- O isolamento do kernel e a integridade da memória utilizam o VBS para proteger o kernel e os processos críticos contra ataques avançados.
- Habilitar essa opção melhora significativamente a segurança, embora possa afetar o desempenho e a compatibilidade de alguns drivers.
- Eles podem ser configurados a partir da Segurança do Windows, bem como por meio do Registro, Controle de Aplicativos, PowerShell e políticas corporativas.
- Ferramentas como Win32_DeviceGuard e msinfo32 permitem verificar o status do VBS e diagnosticar problemas em ambientes físicos e virtuais.
Se você usa o Windows 11, provavelmente já viu a opção em algum momento para isolamento do núcleo e integridade da memória Dentro de Segurança do Windows No entanto, você pode não ter certeza absoluta do que ele faz exatamente ou se deve ativá-lo. Isso não é incomum: é um daqueles recursos de segurança poderosos que a Microsoft vem incorporando nos últimos anos, mas que são mal explicados e muitas vezes ficam escondidos em menus complexos.
Além disso, você pode ter se deparado com a mensagem típica de que não é possível ativar a integridade da memória porque existem controladores incompatíveisOu talvez a opção esteja desativada e você não saiba por onde começar. Entre BIOS, virtualização, VBS, drivers, WMI e outros termos técnicos, é fácil se confundir. Aqui, vamos explicar tudo com calma, em linguagem simples, para que você saiba o que é, como ativar, o que fazer quando ocorrerem erros e em que casos vale a pena mantê-la ativada ou desativada.
O que é isolamento de kernel no Windows 11?
O isolamento do núcleo é uma camada de segurança que aproveita... funções de virtualização de hardware Criar uma área protegida dentro da memória do sistema. Esse tipo de "bolha" é usado para executar processos sensíveis do Windows isoladamente do restante do sistema operacional, reduzindo drasticamente a possibilidade de malware acessar áreas às quais não deveria ter acesso.
Na prática, o Windows usa o hipervisor (o mesmo mecanismo básico usado pelas máquinas virtuais) para criar um ambiente virtual especializado que atua como raiz da confiançaO sistema parte do princípio de que, no pior cenário possível, o kernel poderia ser comprometido, portanto, ele implementa determinadas verificações de segurança dentro desse ambiente protegido, e não no próprio kernel.
É importante entender que esse isolamento tem como foco manter os processos críticos do sistema operacional separados de dispositivos ou drivers que possam ser vetores de ataque. Isso é conseguido executando esses componentes sensíveis em memória virtual. separado do restante dos processosÉ extremamente difícil para um código malicioso, mesmo que consiga ser executado, alterar os mecanismos básicos de segurança.
Essa tecnologia faz parte do conjunto de funcionalidades de segurança baseada em virtualização (VBS) que a Microsoft vem promovendo há anos. O VBS não é exclusivo do Windows 11: também está disponível no Windows 10 e em edições do Windows. Windows Server moderno, mas no Windows 11 assumiu um papel mais proeminente porque a segurança é um dos pilares do sistema.
O que é integridade de memória e como ela se encaixa em tudo isso?
A integridade da memória, também conhecida como Integridade de Código Imposta pelo Hipervisor (HVCI), é um componente essencial do isolamento do kernel. Sua função é garantir que o processo de integridade de código que é responsável por validar se o que é executado no modo kernel o faz dentro desse ambiente virtual seguro criado pelo VBS, e não diretamente no kernel "puro".
Esse mecanismo protege tanto o sistema operacional quanto outros componentes de segurança contra qualquer tentativa de malware de modificar as regras de integridade do código. Como ele é executado em um ambiente protegido por hipervisor, é extremamente difícil para um invasor alterar ou burlar essas verificações sem ser detectado.
Uma função importante da integridade da memória é a proteção de Mapa de bits do Control Flow Guard (CFG) Para drivers em modo kernel, o CFG ajuda a mitigar ataques que tentam desviar o fluxo de execução de um programa; ao proteger esse mapa em um ambiente virtual seguro, ele impede que um driver malicioso (ou comprometido) o modifique para forçar execuções indesejadas.
Ele também protege o próprio processo de integridade do código do kernel, garantindo que os processos confiáveis do kernel tenham certificados válidos e que essa validação não pode ser manipulada. Em outras palavras: ela atua como um guarda de segurança que monitora quais controladores e códigos podem entrar no modo kernel e garante que ninguém altere as regras durante a execução.
