Izolacja jądra programu Windows Defender i integralność pamięci

W ciągu ostatnich kilku lat cyberataki uległy zmianie. Hakerzy mogą teraz przejąć kontrolę nad Twoim komputerem i zablokować Twoje pliki, jeśli nie chcesz im zapłacić. Tego typu ataki nazywane są oprogramowaniem ransomware i wykorzystują exploity na poziomie jądra, które próbują uruchomić złośliwe oprogramowanie z najwyższymi uprawnieniami, takie jak ransomware WannaCry i Petya. Aby złagodzić tego typu ataki, firma Microsoft wdrożyła funkcję umożliwiającą  izolację rdzenia i integralność pamięci w  celu zapobiegania takim atakom.

Izolacja jądra  - zapewnia dodatkową ochronę przed złośliwym oprogramowaniem i innymi atakami, izolując procesy komputera od systemu operacyjnego i urządzenia.

Integralność pamięci - funkcja izolacji jądra może uniemożliwić złośliwemu kodowi dostęp do procesów o wysokim poziomie bezpieczeństwa w przypadku ataku.

Centrum zabezpieczeń programu Windows Defender oferuje teraz tę funkcję - Bezpieczeństwo urządzenia.  Zapewnia raportowanie stanu i zarządzanie funkcjami zabezpieczeń wbudowanymi w urządzenia , w tym włączanie funkcji zapewniających większe bezpieczeństwo. Jednak nie działa programowo; sprzęt również musi go obsługiwać. Oprogramowanie układowe musi obsługiwać technologię wirtualizacji ,    która umożliwia komputerom z systemem Windows 10 uruchamianie aplikacji w kontenerze, aby nie miały dostępu do innych części systemu.

Włącz izolację rdzenia Defender i integralność pamięci

Ważne:  opcje dostępne w ustawieniach zabezpieczeń urządzenia zależą od konfiguracji sprzętu. W moim przypadku standardowe zabezpieczenia sprzętowe nie są obsługiwane, więc system operacyjny używa zabezpieczeń opartych na wirtualizacji . Włączyłem funkcję „Safe Boot” w BIOS-ie i stało się możliwe aktywowanie funkcji izolacji jądra.

Wymagania sprzętowe

Twoje urządzenie spełnia standardowe wymagania sprzętowe dotyczące zabezpieczeń

Oznacza to, że Twoje urządzenie zachowuje integralność pamięci i izolację jądra, a także ma:

  • TPM 2.0 (zwany także procesorem bezpieczeństwa)
  • Włączono bezpieczny rozruch
  • DEP
  • UEFI

Twoje urządzenie spełnia zaawansowane wymagania sprzętowe dotyczące zabezpieczeń

  • Oznacza to, że oprócz wszystkich standardowych wymagań dotyczących zabezpieczeń sprzętowych, Twoje urządzenie ma również wbudowaną pamięć.

Standardowe zabezpieczenia sprzętowe nie są obsługiwane

  • Oznacza to, że Twoje urządzenie nie spełnia co najmniej jednego ze standardowych wymagań sprzętowych dotyczących zabezpieczeń.
  • Zaloguj się jako administrator i otwórz Centrum zabezpieczeń Windows Defender i poszukaj opcji Zabezpieczenia urządzenia .

Bezpieczeństwo urządzenia Windows Defender

  • Następnie kliknij słowo „ informacje o izolacji jądra ” iw kolumnie „ Integralność pamięci ” przeciągnij suwak do pozycji . Po włączeniu poprosi Cię o ponowne uruchomienie komputera, aby w pełni włączyć integralność pamięci. Jeśli później napotkasz problemy ze zgodnością aplikacji, może być konieczne wyłączenie tej funkcji.

Ochrona integralności pamięci Windows 10

Istnieją jednak dwie dodatkowe opcje, które mogą być dostępne w zależności od sprzętu komputerowego.

  1. Procesor bezpieczeństwa  pojawia się tylko wtedy, gdy masz dostępny moduł TPM dla swojego komputera. Są to dyskretne układy scalone przylutowane do płyty głównej komputera OEM. Aby jak najlepiej wykorzystać TPM, producent OEM musi starannie zintegrować sprzęt systemowy i oprogramowanie układowe z modułem TPM, aby wysyłać polecenia i odpowiadać na jego odpowiedzi. Nowe moduły TPM mogą również zapewnić korzyści w zakresie bezpieczeństwa i prywatności samego sprzętu systemowego. Więc pamiętaj, aby sprawdzić to wszystko, jeśli kupujesz nowy komputer.
  2. Bezpieczny rozruch ( Secure the Boot)  zapobiega złośliwemu kodowi przed załadowaniem systemu operacyjnego.

Jeśli włączyłeś suwak i pojawia się błąd „ Nie można zapewnić integralności pamięci. Niezgodność jest możliwa ”, włącz funkcję bezpiecznego rozruchu w systemie BIOS, czyli jednym słowem, musisz włączyć opcję „Bezpieczny rozruch w systemie BIOS”.

Nie można zapewnić integralności pamięci. Możliwa niekompatybilność

Wyłącz integralność pamięci i izolację jądra w programie Defender

Postanowiłem trochę edytować artykuł. Faktem jest, że funkcja jądra jest włączona, ale nie można jej ponownie wyłączyć. W jakiś sposób zdecydowałem się zainstalować grę PointBlank i dał mi to błąd 1073. Szukałem problemu przez około godzinę, aż przypomniałem sobie, że izolacja jądra jest włączona i Frost nie może uzyskać dostępu. Wtedy pojawiło się pytanie, dlaczego, do cholery, miałoby mieć dostęp do mojego jądra? Ogólnie rzecz biorąc, usunąłem grę i na wieczność umieściłem na czarnej liście 4game. Ogólnie rzecz biorąc, gdy funkcja „izolacji jądra” jest włączona w systemie Windows 10 Defender, żadna gra z 4game.ru (nazwa mgła) nie zostanie uruchomiona. Jeśli jest włączony, przeanalizujemy, jak wyłączyć integralność pamięci.

Metoda 1. Jeśli masz włączoną funkcję bezpiecznego rozruchu w systemie  BIOS , przejdź do systemu BIOS i wyłącz ją . Istnieje wiele różnych wersji BIOS-u, UEFI, nie będę opisywał jak to zrobić, ale dam radę; wystarczy wpisać słowo w wyszukiwarce „wyłącz Bezpieczny rozruch w systemie BIOS (można również określić producenta płyty głównej)” i kliknąć zdjęcia , a zostaną wyświetlone. Po wyłączeniu tej funkcji w systemie BIOS przejdź do obrońcy systemu Windows 10, a suwak stanie się aktywny, co pozwoli Ci wyłączyć izolację jądra i integralność pamięci.

Metoda 2 . Następną metodą jest edycja parametru w rejestrze. Otwórz Edytor rejestru i przejdź do następującej ścieżki:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ DeviceGuard \ Scenarios \ HypervisorEnforcedCodeIntegrity

  • Po prawej stronie kliknij dwukrotnie parametry Włączone i ustaw wartość na 0 . Uruchom ponownie komputer, otwórz program Windows Defender, a suwak stanie się aktywny, a następnie wyłącz integralność pamięci i izolację jądra.

Wyłącz integralność pamięci i izolację jądra systemu Windows 10 Defender