Cấu hình cách ly lõi và tính toàn vẹn bộ nhớ trong Windows

Nếu bạn sử dụng Windows 10 hoặc 11, có lẽ bạn đã từng thấy thông báo này rồi. cách điện lõi e “Tính toàn vẹn bộ nhớ bị vô hiệu hóa” Trong Windows Security, nhiều người cho rằng nó rất quan trọng, nhưng thực tế lại không rõ nó làm gì, có những ưu điểm gì, có thể gây ra lỗi gì, hoặc cách cấu hình đúng cách, đặc biệt khi sử dụng các công cụ như Hyper-V, giải pháp của bên thứ ba hoặc các chương trình chống virus cũng sử dụng ảo hóa.

Trong những dòng tiếp theo, bạn sẽ tìm thấy một hướng dẫn rất đầy đủ để hiểu chúng là gì. Sự cô lập lõi và tính toàn vẹn bộ nhớBài viết này sẽ hướng dẫn bạn cách thức hoạt động bên trong (bao gồm cả thành phần ảo hóa dựa trên bảo mật, VBS), cách bật hoặc tắt chúng từ giao diện đồ họa, Registry hoặc thông qua các chính sách, cách xác minh xem mọi thứ có hoạt động bình thường hay không, và các sự cố thường gặp mà bạn có thể gặp phải, chẳng hạn như xung đột với trình điều khiển, phần mềm như BlueStacks hoặc ảo hóa. phần cứng Từ Kaspersky.

Tính năng Core Isolation trong Windows là gì?

Cuộc gọi cách điện lõi Đây là một tính năng bảo mật nâng cao được tích hợp trong Windows 10 và cửa sổ 11 tận dụng công nghệ ảo hóa để Tách nhân hệ điều hành ra khỏi các tiến trình còn lại. Những thứ chạy trên máy tính. Ý tưởng rất đơn giản: nếu nhân hệ điều hành chạy trong một môi trường biệt lập và được kiểm soát chặt chẽ hơn, thì việc tấn công sẽ khó khăn hơn nhiều so với việc tấn công từ một môi trường khác. phần mềm độc hại hoặc kẻ tấn công tìm cách chèn mã vào khu vực nhạy cảm đó.

Khi bạn bật Chế độ cách ly lõi, Windows sẽ tạo ra một... môi trường được bảo vệ và ảo hóa Nơi các thành phần quan trọng của hệ thống hoạt động, mã độc hại xâm nhập qua tệp tin, trình điều khiển lỗi hoặc ứng dụng không thể truy cập trực tiếp vào bộ nhớ kernel. Sự phân tách logic này dựa trên công nghệ ảo hóa phần cứng và trình siêu giám sát của Microsoft.

Hãy tưởng tượng bạn mở một Tệp đính kèm email bị nhiễm phần mềm độc hại.Nếu không có tính năng cách ly nhân hệ điều hành, một cuộc tấn công được thiết kế tốt có thể lợi dụng lỗ hổng hệ thống để leo thang đặc quyền và ghi vào các vùng nhớ quan trọng, ảnh hưởng đến nhân hệ điều hành và làm tổn hại hoàn toàn hệ thống. Khi bật tính năng Cách ly Nhân Hệ Điều Hành, cuộc tấn công như vậy sẽ bị "giới hạn" trong một môi trường mà nó không thể trực tiếp thao tác với nhân hệ điều hành, làm giảm đáng kể tác động của nó.

Ngoài việc cô lập các tiến trình, hệ thống còn tận dụng bộ nhớ phần cứng để lưu trữ thông tin nhạy cảm trong các khu vực được bảo vệ.Điều này giúp giảm thiểu bề mặt tấn công. Tuy nhiên, nó không thay thế phần mềm diệt virus hoặc các biện pháp bảo mật khác. thực hành tốtNhưng nó bổ sung thêm một lớp bảo vệ rất mạnh mẽ chống lại các mối đe dọa tinh vi.

Tính toàn vẹn bộ nhớ là gì và nó đóng vai trò gì trong bảo mật?

