компьютера от операционной системы и устройства.

Целостность памяти — функция изоляции ядра может запретить вредоносному коду доступ к процессам с высоким уровнем безопасности в случае атаки.

Центр защиты Windows Defender предлагает теперь такую функцию функцию — Безопасность устройства. Предоставляет отчеты о состоянии и управление функциями безопасности, встроенными в ваши устройства, включая включение функций для обеспечения повышенной защиты. Однако он не работает на программном уровне; аппаратное обеспечение должно также поддерживать его. Ваша прошивка должна поддерживать технологию виртуализации, которая позволяет ПК с Windows 10 запускать приложения в контейнере, чтобы они не получали доступ к другим частям системы.

Включить Изоляцию ядра и Целостность памяти в Защитнике

Важно: Параметры доступные в настройке безопасности устройства зависят от конфигурации вашего оборудования. В моем случае, стандартная аппаратная безопасность не поддерживается, поэтому ОС использует защиту на основе виртуализации. Я включил в БИОСе функцию «Безопасная загрузка» и появилась возможность активировать функцию изоляцию ядра.

Ваше устройство отвечает требованиям стандартной аппаратной безопасности

Это означает, что ваше устройство поддерживает целостность памяти и изоляцию ядра, а также имеет:

• TPM 2.0 (также называемый процессором безопасности)
• Безопасная загрузка включена
• DEP
• UEFI

Ваше устройство отвечает требованиям расширенной аппаратной безопасности

• Это означает, что в дополнение к всем требованиям стандартной аппаратной безопасности ваше устройство также имеет встроенную память.

Стандартная аппаратная безопасность не поддерживается

• Это означает, что ваше устройство не отвечает хотя бы одному из требований стандартной аппаратной безопасности.

• Войдите в систему как администратор и откройте Центр защиты Windows Defender и найдите параметр «Безопасность устройства».

• Далее нажмите на слово «сведения об изоляции ядра» и в графе «Целостность памяти» перетащите ползунок в режим Вкл. После включения он попросит вас перезагрузить компьютер, чтобы полностью включить целостность памяти. Если позже вы столкнетесь с проблемами совместимости приложений, вам может потребоваться отключить это.

Тем не менее, есть еще два варианта, которые могут быть доступны в зависимости от оборудования вашего ПК.

1. Процессор безопасности отображается только в том случае, если у вас есть TPM , доступный для вашего ПК. Это дискретные чипы, припаянные к материнской плате компьютера OEM. Чтобы получить максимальную отдачу от TPM, OEM должен тщательно интегрировать системное оборудование и прошивку с TPM для отправки команд и реагирования на его ответы. Новые TPM могут также обеспечить преимущества безопасности и конфиденциальности для самого системного оборудования. Поэтому не забудьте проверить все это, если вы покупаете новый компьютер.
2. Безопасная загрузка (Secure Boot) предотвращает загрузку вредоносного кода перед вашей ОС.

Если вы включили ползунок и вам выдает ошибку «Не удается обеспечить целостность памяти. Возможно несовместимость«, то включите в БИОСе функцию Secure Boot он же Boot Mode, одним словом, Вам нужно включить «Безопасную загрузку в БИОС».

Отключить Целостность памяти и Изоляцию ядра в Защитнике

Решил немного подредактировать статью. Дело в том, что функция ядра включается, но назад выключить невозможно. Я как то решил установить игру PointBlank и она мне выдавала ошибку 1073. Искал проблему около часа, пока не вспомнил, что включена изоляция ядра и Frost не может получить доступ. Тут у меня возник вопрос, какого черта «фогейм» должна иметь доступ к моему ядру? Удалил вообщем игру и занес для себя 4game в черный список на вечность. Вообщем, при включенной функции «изоляция ядра» в защитнике windows 10, не будет запускаться ни одна игра от 4game.ru (фогейм). Если она включена, то разберем, как отключить целостность памяти.

