Kako omogućiti izolaciju kernela i integritet memorije u Windowsu 11

Ako koristite Windows 11, vjerovatno ste u nekom trenutku vidjeli opciju za izolacija jezgra i integritet memorije unutra Windows sigurnost Ipak, možda niste sasvim sigurni šta tačno radi ili da li biste ga uopšte trebali aktivirati. To nije neobično: to je jedna od onih moćnih sigurnosnih funkcija koje Microsoft uvodi posljednjih godina, ali koje su loše objašnjene i često su zakopane duboko u menijima.

Osim toga, možda ste naišli na tipičnu poruku da ne možete uključiti integritet memorije jer postoje nekompatibilni upravljački programiIli je možda prekidač neaktivan i ne znate odakle početi. Između BIOS-a, virtualizacije, VBS-a, drajvera, WMI-ja i ostalog žargona, lako se zbuniti. Ovdje ćemo sve to objasniti smireno, jednostavnim jezikom, kako biste znali šta je to, kako to aktivirati, šta učiniti kada daje greške i u kojim slučajevima se isplati uključiti ili isključiti.

Šta je izolacija kernela u Windowsu 11?

Izolacija jezgra je sloj sigurnosti koji iskorištava prednosti funkcije virtualizacije hardvera da bi se stvorilo zaštićeno područje unutar sistemske memorije. Ova vrsta "mjehurića" se koristi za pokretanje osjetljivih Windows procesa izolovano od ostatka operativnog sistema, drastično smanjujući mogućnost da zlonamjerni softver pristupi područjima kojima ne bi trebao.

U praksi, Windows koristi hipervizor (isti osnovni mehanizam koji koriste virtualne mašine) za kreiranje specijaliziranog virtualnog okruženja koje djeluje kao korijen povjerenjaSistem pretpostavlja da bi, u najgorem slučaju, kernel mogao biti kompromitovan, pa postavlja određene sigurnosne provjere unutar tog zaštićenog okruženja, a ne u sam kernel.

Važno je razumjeti da se ova izolacija fokusira na odvajanje kritičnih procesa operativnog sistema od uređaja ili upravljačkih programa koji bi mogli biti vektor napada. To se postiže pokretanjem ovih osjetljivih komponenti unutar virtualne memorije. odvojeno od ostalih procesaIzuzetno je teško da zlonamjerni kod, čak i ako uspije da se izvrši, promijeni osnovne sigurnosne mehanizme.

Ova tehnologija je dio skupa karakteristika sigurnost zasnovana na virtualizaciji (VBS) koji Microsoft promovira već godinama. VBS nije ekskluzivan za Windows 11: dostupan je i u Windowsu 10 i u Windows izdanjima... Windows Server moderan, ali u Windowsu 11 je preuzeo istaknutiju ulogu jer je sigurnost jedan od stubova sistema.

Šta je integritet memorije i kako se on uklapa u sve ovo?

Integritet memorije, također poznat kao Integritet koda koji se provodi hipervizorom (HVCI), ključna je komponenta izolacije kernela. Njegova je uloga osigurati da proces integriteta koda koji je odgovoran za provjeru da li se ono što se izvršava u kernel modu izvršava unutar sigurnog virtuelnog okruženja koje je kreirao VBS, a ne direktno u "golom" kernelu.

Ovaj mehanizam štiti i operativni sistem i ostale sigurnosne komponente od bilo kakvog pokušaja zlonamjernog softvera da izmijeni pravila integriteta koda. Budući da se izvršava u okruženju zaštićenom hipervizorom, napadaču je izuzetno teško da izmijeni ili zaobiđe ove provjere, a da ne bude otkriven.

Važna funkcija integriteta memorije je zaštita Bitmapa Control Flow Guard (CFG) Za drajvere u kernel modu, CFG pomaže u ublažavanju napada koji pokušavaju preusmjeriti tok izvršavanja programa; zaštitom ove mape u sigurnom virtuelnom okruženju, sprečava zlonamjerni (ili kompromitovani) drajver da je modificira kako bi prisilio neželjena izvršavanja.