Bên trong sự cô lập của chính lõi, phần quan trọng nhất là cái gọi là tính toàn vẹn của bộ nhớ hoặc tính toàn vẹn bộ nhớ. Tính năng này dựa trên... bảo mật dựa trên ảo hóa (VBS) Windows cho phép chạy cơ chế kiểm tra tính toàn vẹn mã nhân hệ điều hành trong một môi trường ảo biệt lập, hoàn toàn tách biệt khỏi hệ điều hành thông thường.

Trên thực tế, tính toàn vẹn bộ nhớ đảm bảo rằng Chỉ những đoạn mã được ký đúng cách mới có thể được nạp vào nhân hệ điều hành. và được coi là đáng tin cậy. Để đạt được điều này, nó sử dụng trình ảo hóa Windows, tạo ra một "thế giới ngầm" nhỏ, an toàn hoạt động như một gốc rễ của sự tin cậy, ngay cả khi nhân hệ điều hành chính bị xâm phạm. Nếu bạn cần kiểm tra mã chưa được ký trong môi trường được kiểm soát, hãy xem cách thực hiện. kích hoạt chế độ nhà phát triển an toàn

Một trong những khả năng chính của chức năng này là: hạn chế việc phân bổ bộ nhớ nhân hệ điều hành Những phương pháp này có thể được sử dụng để khai thác lỗ hổng hoặc leo thang đặc quyền. Nếu kẻ tấn công cố gắng sửa đổi các cấu trúc bộ nhớ quan trọng sau khi tính toàn vẹn bộ nhớ được kích hoạt, hệ thống sẽ chặn chúng hoặc gây ra lỗi có kiểm soát trước khi cho phép mối đe dọa tiếp diễn.

Một nhiệm vụ quan trọng khác là bảo vệ các yếu tố như... bitmap Trình điều khiển chế độ kernel Control Flow Guard (CFG)Cấu trúc này giúp Windows giám sát luồng thực thi mã trong nhân hệ điều hành; nếu phần mềm độc hại tìm cách thay đổi nó, nó có thể chuyển hướng thực thi đến các phần độc hại. Với tính năng Bảo toàn Bộ nhớ (Memory Integrity), kiểu thao tác này trở nên khó khăn hơn nhiều.

Hơn nữa, tính toàn vẹn của bộ nhớ Bảo vệ quá trình toàn vẹn mã ở chế độ nhân.Nó chịu trách nhiệm xác minh rằng các tiến trình nhân hệ điều hành đáng tin cậy khác có chứng chỉ hợp lệ và mã được tải không bị sửa đổi. Nếu có bất kỳ điều gì bất thường, trình tải trình điều khiển sẽ chặn nó.

Mối quan hệ giữa VBS, sự cô lập cốt lõi và tính toàn vẹn của bộ nhớ

Để hiểu rõ vấn đề này, nên làm như sau: phân biệt một số khái niệm Windows sử dụng chúng cùng nhau, mặc dù chúng thường được coi như là một:

• VBS (Bảo mật dựa trên ảo hóa)Đây là công nghệ cốt lõi được trình ảo hóa Windows sử dụng để tạo ra một hoặc nhiều vùng chứa bộ nhớ được bảo vệ. Các dịch vụ bảo mật chạy bên trong các vùng chứa này, mà hệ thống coi là đáng tin cậy hơn cả nhân hệ điều hành.
• Cách ly lõi: là tập hợp các tính năng mà người dùng có thể nhìn thấy trong Windows Security, sử dụng VBS để bảo vệ nhân hệ điều hành và các tiến trình quan trọng khác.
• Tính toàn vẹn của bộ nhớ: là một trong những thành phần nằm trong cơ chế cách ly nhân hệ điều hành, chịu trách nhiệm cụ thể về tính toàn vẹn của mã nhân và hạn chế việc cấp phát bộ nhớ nguy hiểm.

Có thể chỉ bật VBS mà không cần kích hoạt tính năng Bảo toàn bộ nhớ, hoặc kết hợp VBS + tính toàn vẹn bộ nhớ Để có khả năng bảo vệ mạnh mẽ hơn nhiều, đó là điều mà Microsoft khuyến nghị trong hầu hết các tình huống chuyên nghiệp và kinh doanh.