É importante ressaltar que a integridade da memória não substitui o software antivírus. Ela é um complemento: funciona em conjunto com o Windows Defender (ou qualquer outra solução que você utilize) para fortalecer o núcleo do sistema. O Defender continua responsável por detectar e bloquear malware em nível de arquivo, processo, rede etc., enquanto a integridade da memória se concentra em proteger... processos de kernel e de alta segurança.
Vantagens e desvantagens: segurança versus desempenho
Habilitar o isolamento do kernel e a integridade da memória proporciona uma melhoria significativa na segurança, mas não é totalmente gratuito: apresenta algumas desvantagens. efeitos colaterais no desempenho e a compatibilidade que deve ser considerada dependendo de como você usa o equipamento.
Do lado positivo, esse recurso ajuda a proteger o sistema contra ameaças que tentam atacar diretamente o kernel ou os mecanismos de validação de código. É especialmente útil em ambientes onde vários sites são acessados, inúmeros arquivos são baixados ou programas são instalados a partir de fontes não confiáveis. Também se encaixa muito bem em computadores compartilhados ou públicos, como computadores de escritório, salas de aula, bibliotecas ou cibercafés.
O custo surge porque, sempre que o sistema precisa validar o código em modo kernel, o processo deve passar por essa série de verificações dentro do ambiente virtual seguro. É como se, toda vez que você entrasse em casa, além de abrir a porta com a chave, você também tivesse que... guarda de segurança Eles verificam seus documentos e se certificam de que você não está carregando nada perigoso. Você ganha segurança, mas leva mais tempo para entrar e o guarda consome recursos.
Em sistemas potentes, isso geralmente é quase imperceptível no uso diário, mas em máquinas com recursos limitados, laptops modestos ou consoles portáteis com Windows 11, o impacto na fluidez e na taxa de quadros por segundo (FPS) pode ser bastante significativo. Não é coincidência que, nesses tipos de dispositivos (Lenovo Legion Go, Asus ROG Ally e modelos similares), um dos conselhos mais repetidos para raspe para obter desempenho extra Desativar o isolamento do núcleo.
Além disso, alguns drivers e aplicativos mais antigos ou mal projetados não funcionam bem com essas tecnologias. Eles podem não carregar, causar telas azuis ou levar à instabilidade. Portanto, embora a Microsoft recomende manter esses recursos ativados sempre que possível, ela também permite desativá-los e oferece opções de configuração avançadas para empresas e administradores.
Como habilitar o isolamento do kernel e a integridade da memória a partir da interface gráfica.
Para a maioria dos usuários domésticos, a maneira mais fácil de habilitar esses recursos é por meio da Segurança do Windows, sem precisar mexer no Registro ou fazer qualquer coisa incomum. Os passos são bem simples, tanto no Windows 11 quanto no Windows 10.
No Windows 11, você pode seguir este caminho básico usando as configurações do sistema:
1. Pressione a tecla Windows + I para abrir o aplicativo Configurações. Você também pode clicar no botão Iniciar e, em seguida, no ícone de engrenagem de Configurações.
2. No menu à esquerda, acesse a seção "Privacidade e segurança".
3. Dentro da janela, selecione "Segurança do Windows".
4. Pressione o botão "Abrir Segurança do Windows" para iniciar o painel de segurança clássico.
5. No menu lateral, clique em "Segurança do dispositivo".
6. Localize o bloco "Isolamento do Núcleo" e clique em "Detalhes".
7. Nessa tela, você verá a opção "Integridade da Memória". Se o controle estiver desativado, deslize o interruptor para ativá-lo. ative-o.
8. Feche a janela e reinicie o computador para que as alterações entrem em vigor.
No Windows 10, o processo é muito semelhante, embora alguns nomes de menu sejam ligeiramente diferentes. Você começaria com a combinação de teclas Windows + I, depois iria para "Atualização e Segurança", digitaria "Segurança do Windows" e, a partir daí, iria para "Segurança do Dispositivo" e "Detalhes de Isolamento do Kernel" para ativar ou desativar a integridade da memória, conforme necessário.
O bom é que essa função pode liga e desliga Quantas vezes quiser. Por exemplo, você pode mantê-lo ativo normalmente e, se for usar um programa muito exigente que sabe que causará quedas de desempenho, ou um jogo específico em que esteja com baixa taxa de quadros (FPS), desative-o temporariamente e reative-o mais tarde. Também é uma boa ideia ativá-lo ao conectar dispositivos USB de origem desconhecida ou não confiável.