Također štiti sam proces integriteta koda kernela, osiguravajući da su pouzdani procesi kernela važeći certifikati i da se ova validacija ne može manipulirati. Drugim riječima: djeluje kao zaštitar koji prati koji kontroleri i kod mogu ući u kernel mod i osigurava da niko ne mijenja pravila usred igre.

Važno je naglasiti da integritet memorije ne zamjenjuje antivirusni softver. To je dopuna: radi uz Windows Defender (ili bilo koje drugo rješenje koje koristite) kako bi ojačao jezgro sistema. Defender ostaje odgovoran za otkrivanje i blokiranje zlonamjernog softvera na nivou datoteke, procesa, mreže itd., dok se integritet memorije fokusira na zaštitu... jezgro i procesi visoke sigurnosti.

Prednosti i mane: sigurnost naspram performansi

Omogućavanje izolacije kernela i integriteta memorije pruža značajno poboljšanje sigurnosti, ali nije sve besplatno: ima neke nedostatke. nuspojave na performanse i kompatibilnost koju treba uzeti u obzir ovisno o načinu korištenja opreme.

S pozitivne strane, ova funkcija pomaže u zaštiti sistema od prijetnji koje pokušavaju direktno napasti mehanizme za validaciju kernela ili koda. Posebno je korisna u okruženjima gdje se pristupa raznim web stranicama, preuzimaju brojne datoteke ili se programi instaliraju iz nepouzdanih izvora. Također se vrlo dobro uklapa u dijeljeni ili javni računari, kao što su kancelarijski računari, učionice, biblioteke ili internet kafei.

Trošak nastaje jer svaki put kada sistem mora validirati kod u kernel modu, proces mora proći kroz taj niz provjera unutar sigurnog virtuelnog okruženja. To je kao da svaki put kada uđete u svoju kuću, pored otvaranja vrata ključem, morate i... zaštitar Provjeravaju vam dokumente i uvjeravaju se da ne nosite ništa opasno. Dobijate sigurnost, ali vam treba više vremena da uđete, a zaštitar troši resurse.

Na moćnim sistemima, ovo je obično jedva primjetno u svakodnevnoj upotrebi, ali na mašinama sa ograničenim resursima, skromnim laptopima ili ručnim konzolama sa Windows 11 operativnim sistemom, uticaj na glatkoću i FPS može biti prilično značajan. Nije slučajno da je na ovim vrstama uređaja (Lenovo Legion Go, Asus ROG Ally i slični modeli) jedan od najčešće ponavljanih savjeta za precrtajte dodatne performanse da biste onemogućili izolaciju jezgra.

Nadalje, neki stariji ili loše dizajnirani upravljački programi i aplikacije ne rade dobro s ovim tehnologijama. Moguće je da se ne učitavaju, uzrokuju plave ekrane ili dovode do nestabilnosti. Stoga, iako Microsoft preporučuje da ove funkcije budu omogućene kad god je to moguće, također vam omogućava da ih onemogućite i nudi napredne opcije konfiguracije za preduzeća i administratore.

Kako omogućiti izolaciju kernela i integritet memorije iz grafičkog interfejsa

Za većinu kućnih korisnika, najlakši način za omogućavanje ovih funkcija je putem Windows sigurnosti, bez diranja registra ili bilo čega neobičnog. Koraci su prilično jednostavni, kako u Windowsu 11 tako i u Windowsu 10.

U Windowsu 11 možete slijediti ovaj osnovni put koristeći sistemske postavke:

1. Pritisnite tipku Windows + I da biste otvorili aplikaciju Postavke. Također možete kliknuti na dugme Start, a zatim na ikonu zupčanika u postavkama.
2. U meniju s lijeve strane idite na odjeljak "Privatnost i sigurnost".
3. Unutra odaberite "Windows sigurnost".
4. Pritisnite dugme "Otvori sigurnost sistema Windows" da biste pokrenuli klasični sigurnosni panel.
5. U bočnom meniju kliknite na "Sigurnost uređaja".
6. Pronađite blok "Izolacija jezgra" i kliknite na "Detalji".
7. Na tom ekranu ćete vidjeti opciju "Integritet memorije". Ako je kontrola onemogućena, pomaknite prekidač da biste je uključili. aktivirajte ga.
8. Zatvorite prozor i ponovo pokrenite računar da bi promjene stupile na snagu.