1 Способ. Если у вас в БИОСе включена функция Secure Boot, то зайдите в БИОС и отключите ее. Разных версий БИОС, UEFI много, я не буду описывать как это делать, но дам совет; просто наберите слово в поиске «отключить Безопасную загрузку в БИОС (можете еще указать производителя материнской платы)» и нажмите картинки, и по картинкам ориентируетесь. Когда отключите эту функцию в БИОСе, перейдите в защитник windows 10 и ползунок станет активным, что позволить выключить изоляцию ядра и целостность памяти.

2 Способ. Следующий метод заключается в редактировании параметра в реестре. Откройте редактор реестра и перейдите по следующему пути:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity

• Справа нажмите два раза мышкой на параметры Enabled и установите значение 0. Перезагрузите компьютер, откройте windows defender и ползунок станет активным, далее отключите целостность памяти и изоляцию ядра.

How to Enable/Disable Core Isolation Memory Integrity in Windows 10

In Windows 10 version 1803, Windows Defender Security Center introduces a number of enhancements, including a new Device Security section that provides reporting and management tools for the security features supported on your computer, and Kernel Isolation is one of those tools.

Core Isolation is a virtualization-based security feature that provides an additional layer of security against sophisticated attacks. And memory integrity is a feature that is part of Core Isolation that helps prevent attempts to inject and execute malware in high-security processes by making pages of core memory executable only if they pass the integrity check.

In this Windows 10 guide, we walk you through the steps to enable the core isolation memory integrity feature, which is included in the Windows 10 April 2018 update, to help make your computer more secure.

What is Core Isolation in Windows 10?

When Windows 10 was released, Virtualization-Based Security (VBS) features were only available in the enterprise versions of the operating system. However, when Microsoft released the April 2018 update, the DDPS security features were made available for all editions of Windows 10.

To learn how to enable kernel isolation, your PC must first meet the hardware and firmware requirements. As long as you have a 64-bit processor and a TPM 2.0 chip, some of the basic isolation features of your Windows 10 computer are automatically enabled. Remember that your PC must support Intel VT-x or AMD-V virtualization technology. They must also be enabled in your computer’s UEFI settings.

Once enabled, these features allow Windows to create a secure system memory area that is isolated from the normal operating system. In this secure area, the system can run security software and system processes and protect them from tampering.

What is Memory Integrity in Windows 10?

Also known as Hypervisor Protected Code Integrity (HVCI), memory integrity works as a subset of kernel isolation. By default, it is disabled on computers that have the April 2018 update installed. However, it is automatically enabled on new installations of Windows 10.

April 2021 Update:

We now recommend using this tool for your error. Additionally, this tool fixes common computer errors, protects you against file loss, malware, hardware failures and optimizes your PC for maximum performance. You can fix your PC problems quickly and prevent others from happening with this software:

• Step 1 : Download PC Repair & Optimizer Tool (Windows 10, 8, 7, XP, Vista – Microsoft Gold Certified).
• Step 2 : Click “Start Scan” to find Windows registry issues that could be causing PC problems.
• Step 3 : Click “Repair All” to fix all issues.

Windows requires digital signatures for device drivers and other code that runs in low-level kernel mode. This ensures that they have not been tampered with by malicious software. Once you enable memory integrity, the Code Integrity Service in Windows runs the hypervisor-protected container that is processed by the kernel isolation. This makes it virtually impossible for malware to penetrate the code integrity checks. It also means that it could not access the Windows kernel.

How to Enable Core Isolation Memory Integrity

You can see if kernel isolation is enabled on your PC, and you can enable or disable memory protection in the Windows Defender Security Center application (this tool will be renamed “Windows Security” in the October 2018 update).

1. To open it, search for “Windows Defender Security Center” in your Start menu or go to Settings > Update and Security > Windows Security > Open Windows Defender Security Center.
2. In the Security Center, click the Device Security icon.
3. If kernel isolation is enabled on your PC hardware, you will see the message “Virtualization-based security is running to protect essential parts of your device”.
4. To enable (or disable) memory protection, click the “Core Isolation Details” link.
5. To enable memory integrity, set the switch to “On”. If you are having application or device problems and need to disable memory integrity, return here and set the switch to “Off”.
6. You will be prompted to restart your computer and the change will not take effect until you do so.

