Úvodná » ako » Čo sú Izolácia jadra a Integrita pamäte v systéme Windows 10?

    Čo sú Izolácia jadra a Integrita pamäte v systéme Windows 10?

    Aktualizácia systému Windows 10 v apríli 2018 prináša bezpečnostné funkcie "Core Isolation" a "Integrita pamäte" pre všetkých. Používajú zabezpečenie založené na virtualizácii na ochranu vašich procesov hlavného operačného systému pred neoprávneným zásahom, ale ochrana pred pamäťou je predvolene vypnutá pre ľudí, ktorí aktualizujú.

    Čo je Izolácia jadra?

    V pôvodnej verzii systému Windows 10 boli funkcie zabezpečenia založené na virtualizácii (VBS) dostupné iba v podnikových vydaniach systému Windows 10 ako súčasť funkcie "Device Guard". Vďaka aktualizácii v apríli 2018 prináša Core Isolation niektoré bezpečnostné funkcie založené na virtualizácii pre všetkých vydania systému Windows 10.

    Niektoré funkcie izolácie jadra sú štandardne povolené na počítačoch so systémom Windows 10, ktoré spĺňajú určité požiadavky na hardvér a firmvér, vrátane 64-bitového procesora a čipu TPM 2.0. Vyžaduje tiež, aby počítač podporoval virtualizačnú technológiu Intel VT-x alebo AMD-V a aby bol povolený v nastaveniach UEFI vášho počítača.

    Keď sú tieto funkcie povolené, systém Windows používa funkcie virtualizácie hardvéru na vytvorenie zabezpečenej oblasti systémovej pamäte, ktorá je izolovaná od normálneho operačného systému. Systém Windows môže spustiť systémové procesy a bezpečnostný softvér v tejto bezpečnej oblasti. To chráni dôležité procesy operačného systému pred tým, aby boli manipulované všetkým, čo bežia mimo zabezpečenú oblasť.

    Aj keď je na vašom počítači spustený škodlivý softvér a viete, že ho zneužíva, ktoré by mu umožňovalo prelomiť tieto procesy systému Windows, zabezpečenie založené na virtualizácii je ďalšou vrstvou ochrany, ktorá ho izoluje pred útokom.

    Čo je integrita pamäte?

    Funkcia známa ako "Integrita pamäte" v rozhraní Windows 10 je tiež známa ako "Hypervisor Protected Code Integrity" (HVCI) v dokumentácii spoločnosti Microsoft.

    Integrita pamäte je predvolene zakázaná na počítačoch, ktoré inovovali na aktualizáciu v apríli 2018, ale môžete ju povoliť. V predvolenom nastavení bude povolené nové inštalácie systému Windows 10 v budúcnosti.

    Táto vlastnosť je podmnožinou základnej izolácie. Systém Windows zvyčajne vyžaduje digitálne podpisy pre ovládače zariadení a iný kód spustený v režime jadra v režime nízkej úrovne. Tým sa zabezpečí, že nebudú manipulované škodlivým softvérom. Keď je zapnutá funkcia "Integrita pamäte", služba "integrity kódu" v systéme Windows sa spúšťa vnútri kontajnera chráneného hypervízorom, ktorý bol vytvorený Core Izoláciou. Malo by to takmer znemožniť, aby sa malware prekonal kontrola integrity kódu a získal prístup k jadru systému Windows.

    Problémy s virtuálnym počítačom

    Keďže pamäťová integrita používa virtualizačný hardvér systému, je nekompatibilný s programami virtuálnych počítačov, ako je VirtualBox alebo VMware. Iba jedna aplikácia môže používať tento hardvér naraz.

    Môžete sa zobraziť hlásenie, že Intel VT-X alebo AMD-V nie sú povolené alebo dostupné, ak inštalujete program virtuálneho stroja do systému s povolenou pamäťou Integrity. V systéme VirtualBox sa môže zobraziť chybové hlásenie "Raw-mode nie je k dispozícii s povolením Hyper-V", kým je povolená ochrana pamäte.

    Či tak alebo onak, ak narazíte na problém so softvérom virtuálneho počítača, musíte ho zablokovať, aby ste ho mohli používať.

    Prečo je štandardne zakázané?

    Hlavná funkcia izolácie jadra by nemala spôsobovať žiadne problémy. Je povolený na všetkých počítačoch so systémom Windows 10, ktoré ju podporujú, a neexistuje žiadne rozhranie na jeho deaktiváciu.