U Windowsu 10, proces je vrlo sličan, iako se neki nazivi menija malo razlikuju. Počeli biste kombinacijom tipki Windows + I, zatim otišli na "Ažuriranje i sigurnost", unesite "Sigurnost Windowsa", a odatle otišli na "Sigurnost uređaja" i "Detalji izolacije jezgra" da biste omogućili ili onemogućili integritet memorije po potrebi.

Dobra stvar je što ova funkcija može uključiti i isključiti Koliko god puta želite. Na primjer, možete ga držati aktivnim normalno, a ako ćete koristiti vrlo zahtjevan program za koji znate da će uzrokovati pad performansi ili određenu igru ​​u kojoj imate nizak FPS, privremeno ga onemogućite, a zatim ga kasnije ponovo omogućite. Također je dobra ideja omogućiti ga kada spajate USB diskove nepoznatog ili nepouzdanog porijekla.

Napredna aktivacija putem Windows registra i VBS-a

U profesionalnom okruženju ili kada želite imati detaljnu kontrolu nad ponašanjem VBS-a i integritetom memorije, možete koristiti Windows registar i druge alate za upravljanje. Ovo vam omogućava da automatizujete aktivaciju na mnogim uređajima ili prilagodite opcije kao što su UEFI zaključavanje ili obavezni način rada.

Glavna konfiguracijska putanja za VBS i integritet memorije nalazi se pod ključem:
HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard

Preporučena konfiguracija za omogućavanje VBS-a i integriteta memorije bez prisilnog zaključavanja UEFI-ja može se primijeniti nizom reg add naredbi izvršenih u komandnoj liniji ili PowerShellu s administratorskim privilegijama. Ove naredbe aktiviraju... sigurnost zasnovana na virtuelizacijiOni definiraju sigurnosne zahtjeve platforme (kao što su Secure Boot i DMA zaštita), utvrđuju da li je sistem zaključan na UEFI nivou i uključuju scenario integriteta koda koji provodi hipervizor.

Na primjer, možete:

• Omogućite samo VBS bez integriteta memorije podešavanjem vrijednosti EnableVirtualizationBasedSecurity u 1.
• Označite da je potrebno samo sigurno pokretanje postavljanjem RequirePlatformSecurityFeatures u 1.
• Zahtijeva i Secure Boot i DMA zaštitu s vrijednošću 3 u istom ključu.
• Definirajte da li je UEFI zaključavanje poželjno ili ne koristeći vrijednost zaključan (0 za bez brave, 1 za bravu).
• Omogućite integritet memorije konfiguriranjem omogućeno u grani DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity.

Također postoji mogućnost omogućavanja VBS-a i integriteta memorije u obavezni način rada koristeći obaveznu vrijednost. U ovom scenariju, ako se hipervizor, sigurnosno jezgro ili bilo koja od njegovih kritičnih komponenti ne pokrene, program za pokretanje operativnog sistema ne nastavlja s normalnim procesom pokretanja, čime se sprječava pokretanje računara u potencijalno nesigurnom stanju.

Postoji i zanimljiv ključ za kontrolu grafičkog interfejsa radi integriteta memorije: Omogućeno od straneBrisanje pomoću reg delete uzrokuje da se opcija prikazuje sivo u aplikaciji Windows Security s porukom "Ovom postavkom upravlja vaš administrator". Međutim, postavljanjem kao DWORD 2 vrijednosti vraća se normalna funkcionalnost interfejsa, omogućavajući korisniku interakciju s prekidačem.