Conclusion

That’s all I’m saying. That’s how easy it is to enable the Kernel Isolation and Memory Integrity feature in Windows. If you wish to disable the feature, simply set the switch in step 5 to the “Off” position.

Remember that because of the memory integrity function, some applications, especially older ones, may behave incorrectly or not work properly. If this is the case, disable the memory integrity function.

CCNA, Web Developer, PC Troubleshooter

I am a computer enthusiast and a practicing IT Professional. I have years of experience behind me in computer programming, hardware troubleshooting and repair. I specialise in Web Development and Database Design. I also have a CCNA certification for Network Design and Troubleshooting.

Что такое «Core Isolation» и «Integrity Memory» в Windows 10?

Обновление Апреля 2018 года Windows 10 обеспечивает всем пользователям функции защиты «Core Isolation» и «Memory Integrity». Они используют защиту на основе виртуализации для защиты ваших основных процессов операционной системы от несанкционированного доступа, но защита по умолчанию отключена для людей, которые обновляют.

Что такое изоляция ядра?

В первоначальном выпуске Windows 10 функции безопасности на основе виртуализации (VBS) были доступны только в корпоративных версиях Windows 10 в составе «Device Guard». С обновлением в апреле 2018 года Core Isolation предоставляет некоторые функции безопасности на основе виртуализации для всех выпуски Windows 10.

Некоторые функции Core Isolation включены по умолчанию на ПК с Windows 10, которые соответствуют определенным требованиям к оборудованию и прошивке, включая 64-битный процессор и чип TPM 2.0. Это также требует, чтобы ваш ПК поддерживал технологию виртуализации Intel VT-x или AMD-V и что он включен в настройках UEFI вашего ПК.

Когда эти функции включены, Windows использует функции аппаратной виртуализации для создания защищенной области системной памяти, изолированной от обычной операционной системы. Windows может запускать системные процессы и программное обеспечение для обеспечения безопасности в этой безопасной зоне. Это защищает важные процессы операционной системы от несанкционированного доступа к чему-либо, находящемуся за пределами безопасной зоны.

Даже если вредоносная программа работает на вашем ПК и знает эксплойт, который должен позволить взломать эти процессы Windows, защита на основе виртуализации является дополнительным уровнем защиты, который изолирует их от атак.

Что такое целостность памяти?

Функция, известная как «Целостность памяти» в интерфейсе Windows 10, также известна как «Защищенная целостность кода Hypervisor» (HVCI) в документации Microsoft.

Целостность памяти по умолчанию отключена на компьютерах, обновленных до обновления апреля 2018 года, но вы можете включить их. Он будет включен по умолчанию для новых установок Windows 10 в будущем.

Эта функция является подмножеством Core Isolation. Для Windows обычно требуются цифровые подписи для драйверов устройств и другого кода, который работает в режиме ядра Windows низкого уровня. Это гарантирует, что они не пострадали от вредоносного ПО. Когда «Целостность памяти» включена, «служба целостности кода» в Windows запускается внутри контейнера, защищенного гипервизором, созданного Core Isolation. Это должно сделать почти невозможным, чтобы вредоносное ПО пыталось вмешаться в проверку целостности кода и получить доступ к ядру Windows.

Проблемы с виртуальной машиной

Поскольку Integrity Memory использует аппаратное обеспечение виртуализации системы, оно несовместимо с программами виртуальной машины, такими как VirtualBox или VMware. Только одно приложение может использовать это оборудование за раз.

Вы можете увидеть сообщение о том, что Intel VT-X или AMD-V не включены или недоступны, если вы устанавливаете программу виртуальной машины в системе с включенной целостностью памяти. В VirtualBox вы можете увидеть сообщение об ошибке «Необработанный режим недоступен Hyper-V», в то время как функция защиты памяти включена.

В любом случае, если у вас возникла проблема с программным обеспечением вашей виртуальной машины, вы должны отключить Integrity Memory, чтобы использовать его.