Ativação avançada via Registro do Windows e VBS
Em ambientes profissionais ou quando você deseja ter controle minucioso sobre o comportamento do VBS e a integridade da memória, você pode usar o Registro do Windows e outras ferramentas de gerenciamento. Isso permite automatizar a ativação em vários dispositivos ou ajustar opções como bloqueio UEFI ou modo obrigatório.
O caminho de configuração principal para VBS e integridade de memória está localizado na seguinte chave:
HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard
Uma configuração recomendada para habilitar VBS e integridade de memória sem forçar o bloqueio UEFI pode ser aplicada com uma série de comandos `reg add` executados em um prompt de comando ou PowerShell com privilégios de administrador. Esses comandos ativam o segurança baseada em virtualizaçãoEles definem os requisitos de segurança da plataforma (como Inicialização Segura e proteção DMA), estabelecem se o sistema está bloqueado no nível UEFI e ativam o cenário de integridade de código imposto pelo hipervisor.
Por exemplo, você pode:
- Habilite somente VBS sem integridade de memória ajustando o valor. Habilitar segurança baseada em virtualização para 1.
- Indique que apenas a Inicialização Segura é necessária definindo RequirePlatformSecurityFeatures em 1.
- Exija inicialização segura (Secure Boot) e proteção DMA com o valor 3 na mesma chave.
- Defina se o bloqueio UEFI é desejado ou não usando o valor. Bloqueado (0 para sem trava, 1 para trava).
- Habilite a integridade da memória configurando Os utilizadores da app Smart Spaces com Google Wallet podem usufruir de acesso móvel sem contacto com qualquer leitor HID® Signo™ habilitado com NFC. no branch DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity.
Existe também a possibilidade de habilitar VBS e integridade de memória em modo obrigatório usando o valor Obrigatório. Nesse cenário, se o hipervisor, o kernel seguro ou qualquer um de seus componentes críticos falhar ao inicializar, o carregador do sistema operacional não continua com o processo normal de inicialização, impedindo assim que o computador inicie em um estado potencialmente inseguro.
Existe também uma tecla interessante para controlar a interface gráfica de integridade da memória: FoiAtivadoPorAo excluir a entrada usando o comando `reg delete`, a opção fica desativada (em cinza) no aplicativo Segurança do Windows, exibindo a mensagem "Esta configuração é gerenciada pelo administrador". No entanto, ao defini-la como um valor DWORD de 2 dígitos, a funcionalidade normal da interface é restaurada, permitindo que o usuário interaja com a opção.
Usando o Controle de Aplicativos para habilitar a integridade da memória.
Em organizações e ambientes gerenciados, é comum usar Controle de aplicativos para empresas (Enterprise Application Control) para configurar políticas de segurança, incluindo a ativação da integridade da memória por meio de regras centralizadas.
Existem várias maneiras de usar o Controle de Aplicativos para impor a integridade do código protegido pelo hipervisor. Uma das mais simples é usar o Assistente de Controle de Aplicativos fornecido pela Microsoft. Ao criar ou editar uma política, na página de regras da política do assistente, você pode habilitar a opção para integrar Integridade de código protegido por hipervisor como parte da configuração.
Outra alternativa é usar o PowerShell com o cmdlet. Set-HVCIOptionsIsso permite uma modificação mais detalhada das opções relacionadas ao HVCI. Esse método é muito útil ao integrar alterações em scripts de implantação automatizados ou pipelines de configuração.
Por fim, administradores mais avançados podem editar diretamente o XML da política de controle de aplicativos e ajustar o valor do elemento Dessa forma, é possível definir explicitamente como e quando a integridade da memória deve ser aplicada aos computadores que recebem essa política, integrando a configuração com outros requisitos de segurança da organização.
Como verificar se o VBS e a integridade da memória estão ativos
Após a configuração completa, é importante verificar se o VBS e a integridade da memória estão funcionando corretamente no sistema. O Windows oferece diversas ferramentas para isso, tanto pela linha de comando quanto por meio de interfaces gráficas. Para testes mais detalhados, consulte o [link/referência/etc.]. guia de auditoria de segurança.
Uma das opções mais flexíveis é usar a classe WMI. Win32_DeviceGuardDisponível no Windows 10, Windows 11 e Windows Server 2016 e versões posteriores. A partir de uma sessão do Windows PowerShell com privilégios elevados, você pode executar:
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard
O resultado deste comando exibe várias propriedades relacionadas à segurança baseada em virtualização e à integridade da memória. Entre as mais relevantes estão:
- Identificador de instância, que identifica cada dispositivo de forma única.