Korištenje Kontrole aplikacija za omogućavanje integriteta memorije

U upravljanim organizacijama i okruženjima, uobičajeno je koristiti Kontrola aplikacija za poslovanje (Kontrola poslovnih aplikacija) za konfigurisanje sigurnosnih politika, uključujući omogućavanje integriteta memorije putem centraliziranih pravila.

Postoji nekoliko načina korištenja Kontrole aplikacija za provođenje integriteta koda zaštićenog hipervizorom. Jedan od najjednostavnijih je korištenje Čarobnjaka za kontrolu aplikacija koji pruža Microsoft. Prilikom kreiranja ili uređivanja pravila, na stranici s pravilima čarobnjaka možete omogućiti opciju integracije Integritet koda zaštićen hipervizorom kao dio konfiguracije.

Druga alternativa je korištenje PowerShella s cmdletom Set-HVCIOptionsOvo omogućava detaljniju modifikaciju opcija povezanih s HVCI-jem. Ova metoda je vrlo korisna prilikom integriranja promjena u automatizirane skripte za implementaciju ili konfiguracijske cjevovode.

Konačno, napredniji administratori mogu direktno uređivati XML pravila za kontrolu aplikacija i prilagodite vrijednost elementa Na ovaj način je moguće eksplicitno definirati kako i kada integritet memorije treba primijeniti na računare koji primaju ovu politiku, integrirajući konfiguraciju s drugim sigurnosnim zahtjevima organizacije.

Kako provjeriti da li su VBS i integritet memorije aktivni

Nakon što je sve konfigurirano, važno je provjeriti da li VBS i integritet memorije zaista rade na sistemu. Windows nudi nekoliko alata za ovo, i iz komandne linije i putem grafičkog interfejsa. Za detaljnije testiranje možete pogledati [link/reference/itd.]. vodič za sigurnosnu reviziju.

Jedna od najfleksibilnijih opcija je korištenje WMI klase Win32_DeviceGuardDostupno u Windowsu 10, Windowsu 11 i Windows Serveru 2016 i novijim verzijama. Iz sesije Windows PowerShell sa povišenim ovlastima možete pokrenuti:

Get-CimInstance -ClassName Win32_DeviceGuard -Nazivni prostor\Microsoft\Windows\DeviceGuard

Izlaz ove naredbe prikazuje različita svojstva vezana za sigurnost zasnovanu na virtualizaciji i integritet memorije. Među najrelevantnijim su:

• Identifikator instance, koji jedinstveno identificira svaki uređaj.
• verzija, što označava verziju WMI klase (trenutno 1.0).
• DostupnaSvojstvaSigurnosti, gdje su navedene sigurnosne funkcije koje podržava hardver, kao što su kompatibilnost s hipervizorom, sigurno pokretanje, DMA zaštita, sigurno prepisivanje memorije, NX zaštite, SMM ublažavanja, MBEC/GMET ili APIC virtualizacija.

Pored toga, postoje i druga fundamentalna polja za razumijevanje stanja sistema:

• Status provedbe politika integriteta koda: označava da li je politika integriteta koda onemogućena, u režimu revizije ili u režimu stroge usklađenosti.
• Obavezna sigurnosna svojstva: navodi koja su sigurnosna svojstva potrebna za omogućavanje VBS-a, kao što su podrška za hipervizor, Secure Boot, DMA zaštita itd.
• Konfigurisane sigurnosne usluge: označava da li su konfigurisane usluge kao što su Credential Guard, integritet memorije, zaštita sistema sigurnog pokretanja, mjerenje SMM firmvera ili zaštita steka u kernel modu.
• SigurnosneUslugePokrenute: izvještava koje sigurnosne službe zapravo rade u tom trenutku.

Takođe je zanimljivo pogledati Status sigurnosti zasnovan na virtualizacijiOvo pojašnjava da li VBS nije omogućen, da li je omogućen, ali ne radi, ili da li je omogućen i radi. Ostala polja kao što su SmmIsolationLevel, UsermodeCodeIntegrityPolicyEnforcementStatus, VirtualMachineIsolation i VirtualMachineIsolationProperties upotpunjuju cjelokupnu sliku sigurnosnog statusa sistema, uključujući napredne scenarije izolacije virtuelne mašine.