Почему это отключено по умолчанию?

Основная функция Core Isolation не должна вызывать никаких проблем. Он включен на всех ПК с Windows 10, которые могут его поддерживать, и нет интерфейса для его отключения.

Тем не менее, защита целостности памяти может вызвать проблемы с некоторыми драйверами устройств или другими низкоуровневыми приложениями Windows, поэтому она по умолчанию отключена при обновлении. Microsoft по-прежнему подталкивает разработчиков и производителей устройств к совместимости своих драйверов и программного обеспечения, поэтому по умолчанию она включена на новых компьютерах и новых установках Windows 10.

Если один из драйверов, который требуется вашему компьютеру для загрузки, несовместим с Memory Protection, Windows 10 отключит защиту памяти, чтобы ваш компьютер мог загрузиться и работать правильно. Итак, если вы попробуете включить его и перезагрузитесь, только чтобы найти его по-прежнему отключенным, вот почему.

Если после включения защиты памяти возникают проблемы с другими устройствами или сбойным программным обеспечением, корпорация Майкрософт рекомендует проверять обновления с помощью конкретного приложения или драйвера. Если обновлений нет, отключите функцию защиты памяти.

Как мы уже упоминали выше, Memory Integrity также будет несовместима с некоторыми приложениями, которые требуют эксклюзивного доступа к аппаратным средствам виртуализации системы, таким как программы виртуальной машины. Другие инструменты, включая некоторые отладчики, также требуют эксклюзивного доступа к этому оборудованию и не будут работать с включенной целостностью памяти.

Как включить целостность памяти изоляции ядра

Вы можете увидеть, включен ли на вашем ПК функции изоляции ядра и включить или отключить защиту памяти от приложения Windows Defender Security Center. (Этот инструмент будет переименован в «Безопасность Windows» в рамках обновления октября 2018 года.)

Чтобы открыть его, найдите «Центр защиты Windows Defender» в меню «Пуск» или откройте «Настройки»> «Обновление и безопасность»> «Безопасность Windows»> «Открыть Центр защиты Windows Defender».

Нажмите значок «Безопасность устройства» в Центре безопасности.

Если функция Core Isolation включена на вашем ПК, вы увидите здесь сообщение «Безопасность на основе виртуализации для защиты основных частей вашего устройства».

Чтобы включить (или отключить) защиту памяти, щелкните ссылку «Основная информация о изоляции».

На этом экране отображается, включена ли функция памяти Integrity. На данный момент это единственный вариант.

Чтобы включить целостность памяти, переведите переключатель в положение «Вкл.». Если вы столкнулись с проблемами приложений или устройств и вам необходимо отключить целостность памяти, вернитесь сюда и переверните переключатель в положение «Выкл.».

Вам будет предложено перезагрузить компьютер, и изменение вступит в силу только после его завершения.

Дополнительные функции защиты от защиты Windows Defender

Core Isolation и Integrity Memory — это некоторые из многих новых функций безопасности, которые Microsoft добавила как часть Защитника Windows Defender Exploit Guard. Это набор функций, предназначенных для защиты Windows от атак.

Защита от вторжений, которая защищает вашу операционную систему и приложения от многих типов эксплойтов, включена по умолчанию. Это заменяет старый инструмент EMET от Microsoft и включает в себя функции анти-эксплойт, которые мы ранее рекомендовали для установки Malware Anti-Exploit для. Все пользователи Windows 10 теперь имеют защиту от использования.

Также имеется доступ к контролируемым папкам, который защищает ваши файлы от ransomware. Он не включен по умолчанию, потому что он требует некоторой настройки. Если вы включите эту функцию, вам придется разрешить доступ к приложениям, прежде чем они смогут обращаться к файлам в ваших личных папках.

Идем дальше, Memory Integrity будет включен по умолчанию на всех новых ПК, обеспечивая дополнительную защиту от атак. Только продвинутые пользователи, которые используют программное обеспечение виртуальной машины и другие инструменты, требующие доступа к аппаратной виртуализации системы, должны будут отключить его.