    Ochrana pamäte integrity však môže spôsobiť problémy s niektorými ovládačmi zariadení alebo inými aplikáciami s nízkou úrovňou Windows, a preto je predvolene zakázaná pri inováciách. Microsoft stále tlačí vývojárov a výrobcov zariadení, aby svoje ovládače a softvér kompatibilné, čo je dôvod, prečo je štandardne povolený na nové počítače a nové inštalácie systému Windows 10.

    Ak je niektorý z ovládačov, ktoré váš počítač vyžaduje na zavedenie, nekompatibilný s ochranou pamäte, systém Windows 10 vypne ochranu pamäte, aby sa zabezpečilo správne spustenie počítača a jeho fungovanie. Takže ak sa pokúsite povoliť a reštartovať len aby sa zistilo, že je stále zakázané, to je dôvod, prečo.

    Ak narazíte na problémy s inými zariadeniami alebo chybným softvérom po povolení ochrany pamäte, spoločnosť Microsoft odporúča kontrolu aktualizácií s konkrétnou aplikáciou alebo ovládačom. Ak nie sú k dispozícii žiadne aktualizácie, vypnite ochranu pamäte.

    Ako sme uviedli vyššie, Integrita pamäte bude tiež nekompatibilná s niektorými aplikáciami, ktoré vyžadujú exkluzívny prístup k virtualizačnému hardvéru systému, ako sú programy virtuálnych strojov. Ostatné nástroje, vrátane niektorých ladiacich nástrojov, tiež vyžadujú exkluzívny prístup k tomuto hardvéru a nebudú pracovať s povolenou pamäťou Integrity.

    Ako povoliť integritu základnej izolácie pamäte

    Môžete vidieť, či má váš počítač povolené funkcie Core Isolation a zapnúť alebo vypnúť ochranu pamäte z aplikácie Windows Defender Security Center. (Tento nástroj sa v rámci aktualizácie v októbri 2018 premenuje na "Zabezpečenie systému Windows").

    Ak ho chcete otvoriť, vyhľadajte v ponuke Štart "Centrum zabezpečenia systému Windows Defender" alebo prejdite na položku Nastavenia> Aktualizácia a zabezpečenie> Zabezpečenie systému Windows> Otvorte Centrum zabezpečenia programu Windows Defender.

    Kliknite na ikonu Zabezpečenie zariadenia v Centre zabezpečenia.

    Ak je na hardvéri počítača zapnutá funkcia Isolation Core, zobrazí sa tu správa "Zabezpečenie založené na virtualizácii, ktoré chráni hlavné časti vášho zariadenia".

    Ak chcete aktivovať (alebo zakázať) ochranu pamäte, kliknite na odkaz "Podrobnosti izolácie jadra".

    Táto obrazovka zobrazuje, či je Integrita pamäte zapnutá alebo nie. To je tu jediná možnosť.

    Ak chcete zapnúť funkciu Integrita pamäte, otočte prepínač do polohy "Zapnuté". Ak sa stretnete s problémami s aplikáciou alebo zariadením a musíte vypnúť funkciu Integrita pamäte, vráťte sa sem a prepnite prepínač do polohy "Vypnuté".

    Zobrazí sa výzva na reštartovanie počítača a zmena sa prejaví až po jeho spustení.

    Viac funkcií Windows Defender Exploit Guard

    Core Isolation a Integrity pamäte sú niektoré z mnohých nových bezpečnostných funkcií, ktoré spoločnosť Microsoft pridala ako súčasť programu Windows Defender Exploit Guard. Jedná sa o kolekciu funkcií určených na zabezpečenie systému Windows proti útokom.

    Ochrana pred zneužitím, ktorá chráni váš operačný systém a aplikácie od mnohých typov zneužitia, je predvolene povolená. Toto nahrádza starý nástroj EMET od spoločnosti Microsoft a obsahuje funkcie, ktoré sme predtým odporučili nainštalovať program Malware Anti-Exploit. Všetci používatelia systému Windows 10 teraz využívajú ochranu.

    K dispozícii je aj prístup k ovládanému priečinku, ktorý chráni vaše súbory pred ransomware. V predvolenom nastavení nie je povolená, pretože vyžaduje určitú konfiguráciu. Ak povolíte túto funkciu, musíte povoliť prístup k aplikáciám skôr, ako budú mať prístup k súborom vo vašich osobných priečinkoch.


    Pokračovanie vpred, Integrita pamäte bude štandardne zapnutá na všetkých nových počítačoch a poskytne dodatočnú ochranu proti útokom. Iba pokročilí používatelia, ktorí používajú softvér virtuálneho počítača a ďalšie nástroje, ktoré vyžadujú prístup k hardvéru virtualizácie systému, ho musia zakázať.