Ako više volite nešto vizualno, možete koristiti alat za grafiku. msinfo32.exeOtvaranjem iz sesije s povišenim privilegijama, u odjeljku "Sažetak sistema" na dnu ćete pronaći informacije o dostupnim i aktivnim sigurnosnim funkcijama zasnovanim na virtualizaciji, uključujući status izolacije kernela i druge povezane funkcije.

Uobičajeni problemi i kako ih riješiti

Jedna od najčešćih grešaka pri pokušaju omogućavanja integriteta memorije je da Windows upozorava na nekompatibilni upravljački programiPonekad, klikom na "Provjeri nekompatibilne upravljačke programe" prikazuju se određeni popisi (obično .sys ili .inf datoteke), ali drugi put korisnik ne otkrije ništa, što otežava identifikaciju krivca.

Da biste izašli iz ove neugodne situacije, prvo što trebate učiniti je osigurati da je hardver kompatibilan s potrebnim funkcijama virtualizacije i da... Virtualizacija je omogućena u BIOS-u/UEFI-juBez podrške za hipervizor i bez omogućenih ovih opcija, VBS i integritet memorije neće ispravno funkcionirati.

Nakon toga se toplo preporučuje provjera i ažuriranje svih važnih upravljačkih programa: čipseta, grafike, uređaja za pohranu podataka, mreže itd. Proizvođači obično izdaju novije verzije koje su kompatibilne s poboljšanim pravilima integriteta ili koje rješavaju probleme kompatibilnosti s VBS-om u sustavu Windows 11.

Kada su upravljački programi posebno stari ili sumnjivog porijekla, ažurirane verzije možda neće biti dostupne u Windows Update-u ili na web stranici proizvođača. U takvim slučajevima potrebno je uzeti u obzir... potpuno deinstalirati Identifikujte problematični drajver i zamijenite ga generičkom ili modernom alternativom. Ponekad je potrebno koristiti Upravitelj uređaja, prikazati skrivene uređaje i pregledati svaki sumnjivi drajver pojedinačno.

Ako se upravljački program ne uspije učitati ili uzrokuje pad sistema prilikom izvršavanja nakon omogućavanja integriteta memorije, drugi pristup je provjera ispravno potpisane verzije prilagođene ovom okruženju. Ako ne postoji, možda je mudrije odustati od tog specifičnog hardvera ili softvera nego ostaviti sistem izloženim.

Oporavak sistema ako nešto pođe po zlu

Iako nije uobičajeno, omogućavanje VBS-a i integriteta memorije ponekad može uzrokovati nepravilno ponašanje računara, s kritičnim greškama pri pokretanju ili ponavljajućim plavim ekranima. U takvim slučajevima važno je znati kako se vratiti na ove postavke bez gubitka kontrole nad uređajem.

Prvo što treba uraditi je onemogućiti bilo šta grupna politika ili politika ...koja je korištena za prisilnu aktivaciju VBS-a i integriteta memorije. Ako postoji GPO, skripta za pokretanje ili MDM politika koja pritiska tu postavku, ona se mora vratiti kako bi se spriječilo da je sistem ponovo primijeni nakon oporavka.

Zatim se računar može pokrenuti u Windows okruženje za oporavak (Windows RE)Odatle imate pristup naprednim opcijama koje vam omogućavaju otvaranje konzole, vraćanje sistema u prvobitno stanje, deinstaliranje ažuriranja ili izmjenu registra bez pokretanja glavnog Windows okruženja, što je vrlo korisno kada problem sprječava normalno pokretanje. Prije izmjene registra, izvršite... Sigurnosna kopija registra.

