Čo je Izolácia jadra?
V pôvodnej verzii systému Windows 10 boli funkcie virtualizácie založené na zabezpečení (VBS) k dispozícii len v podnikových vydaniach systému Windows 10 ako súčasť "ochrany zariadenia". Vďaka aktualizácii v apríli 2018 prináša Core Isolation niektoré funkcie zabezpečenia virtualizácie pre všetkých vydania systému Windows 10.
Niektoré funkcie izolácie jadra sú v predvolenom nastavení povolené pre počítače s operačným systémom Windows 10, ktoré spĺňajú určité požiadavky na hardvér a firmvér, vrátane 64-bitového CPU a čipu TPM 2.0. Vyžaduje tiež, aby počítač podporoval virtualizačnú technológiu Intel VT-x alebo AMD-V a že je povolený v nastaveniach UEFI vášho počítača.
Keď sú tieto funkcie povolené, systém Windows používa funkcie virtualizácie hardvéru na vytvorenie zabezpečenej oblasti systémovej pamäte, ktorá je izolovaná od normálneho operačného systému. Systém Windows môže spustiť systémové procesy a bezpečnostný softvér v tejto bezpečnej oblasti. To chráni dôležité procesy operačného systému pred tým, aby boli poškodené všetkým, čo sa nachádzajú mimo zabezpečenú oblasť.
Aj keď na vašom počítači beží škodlivý softvér a viete, že ho zneužíva, ktoré by mu umožňovalo prelomiť tieto procesy systému Windows, je zabezpečenie založené na virtualizácii dodatočnou úrovňou ochrany, ktorá ho izoluje pred útokom.
Čo je pamäť integrity?
Funkcia známa ako "Integrita pamäte" v rozhraní Windows 10 je tiež známa pod názvom Hypervisor Protected Code Integrity (HVCI) v dokumentácii spoločnosti Microsoft.
Integrita pamäte je predvolene zakázaná na počítačoch, ktoré inovovali na aktualizáciu v apríli 2018, ale môžete ju povoliť. V predvolenom nastavení bude povolené nové inštalácie systému Windows 10 v budúcnosti.
Táto funkcia je podmnožinou základnej izolácie. Systém Windows normálne vyžaduje digitálne podpisy pre ovládače zariadení a iný kód, ktorý beží v režime jadra v režime nízkej úrovne. Tým sa zabezpečí, že nebudú manipulované so škodlivým softvérom. Keď je zapnutá funkcia "Integrita pamäte", služba "integrity kódu" v systéme Windows sa spúšťa vnútri kontajnera chráneného hypervízorom, ktorý bol vytvorený systémom Core Isolation. Malo by to takmer znemožniť, aby sa škodlivý softvér mohol manipulovať s kontrolami integrity kódu a získať prístup k jadru systému Windows.
Problémy s virtuálnym počítačom
Môžete sa zobraziť hlásenie, že Intel VT-X alebo AMD-V nie sú povolené alebo dostupné, ak nainštalujete program virtuálneho stroja do systému s povolenou pamäťou Integrity. V programe VirtualBox sa môže zobraziť chybové hlásenie "Raw-mode nie je k dispozícii s povolením Hyper-V", kým je povolená ochrana pamäte.
Či tak alebo onak, ak narazíte na problém so softvérom virtuálneho počítača, musíte ho zablokovať, aby ste ho mohli používať.
Prečo je to predvolene zakázané?
Hlavná funkcia Izolácia jadra by nemala spôsobovať žiadne problémy. Je povolený na všetkých počítačoch so systémom Windows 10, ktoré ju podporujú, a neexistuje žiadne rozhranie na jeho deaktiváciu.
Ochrana pamäte integrity však môže spôsobiť problémy s niektorými ovládačmi zariadení alebo s inými aplikáciami Windows s nízkou úrovňou, čo je dôvodom, prečo je predvolene zakázaná pri inováciách. Spoločnosť Microsoft stále tlačí vývojárov a výrobcov zariadení, aby svoje ovládače a softvér kompatibilné, a preto je predvolene povolený pre nové počítače a nové inštalácie systému Windows 10.