Cách bật hoặc tắt tính năng Cách ly lõi và Toàn vẹn bộ nhớ từ giao diện

Đối với người dùng gia đình, cách dễ nhất để điều khiển các chức năng này là thông qua chính ứng dụng. Bảo mật WindowsBạn thường có thể truy cập chức năng này thông qua biểu tượng hình khiên màu xanh lam nằm trong khay hệ thống, bên cạnh đồng hồ. Nếu không thấy biểu tượng đó, bạn có thể tìm kiếm "Windows Security" bằng cách sử dụng tổ hợp phím tắt. Windows + S.

Sau khi ứng dụng được mở, hãy vào phần đó. “Bảo mật thiết bị”Ở đó bạn sẽ thấy một khối có tên là “Cách ly lõi”Trên nhiều thiết bị, một thông báo sẽ hiện lên có nội dung tương tự như sau:Tính toàn vẹn bộ nhớ đã bị vô hiệu hóa. Thiết bị có thể dễ bị tấn công.”, điều này cho thấy tính năng Cách ly lõi (Core Isolation) khả dụng, nhưng phần Bảo toàn bộ nhớ (Memory Integrity) không hoạt động.

Để thay đổi nó, hãy chạm vào “Chi tiết về lớp cách nhiệt lõi”Một màn hình với các tùy chọn nâng cao sẽ hiện ra, trong đó bạn sẽ thấy công tắc để... “Tính toàn vẹn của bộ nhớ”Khi được kích hoạt, Windows sẽ bắt đầu chặn việc tải các trình điều khiển hoặc mã nhân hệ điều hành không đáp ứng các yêu cầu bảo mật.

Trên cùng màn hình đó, tùy chọn "cũng xuất hiện" thường được hiển thị. “Danh sách các trình điều khiển của Microsoft dễ bị tổn thương”Khi được kích hoạt, hệ thống sẽ ngăn chặn các trình điều khiển mà Microsoft đã gắn cờ là có vấn đề hoặc có lỗ hổng bảo mật đã biết khỏi hoạt động, bổ sung thêm một lớp bảo vệ chống lại các cuộc tấn công dựa trên trình điều khiển độc hại.

Sau khi bật tính năng bảo toàn bộ bộ nhớ, việc Windows hỏi bạn là điều bình thường. Khởi động lại hệ thống Để áp dụng các thay đổi, bạn sẽ thấy một thông báo ở góc dưới bên phải với nút khởi động lại trực tiếp. Sau khi khởi động lại, nếu mọi thứ diễn ra tốt đẹp, một biểu tượng xác nhận màu xanh lá cây sẽ xuất hiện bên cạnh "Kernel Isolation" trong "Device Security", cho biết rằng tính năng bảo vệ đã được kích hoạt.

Cấu hình nâng cao thông qua Registry cho VBS và tính toàn vẹn bộ nhớ.

Trong môi trường chuyên nghiệp hoặc khi bạn muốn tự động hóa cấu hình trên nhiều máy tính, việc sử dụng là điều thường thấy. Registry và các tập lệnh của Windows (Trước khi chạm vào bất cứ thứ gì, hãy làm...) sao lưu registry) để kích hoạt hoặc tinh chỉnh VBS và Tính toàn vẹn bộ nhớ. Các khóa liên quan nằm trong đường dẫn:

HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard

Cấu hình được đề xuất Việc kích hoạt VBS và tính toàn vẹn bộ nhớ không khóa trong UEFI bao gồm việc thiết lập các giá trị sau từ bảng điều khiển với quyền quản trị viên:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f

Nếu bạn muốn tinh chỉnh các cài đặt, bạn có thể sử dụng từng phím riêng biệt Tùy thuộc vào những gì bạn cần kích hoạt:

• Chỉ bật VBS (không đảm bảo tính toàn vẹn bộ nhớ)
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
• Chỉ yêu cầu khởi động Khởi động an toàn cho VBS (giá trị 1)
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 1 /f
• Yêu cầu khởi động an toàn + bảo vệ DMA cho VBS (giá trị 3)
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f
• Cấu hình VBS mà không cần khóa UEFI. (Đã khóa = 0)
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
• Cấu hình VBS với khóa UEFI vĩnh viễn (Đã khóa = 1)
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 1 /f
• Kích hoạt tính toàn vẹn bộ nhớ (HVCI)
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f
• Cấu hình tính toàn vẹn bộ nhớ không bị khóa của UEFI (Đã khóa = 0)
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f
• Cấu hình tính toàn vẹn bộ nhớ với khóa UEFI (Đã khóa = 1)
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 1 /f
• Buộc VBS (và Bảo mật bộ nhớ) vào chế độ bắt buộc
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Mandatory" /t REG_DWORD /d 1 /f

Khi giá trị được đánh dấu Bắt buộc = 1trình tải Windows Điều này ngăn hệ thống tiếp tục khởi động. Nếu hypervisor, "nhân bảo mật" hoặc bất kỳ mô-đun phụ thuộc nào của nó không tải được, đó là một biện pháp quyết liệt dành cho các môi trường mà bảo mật được ưu tiên hơn tính khả dụng.

Một vấn đề thú vị khác là việc kiểm soát giao diện đồ họa cho tính toàn vẹn bộ nhớNếu bạn muốn nó hiển thị mờ và kèm theo thông báo “Cài đặt này do quản trị viên của bạn quản lý”, bạn có thể chạy lệnh sau:

reg delete HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity /v "WasEnabledBy" /f

Và nếu sau này bạn quyết định trả lại quyền điều khiển bình thường cho người dùng đối với công tắc đó, bạn có thể phục hồi lại nó với:

reg add HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity /v "WasEnabledBy" /t REG_DWORD /d 2 /f

Đảm bảo tính toàn vẹn bộ nhớ với App Control for Business

Tại các công ty quản lý lực lượng lao động lớn, việc áp dụng các chính sách của thường thuận tiện hơn. Kiểm soát ứng dụng cho doanh nghiệp (cổ đại windows Defender (Kiểm soát ứng dụng) để đảm bảo tính toàn vẹn bộ nhớ tập trung. Có một số cách để thực hiện điều này:

1. Thông qua Trợ lý điều khiển ứng dụngKhi tạo hoặc chỉnh sửa chính sách, bằng cách chọn tùy chọn “Tính toàn vẹn mã được bảo vệ bởi hypervisor” trên trang quy tắc chính sách.
2. Sử dụng cmdlet của PowerShell Set-HVCIOptionsĐiều này cho phép bạn kích hoạt, vô hiệu hóa hoặc điều chỉnh hoạt động của HVCI (Hypervisor-Enforced Code Integrity) từ các tập lệnh quản trị.
3. Chỉnh sửa trực tiếp Chính sách kiểm soát ứng dụng XML và sửa đổi giá trị của phần tử <HVCIOptions>Điều chỉnh sao cho phù hợp với nhu cầu của từng tổ chức.

Làm thế nào để kiểm tra xem VBS và tính toàn vẹn bộ nhớ có đang hoạt động hay không?

Khi bạn tin rằng mình đã thiết lập mọi thứ đúng cách, điều quan trọng là... Kiểm tra xem những chức năng nào thực sự được kích hoạt và đang chạy.Windows cung cấp một số công cụ cho việc này, cả trực tuyến và ngoại tuyến. lệnh như từ giao diện đồ họa.