Kada uđete u Windows RE, možete direktno promijeniti vrijednost koja kontroliše integritet memorije u Registru. Na primjer, možete postaviti vrijednost Enabled ključa HypervisorEnforcedCodeIntegrity na 0 da biste ga onemogućili. Nakon što izvršite tu prilagodbu, jednostavno biste trebali ponovo pokrenite uređaj tako da bi se sistem ponovo pokrenuo bez problematične funkcije.

Ove vrste manevara treba izvoditi s određenim oprezom, ali su efikasan način kada je oprema zaglavljena u neispravnoj petlji pokretanja zbog nekompatibilnog upravljačkog programa ili loše kombinacije hardvera i sigurnosnih politika.

Integritet memorije u Hyper-V virtuelnim mašinama

Integritet memorije nije ograničen samo na fizičku opremu. Može i zaštitite virtuelne mašine Kreirano pomoću Hyper-V-a, ovo pruža dodatni sloj sigurnosti za gostujuće sisteme. Koraci za omogućavanje iz virtuelne mašine su veoma slični onima na fizičkoj mašini: konfigurišite VBS, aktivirajte izolaciju kernela i uključite integritet memorije iz Windows sigurnosti.

U ovom scenariju, integritet memorije štiti od zlonamjernog softvera koji se pokreće unutar gostujuće virtualne mašine, baš kao što bi to bio slučaj na fizičkom računaru. Međutim, ne štiti virtualnu mašinu od administratora hosta. Hyper-V administrator uvijek zadržava mogućnost da onemogući integritet memorije za određenu virtualnu mašinu, na primjer, korištenjem naredbe Set-VMSecurity s opcijom VirtualizationBasedSecurityOptOut.

Da bi sve ovo funkcionisalo, Hyper-V host mora ispunjavati određene zahtjeve. minimalni zahteviPotrebno je da koristite barem Windows Server 2016 ili Windows 10 verzije 1607, jer starije verzije nemaju sve potrebne komponente za VBS u gostujućim okruženjima. Pored toga, virtuelna mašina mora biti Generation 2 i da koristi barem Windows Server 2016 ili Windows 10.

Moguće je omogućiti integritet memorije i ugniježđena virtualizacijaOvo omogućava instaliranje Hyper-V uloge unutar same VM-e, što omogućava kreiranje više virtuelnih mašina. Da bi se to postiglo, prvo se na toj mašini mora pripremiti ugniježđeno okruženje za virtualizaciju Windowsa.

Postoje neka važna ograničenja koja treba uzeti u obzir: Virtualni Fibre Channel adapteri ne podržavaju integritet memorije, tako da prije povezivanja s VM-om, morate ga isključiti iz sigurnosti zasnovane na virtualizaciji pomoću `Set-VMSecurity`. Opcija `AllowFullSCSICommandSet` također nije podržana na diskovima za prolaz kada se koristi integritet memorije; ako vam je potrebna ova opcija, mašina mora biti isključena iz VBS-a.

Ukratko, integritet pamćenja također može igrati ključnu ulogu u virtuelizovana okruženjapod uslovom da se poštuju hardverska i konfiguracijska ograničenja Hyper-V-a.

Konačno, izolacija kernela i integritet memorije u Windowsu 11 čine moćnu kombinaciju za povećanje sigurnosti sistema, posebno protiv sofisticiranih napada usmjerenih na kernel. Međutim, oni dolaze s određenim uslovima: potreban vam je kompatibilan hardver, trebali biste očekivati ​​određeni utjecaj na performanse i morate biti spremni na rad s upravljačkim programima koji nisu idealni. Ako prvenstveno koristite svoj računar za pregledavanje, upravljanje dokumentima, povezivanje s korporativnim mrežama ili rukovanje osjetljivim podacima, ima puno smisla da ove funkcije budu omogućene, a trebali biste pogledati naše... sigurnosne tajneAko vam je apsolutni prioritet da izvučete svaki frejm iz igara ili da izvučete maksimum iz računara s ograničenim resursima, možda biste radije da ih onemogućite ili naizmjenično koristite ovisno o tome kako ćete ih koristiti u datom trenutku.