Ak je niektorý z ovládačov, ktoré váš počítač vyžaduje na zavedenie, nekompatibilný s ochranou pamäte, systém Windows 10 vypne ochranu pamäte, čím zabráni tomu, aby sa počítač mohol spustiť a pracovať správne. Takže ak sa pokúsite povoliť a reštartovať len aby zistil, že je stále zablokované, to je dôvod, prečo.
Ak po aktivovaní ochrany pamäťou narazíte na problémy s inými zariadeniami alebo chybným softvérom, spoločnosť Microsoft odporúča kontrolu aktualizácií s konkrétnou aplikáciou alebo ovládačom. Ak nie sú k dispozícii žiadne aktualizácie, vypnite ochranu pamäte.
Ako sme uviedli vyššie, Integrita pamäte bude tiež nekompatibilná s niektorými aplikáciami, ktoré vyžadujú exkluzívny prístup k virtualizačnému hardvéru systému, ako sú programy virtuálnych strojov. Ostatné nástroje, vrátane niektorých ladiacich nástrojov, tiež vyžadujú exkluzívny prístup k tomuto hardvéru a nebudú fungovať s povolenou pamäťou Integrity.
Ako povoliť integritu základnej izolácie pamäte
Môžete vidieť, či má počítač povolené funkcie Core Isolation a zapnúť alebo vypnúť ochranu pamäte z aplikácie Windows Defender Security Center. (Tento nástroj sa v rámci aktualizácie v októbri 2018 premenuje na "Zabezpečenie systému Windows").
Ak ho chcete otvoriť, vyhľadajte v ponuke Štart "Centrum zabezpečenia systému Windows Defender" alebo prejdite na položku Nastavenia> Aktualizácia a zabezpečenie> Zabezpečenie systému Windows> Otvorte Centrum zabezpečenia programu Windows Defender.
Ak chcete povoliť (alebo zakázať) ochranu pamäte, kliknite na odkaz "Izolácia podrobností jadra".
Ak chcete zapnúť funkciu Integrita pamäte, otočte prepínač do polohy "Zapnuté". Ak narazíte na problémy s aplikáciou alebo zariadením a musíte vypnúť funkciu Integrita pamäte, vráťte sa a prepnite spínač do polohy "Vypnuté".
Viac funkcií Windows Defender Exploit Guard
Core Isolation a Integrity pamäte sú niektoré z mnohých nových bezpečnostných funkcií, ktoré spoločnosť Microsoft pridala ako súčasť programu Windows Defender Exploit Guard. Ide o zbierku funkcií určených na zabezpečenie systému Windows proti útokom.
Ochrana pred zneužitím, ktorá chráni váš operačný systém a aplikácie od mnohých typov zneužitia, je predvolene povolená. Toto nahrádza starý nástroj EMET od spoločnosti Microsoft a obsahuje funkcie, ktoré sme predtým odporučili nainštalovať program Malware Anti-Exploit. Všetci používatelia systému Windows 10 teraz využívajú ochranu.
K dispozícii je aj prístup k ovládanému priečinku, ktorý chráni vaše súbory pred ransomware. Štandardne nie je povolená, pretože vyžaduje určitú konfiguráciu. Ak povolíte túto funkciu, musíte povoliť prístup k aplikáciám skôr, ako budú mať prístup k súborom vo vašich osobných priečinkoch.
Pokračovanie vpred, Integrita pamäte bude štandardne zapnutá na všetkých nových počítačoch a poskytne dodatočnú ochranu proti útokom. Iba pokročilí používatelia, ktorí používajú softvér virtuálneho počítača a iné nástroje, ktoré vyžadujú prístup k hardvéru virtualizácie systému, ho musia zakázať.