Kiểm tra với lớp WMI Win32_DeviceGuard

Trên Windows 10, Windows 11 và Windows Server 2016 trở lên, có một lớp WMI cụ thể dành cho VBS và Device Guard: Win32_DeviceGuardTừ cửa sổ dòng lệnh PowerShell với quyền quản trị viên, bạn có thể lấy thông tin bằng lệnh sau:

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

Kết quả đầu ra của lệnh này Nó bao gồm khá nhiều lĩnh vực.Một số công cụ đặc biệt hữu ích là:

• InstanceIdentifierChuỗi ký tự duy nhất dùng để xác định thiết bị trong WMI.
• phiên bảnPhiên bản của lớp WMI, hiện thường là 1.0.
• Thuộc tính bảo mật có sẵnDanh sách các thuộc tính bảo mật được phần cứng và hệ thống hỗ trợ cho VBS và tính toàn vẹn bộ nhớ. Mỗi con số biểu thị một dung lượng khả dụng:
  0: không có thuộc tính liên quan
  1: Khả năng tương thích với Hypervisor
  2: Chế độ Khởi động An toàn (Secure Boot) khả dụng
  3: Có tính năng bảo vệ DMA.
  4: Ghi đè bộ nhớ an toàn
  5: Các biện pháp bảo vệ NX hiện có
  6: Các biện pháp giảm thiểu rủi ro SMM
  7: MBEC/GMET có sẵn
  8: Khả dụng ảo hóa APIC
• Trạng thái thực thi chính sách toàn vẹn mã: Cho biết cách chính sách toàn vẹn mã được áp dụng trong hệ thống:
  0: đã tắt
  1: ở chế độ kiểm toán
  2: ở chế độ tăng cường
• Thuộc tính bảo mật bắt buộc: chỉ định các thuộc tính bảo mật cần thiết để kích hoạt VBS trên máy tính đó, sử dụng cùng hệ thống đánh số như trước (1 cho hypervisor, 2 cho Secure Boot, 3 cho DMA, v.v.).
• Dịch vụ bảo mật đã được cấu hình: Cho biết các dịch vụ bảo mật dựa trên ảo hóa nào đã được cấu hình:
  0: không có
  1: Credential Guard đã được cấu hình
  2: Cấu hình tính toàn vẹn bộ nhớ
  3: Đã cấu hình bảo vệ Khởi động An toàn Hệ thống
  4: Đo lường phần mềm SMM đã cấu hình
  5-7: Các chế độ khác nhau của bảo vệ ngăn xếp ứng dụng phần cứng và dịch chuyển trang được tăng cường bởi hypervisor
• Dịch vụ bảo mật đang chạyTương tự như ví dụ trước, nhưng hiển thị các dịch vụ nào đang thực sự hoạt động (0 nghĩa là không có dịch vụ nào, 1 nghĩa là Credential Guard đang hoạt động, 2 nghĩa là tính toàn vẹn bộ nhớ đang chạy, v.v.).
• UsermodeCodeIntegrityPolicyEnforcementStatusTrạng thái toàn vẹn mã ở chế độ người dùng (0 bị vô hiệu hóa, 1 kiểm tra, 2 được thực thi).
• Trạng thái bảo mật dựa trên ảo hóa: có lẽ là lĩnh vực quan trọng nhất đối với VBS:
  0: VBS chưa được kích hoạt
  1: VBS đã được bật nhưng không chạy
  2: VBS đã được bật và đang chạy
• Cách ly máy ảo y Thuộc tính cách ly máy ảoNhững điều này mô tả mức độ cách ly máy ảo được hỗ trợ. Các giá trị có thể bao gồm AMD SEV-SNP (1), Bảo mật dựa trên ảo hóa (2) và Intel TDX (3).

Sử dụng msinfo32.exe để xem trạng thái VBS.

Nếu bạn thích hình ảnh trực quan hơn, bạn có thể khởi chạy msinfo32.exe Từ cửa sổ Run hoặc từ cửa sổ PowerShell với quyền quản trị viên. Sau khi cửa sổ "Thông tin hệ thống" mở ra, trong phần... “Tóm tắt hệ thống” Ở phía dưới, bạn sẽ thấy một khối dành riêng cho “Bảo mật dựa trên ảo hóa” Bao gồm thông tin chi tiết về việc VBS có được kích hoạt hay không, các chức năng mà nó sử dụng và các yêu cầu mà thiết bị đáp ứng.