- Versão, que indica a versão da classe WMI (atualmente 1.0).
- Propriedades de segurança disponíveis, onde são listadas as funcionalidades de segurança suportadas pelo hardware, tais como compatibilidade com hipervisor, inicialização segura, proteção DMA, sobrescrita segura de memória, proteções NX, mitigações SMM, virtualização MBEC/GMET ou APIC.
Além disso, existem outros campos fundamentais para a compreensão do estado do sistema:
- Status de aplicação da política de integridade do código: indica se a política de integridade do código está desativada, em modo de auditoria ou em modo de conformidade estrita.
- Propriedades de segurança necessárias: lista quais propriedades de segurança são necessárias para habilitar o VBS, como suporte a hipervisor, Inicialização Segura, proteção DMA, etc.
- Serviços de segurança configurados: indica se serviços como Credential Guard, integridade de memória, proteção do sistema de inicialização segura, medição de firmware SMM ou proteção de pilha em modo kernel foram configurados.
- Serviços de segurança em execução: relata quais serviços de segurança estão efetivamente em execução naquele momento.
Também é interessante observar Status de segurança baseado em virtualizaçãoIsso esclarece se o VBS não está habilitado, se está habilitado, mas não em execução, ou se está habilitado e em execução. Outros campos, como SmmIsolationLevel, UsermodeCodeIntegrityPolicyEnforcementStatus, VirtualMachineIsolation e VirtualMachineIsolationProperties, completam o panorama geral do status de segurança do sistema, incluindo cenários avançados de isolamento de máquinas virtuais.
Se preferir algo visual, você pode usar a ferramenta gráfica. msinfo32.exeAo abrir o programa a partir de uma sessão com privilégios elevados, na seção "Resumo do Sistema", você encontrará, na parte inferior, informações sobre os recursos de segurança baseados em virtualização disponíveis e ativos, incluindo o status do isolamento do kernel e outras funções relacionadas.
Problemas comuns e como resolvê-los
Um dos erros mais comuns ao tentar ativar a integridade da memória é o aviso exibido pelo Windows sobre... controladores incompatíveisÀs vezes, clicar em "Verificar drivers incompatíveis" exibe listas específicas (geralmente arquivos .sys ou .inf), mas outras vezes o usuário descobre que nada é exibido, o que torna a identificação do problema bastante difícil.
Para sair desse impasse, a primeira coisa a fazer é garantir que o hardware seja compatível com as funções de virtualização necessárias e que o A virtualização está habilitada na BIOS/UEFI.Sem suporte do hipervisor e sem essas opções ativadas, o VBS e a integridade da memória não funcionarão corretamente.
A partir daí, é altamente recomendável verificar e atualizar todos os drivers importantes: chipset, placa gráfica, dispositivos de armazenamento, rede, etc. Os fabricantes geralmente lançam versões mais recentes que são compatíveis com as políticas de integridade aprimoradas ou que corrigem problemas de compatibilidade com o VBS no Windows 11.
Quando os drivers são particularmente antigos ou de origem duvidosa, pode não haver versões atualizadas disponíveis no Windows Update ou no site do fabricante. Nesses casos, é necessário considerar... desinstalar completamente Identifique o driver problemático e substitua-o por uma alternativa genérica ou moderna. Às vezes, é necessário usar o Gerenciador de Dispositivos, exibir dispositivos ocultos e analisar cada driver suspeito individualmente.
Se um driver não carregar ou causar falhas em tempo de execução após a ativação da integridade de memória, outra abordagem é verificar se existe uma versão devidamente assinada e adaptada a esse ambiente. Caso não exista, pode ser mais prudente optar por não usar esse hardware ou software específico em vez de deixar o sistema vulnerável.
Recuperação do sistema em caso de problemas
Embora não seja comum, habilitar o VBS e a integridade da memória pode, às vezes, fazer com que o computador se comporte de maneira errática, com erros críticos de inicialização ou telas azuis recorrentes. Nesses casos, é importante saber como reverter essas configurações sem perder o controle da máquina.
A primeira coisa a fazer é desativar qualquer política de grupo ou política que era usado para forçar a ativação do VBS e a integridade da memória. Se houver uma GPO, um script de inicialização ou uma política MDM aplicando essa configuração, ela deverá ser revertida para impedir que o sistema a reaplique após a recuperação.