Các sự cố thường gặp và cách khắc phục khi sử dụng tính toàn vẹn bộ nhớ

Không phải tất cả đều có lợi. Việc kích hoạt Chế độ cách ly lõi và đặc biệt là Tính toàn vẹn bộ nhớ có thể dẫn đến các vấn đề. xung đột trình điều khiển, giảm hiệu suất hoặc thậm chí là màn hình xanhđặc biệt là trên các máy tính có phần cứng cũ hoặc trình điều khiển lỗi thời.

Một trong những lỗi thường gặp nhất là: Trình điều khiển thiết bị ngừng tải hoặc bắt đầu gây ra sự cố. trong quá trình chạy. Giải pháp hầu như luôn liên quan đến việc cố gắng cập nhật trình điều khiển từ... Trình quản lý thiết bị hoặc tải xuống từ trang web của nhà sản xuất để có phiên bản đã được ký và tương thích với HVCI.

Trong một số trường hợp khác, sau khi kích hoạt tính năng này, một số người dùng nhận thấy rằng... Tốc độ khung hình (FPS) trong game giảm đáng kể. Hoặc một số ứng dụng ảo hóa nhất định (như BlueStacks hoặc các trình giả lập tương tự) ngừng hoạt động hoặc trở nên rất không ổn định. Điều này có thể là do tính toàn vẹn bộ nhớ sử dụng nhiều khả năng ảo hóa của bộ xử lý và chặn các kỹ thuật mà các ứng dụng này sử dụng. ứng dụng đã được sử dụng trước đây.

Cũng có những báo cáo về các máy tính mà Màn hình xanh được hiển thị Khi cố gắng bật tính năng cách ly nhân hệ điều hành hoặc sau khi khởi động lại với tính năng Bảo toàn bộ nhớ được bật. Trong những trường hợp này, nếu bạn không thể đăng nhập vào hệ thống một cách bình thường, bạn có thể sử dụng các biện pháp sau: Môi trường khôi phục Windows (Windows RE).

Quy trình điển hình Trong trường hợp xảy ra sự cố nghiêm trọng, kết quả sẽ là:

1. Nếu có thể, hãy vô hiệu hóa trước các chính sách nhóm, Intune hoặc các công cụ khác có thể đang thực thi VBS và tính toàn vẹn bộ nhớ.
2. Khởi động máy tính vào Windows RE (ví dụ: bằng cách gián đoạn quá trình khởi động nhiều lần hoặc sử dụng phương tiện cài đặt) và truy cập vào bảng điều khiển.
3. Sau khi vào Windows RE, hãy chỉnh sửa Registry theo cách thủ công để Vô hiệu hóa tính toàn vẹn bộ nhớVí dụ, với:
   reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 0 /f
4. Khởi động lại thiết bị và kiểm tra xem quá trình khởi động có trở lại bình thường hay không.

Thực hiện tính toàn vẹn bộ nhớ trong máy ảo Hyper-V

Tính toàn vẹn của bộ nhớ không chỉ giới hạn ở thiết bị vật lý: nó còn có thể là... cho phép bên trong máy ảo của Hyper-V Gần như tương tự như trên máy tính thông thường. Từ góc nhìn của hệ thống khách, các bước kích hoạt là tương đương.

Tuy nhiên, cần lưu ý rằng sự bảo vệ này áp dụng cho nội dung máy ảo kháchNói cách khác, nó giúp bảo vệ máy ảo khỏi phần mềm độc hại và các cuộc tấn công được thực hiện bên trong nó, nhưng Nó không bảo vệ máy chủ hoặc người quản trị nền tảng.Quản trị viên máy chủ có thể vô hiệu hóa tính toàn vẹn bộ nhớ cho máy ảo bằng một lệnh PowerShell đơn giản:

Quản trị viên máy chủ có thể Vô hiệu hóa tính toàn vẹn bộ nhớ của máy ảo Với một lệnh PowerShell đơn giản:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Để sử dụng tính năng Bảo toàn Bộ nhớ trong Hyper-V, cần thực hiện một số bước. yêu cầu tối thiểu:

• El Máy chủ Hyper-V Hệ điều hành phải chạy tối thiểu Windows Server 2016 hoặc Windows 10 phiên bản 1607.
• La Máy ảo phải là thế hệ 2. và chạy tối thiểu hệ điều hành Windows Server 2016 hoặc Windows 10.
• Tính toàn vẹn bộ nhớ có thể được kết hợp với ảo hóa lồng nhauNếu bạn muốn cài đặt vai trò Hyper-V bên trong máy ảo, trước tiên bạn cần kích hoạt môi trường ảo hóa lồng nhau trên máy chủ.
• Các bộ điều hợp kênh quang ảo Chúng không tương thích với tính năng Bảo toàn Bộ nhớ. Trước khi kết nối chúng với máy ảo, cần phải loại trừ chúng khỏi hệ thống bảo mật dựa trên ảo hóa bằng cách sử dụng Set-VMSecurity.
• các tùy chọn AllowFullSCSICommandSet Ổ đĩa truyền trực tiếp cũng không hỗ trợ tính toàn vẹn bộ nhớ. Nếu muốn sử dụng, bạn phải tắt bảo mật dựa trên ảo hóa cho máy ảo đó.

Việc cách ly lõi và tác động của nó đến hiệu năng: Liệu có đáng giá?

Một câu hỏi thường xuyên được đặt ra là liệu có đáng để bật Core Isolation và Memory Integrity khi bạn nhận thấy máy tính hoạt động không ổn định hay không. mất một số hiệu suấtQuạt bắt đầu hoạt động hoặc một số chương trình ngừng hoạt động bình thường.

Ví dụ, một số người dùng đã báo cáo rằng khi kích hoạt tùy chọn này thì gặp sự cố. BlueStacks ngừng hoạt động hoặc các công cụ quản lý cụ thể như Trung tâm chỉ huy Alienware Chúng ngừng giám sát phần cứng một cách chính xác, khiến quạt chạy quá tải. Nguyên nhân thường là do trình điều khiển hoặc dịch vụ không được thiết kế để hoạt động với HVCI.

Người chơi cũng thường xuyên nhận thấy điều này. Giảm FPS trong các trò chơi đòi hỏi cấu hình cao. Khi bật tính năng toàn vẹn bộ nhớ, chi phí ảo hóa và các kiểm tra nhân bổ sung sẽ làm tăng độ trễ và tiêu tốn tài nguyên. Điều này không quá nghiêm trọng trên tất cả các hệ thống, nhưng có thể nhận thấy trên một số hệ thống.

Trong những trường hợp này, quyết định phụ thuộc vào ưu tiên của bạn: nếu bạn sử dụng nhiều tài nguyên cho game hoặc các chương trình không tương thích, thì việc này có thể hợp lý. tạm thời vô hiệu hóa cách ly lõiNgược lại, nên thận trọng hơn: tránh tải Tránh truy cập các trang web đáng ngờ, không vào các trang web không đáng tin cậy và luôn giữ cho phần mềm diệt virus của bạn hoạt động và được cập nhật, chẳng hạn như Microsoft Defender hoặc một giải pháp đáng tin cậy khác.

Ngược lại, nếu bạn không nhận thấy bất kỳ lỗi hoặc vấn đề hiệu năng đáng kể nào khi kích hoạt Core Isolation, thì tính năng này rất được khuyến khích sử dụng. Hãy giữ nguyên nó như một lớp bảo vệ bổ sung.đặc biệt là trong máy tính xách tay bao gồm việc đi lại, làm việc nhóm hoặc các thiết bị xử lý dữ liệu nhạy cảm.

Bài viết liên quan:

Tất cả về tính năng cô lập lõi trong Windows 11: bảo mật, lợi ích và các vấn đề

Isaac

Người viết đam mê về thế giới byte và công nghệ nói chung. Tôi thích chia sẻ kiến ​​thức của mình thông qua viết lách và đó là những gì tôi sẽ làm trong blog này, cho bạn thấy tất cả những điều thú vị nhất về tiện ích, phần mềm, phần cứng, xu hướng công nghệ, v.v. Mục tiêu của tôi là giúp bạn điều hướng thế giới kỹ thuật số một cách đơn giản và thú vị.