Em seguida, o computador pode ser iniciado no Ambiente de Recuperação do Windows (Windows RE)A partir daí, você tem acesso a opções avançadas que permitem abrir um console, restaurar o sistema, desinstalar atualizações ou modificar o Registro sem inicializar o ambiente principal do Windows, o que é muito útil quando o problema impede uma inicialização normal. Antes de modificar o Registro, execute um Backup do registro.
Uma vez dentro do Ambiente de Recuperação do Windows (Windows RE), você pode alterar diretamente o valor que controla a integridade da memória no Registro. Por exemplo, você pode definir o valor Enabled da chave HypervisorEnforcedCodeIntegrity como 0 para desativá-la. Após fazer esse ajuste, você simplesmente precisará... reiniciar o dispositivo para que o sistema reiniciasse sem a função problemática.
Esses tipos de manobras devem ser feitos com cuidado, mas são uma maneira eficaz quando o equipamento está preso em um loop de inicialização defeituoso devido a um driver incompatível ou a uma combinação inadequada de hardware e políticas de segurança.
Integridade da memória em máquinas virtuais Hyper-V
A integridade da memória não se limita a equipamentos físicos. Ela também pode... proteger máquinas virtuais Criado com o Hyper-V, este recurso fornece uma camada adicional de segurança para sistemas convidados. Os passos para habilitá-lo dentro da máquina virtual são muito semelhantes aos de uma máquina física: configurar o VBS, ativar o isolamento do kernel e habilitar a integridade da memória nas configurações de Segurança do Windows.
Nesse cenário, a integridade da memória protege contra malware executado na máquina virtual convidada, assim como faria em um PC físico. No entanto, ela não protege a máquina virtual do administrador do host. O administrador do Hyper-V sempre mantém a capacidade de desativar a integridade da memória para uma máquina virtual específica, por exemplo, usando o comando Set-VMSecurity com a opção VirtualizationBasedSecurityOptOut.
Para que tudo isso funcione, o host Hyper-V deve atender a certos requisitos. requisitos mínimosVocê precisa estar executando pelo menos o Windows Server 2016 ou o Windows 10 versão 1607, pois versões anteriores não possuem todos os componentes necessários para o VBS em ambientes convidados. Além disso, a máquina virtual deve ser de Geração 2 e executar pelo menos o Windows Server 2016 ou o Windows 10.
É possível habilitar a integridade da memória e a virtualização aninhadaIsso permite que a função Hyper-V seja instalada dentro da própria máquina virtual, possibilitando a criação de mais máquinas virtuais. Para isso, o ambiente de virtualização aninhada do Windows deve primeiro ser preparado nessa máquina.
Há algumas limitações importantes a serem consideradas: os adaptadores Fibre Channel virtuais não suportam integridade de memória; portanto, antes de conectá-los a uma máquina virtual, você deve excluí-la da segurança baseada em virtualização usando o comando `Set-VMSecurity`. A opção `AllowFullSCSICommandSet` também não é compatível com discos pass-through ao usar integridade de memória; se precisar dessa opção, a máquina deve ser excluída do VBS (Virtualization Based Security).
Em resumo, a integridade da memória também pode desempenhar um papel fundamental em ambientes virtualizadosdesde que as restrições de hardware e configuração do Hyper-V sejam respeitadas.
Em última análise, o isolamento do kernel e a integridade da memória no Windows 11 formam uma combinação poderosa para aumentar a segurança do sistema, especialmente contra ataques sofisticados direcionados ao kernel. No entanto, isso tem suas condições: você precisa de hardware compatível, deve esperar algum impacto no desempenho e precisa estar preparado para lidar com drivers que não sejam perfeitamente compatíveis. Se você usa seu PC principalmente para navegar na internet, gerenciar documentos, conectar-se a redes corporativas ou lidar com dados confidenciais, faz muito sentido manter esses recursos ativados, e você deve conferir nosso guia. segredos de segurançaSe sua prioridade absoluta é extrair o máximo de cada frame dos jogos ou obter o máximo desempenho de um computador com recursos limitados, você pode preferir desativá-los ou alterná-los dependendo de como pretende usá-los em determinado momento.
Escritor apaixonado pelo mundo dos bytes e da tecnologia em geral. Adoro compartilhar meu conhecimento por meio da escrita, e é isso que farei neste blog, mostrar a vocês tudo o que há de mais interessante sobre gadgets, software, hardware, tendências tecnológicas e muito mais. Meu objetivo é ajudá-lo a navegar no mundo digital de uma forma simples e divertida.