Hemsida » hur » Vad är Core Isolation och Memory Integrity i Windows 10?

    Vad är Core Isolation och Memory Integrity i Windows 10?

    Windows 10: s april 2018-uppdatering ger säkerhetsfunktionerna "Core Isolation" och "Memory Integrity" till alla. Dessa använder virtualiseringsbaserad säkerhet för att skydda dina kärnoperativsystemsprocesser från manipulering, men Memory Protection är som standard avstängt för personer som uppgraderar.

    Vad är Core Isolation?

    I den ursprungliga versionen av Windows 10 var virtualiseringsbaserade säkerhetsfunktioner (VBS) endast tillgängliga på Enterprise-utgåvor av Windows 10 som en del av "Device Guard." Med uppdateringen från april 2018 ger Core Isolation vissa virtualiseringsbaserade säkerhetsfunktioner till alla utgåvor av Windows 10.

    Vissa Core Isolation-funktioner är som standard aktiverade på Windows 10-datorer som uppfyller vissa krav på hårdvara och firmware, inklusive 64-bitars CPU och TPM 2.0-chip. Det kräver också att din dator stöder Intel VT-X eller AMD-V virtualiseringstekniken, och att den är aktiverad i datorns UEFI-inställningar.

    När dessa funktioner är aktiverade använder Windows funktioner för maskinvaruvirtualisering för att skapa ett säkert område av systemminne som är isolerat från det normala operativsystemet. Windows kan köra systemprocesser och säkerhetsprogram i det här säkra området. Detta skyddar viktiga operativsystemsprocesser från att manipuleras av något som går utanför det säkra området.

    Även om skadlig programvara körs på din dator och känner till ett utnyttjande som bör göra det möjligt att spricka dessa Windows-processer, är virtualiseringsbaserad säkerhet ett extra skyddslag som kommer att isolera dem från attacker.

    Vad är Memory Integrity?

    Funktionen "Memory Integrity" i Windows 10-gränssnittet kallas också "Hypervisor protected Code Integrity" (HVCI) i Microsofts dokumentation.

    Minnesintegritet är som standard inaktiverat på datorer som uppgraderades till uppdateringen april 2018, men du kan aktivera den. Den aktiveras som standard på nya installationer av Windows 10 framåt.

    Denna funktion är en delmängd av Core Isolation. Windows kräver vanligtvis digitala signaturer för drivrutiner och annan kod som körs i Windows-kärnläge med låg nivå. Detta säkerställer att de inte har manipulerats av skadlig kod. När "Memory Integrity" är aktiverat, körs "Code Integity Service" i Windows i den hypervisor-skyddade behållaren skapad av Core Isolation. Detta skulle göra det nästan omöjligt för malware att manipulera med koden integritetskontroller och få tillgång till Windows-kärnan.

    Virtuella maskinproblem

    Eftersom Memory Integrity använder systemets virtualiseringshårdvara är det oförenligt med virtuella maskinprogram som VirtualBox eller VMware. Endast en applikation kan använda den här maskinvaran åt gången.

    Du får se ett meddelande som säger att Intel VT-X eller AMD-V inte är aktiverat eller tillgängligt om du installerar ett virtuellt maskinprogram på ett system med Memory Integrity aktiverat. I VirtualBox kan du få se felmeddelandet "Raw-mode är inte tillgängligt med tillstånd av Hyper-V" medan Memory Protection är aktiverat.

    Hur som helst, om du stöter på ett problem med din virtuella maskinvara, måste du inaktivera Memory Integrity för att använda den.

    Varför är det avstängt som standard?

    Huvudkärnisoleringsfunktionen bör inte orsaka några problem. Den är aktiverad på alla Windows 10-datorer som kan stödja den, och det finns inget gränssnitt för att inaktivera det.

    Dock kan minnesintegritetsskydd orsaka problem med vissa drivrutiner eller andra Windows-program på låg nivå, varför den är avstängd som standard vid uppgraderingar. Microsoft driver fortfarande utvecklare och tillverkare av enheter för att göra sina drivrutiner och programvarukompatibla. Det är därför som standard på nya datorer och nya installationer av Windows 10.

    Om en av drivrutinerna som datorn behöver för att starta är inkompatibel med minneskydd, stänger Windows 10 tyst av minneskydd för att datorn ska kunna starta och fungera korrekt. Så om du försöker aktivera det och omstartar bara för att hitta det är fortfarande inaktiverat, det är därför.

    Om du stöter på problem med andra enheter eller funktionsfel när du har aktiverat minnesskydd rekommenderar Microsoft att du letar efter uppdateringar med det specifika programmet eller drivrutinen. Om det inte finns några uppdateringar, stäng av minneskydd.

    Som vi nämnde ovan kommer Memory Integrity också att vara oförenlig med vissa applikationer som kräver exklusiv åtkomst till systemets virtualiseringshårdvara, som virtuella maskinprogram. Andra verktyg, inklusive vissa debuggers, kräver även exklusiv åtkomst till den här hårdvaran och fungerar inte med Memory Integrity aktiverad.

    Hur man aktiverar Core Isolation Memory Integrity

    Du kan se om din dator har funktioner för kärnisolering och aktivera eller inaktivera minneskydd från Windows Defender Security Center-programmet. (Detta verktyg kommer att omdöpa "Windows Security" som en del av uppdateringen oktober 2018.)

    För att öppna den, sök efter "Windows Defender Security Center" i din Start-meny eller gå till Inställningar> Uppdatering och säkerhet> Windows Security> Öppna Windows Defender Security Center.

    Klicka på ikonen "Enhetssäkerhet" i säkerhetscenter.

    Om Core Isolation är aktiverad på datorns maskinvara ser du meddelandet "Virtualiseringsbaserad säkerhet körs för att skydda enhetens kärndelar" här.

    För att aktivera (eller inaktivera) Minneskydd, klicka på länken "Kärnisoleringsdetaljer".

    Den här skärmen visar om minnesintegritet är aktiverat eller inte. Det är det enda alternativet för nu.

    För att aktivera Memory Integrity, vrid växeln till "På". Om du stöter på program- eller enhetsproblem och behöver inaktivera Memory Integrity, returnera här och vrid växeln till "Av".

    Du uppmanas att starta om datorn, och ändringen kommer bara att träda i kraft när du har.

    Fler Windows Defender Exploit Guard-funktioner

    Kärnisolering och Memory Integrity är några av de många nya säkerhetsfunktionerna som Microsoft har lagt till som en del av Windows Defender Exploit Guard. Detta är en samling funktioner som är avsedda att säkra Windows mot attack.

    Exploit Protection, som skyddar ditt operativsystem och applikationer från många typer av exploater, är aktiverat som standard. Detta ersätter Microsofts gamla EMET-verktyg och innehåller anti-exploits-funktioner som vi tidigare rekommenderat att installera Malware Anti-Exploit for. Alla Windows 10-användare har nu utnyttjandeskydd.

    Det finns också kontrollerad mappåtkomst, som skyddar dina filer från ransomware. Det är inte aktiverat som standard eftersom det kräver viss konfiguration. Om du aktiverar den här funktionen måste du tillåta programåtkomst innan de kan komma åt filer i dina personliga filmappar.


    Framåt kommer Memory Integrity att aktiveras som standard på alla nya datorer, vilket ger ytterligare skydd mot attacker. Endast avancerade användare som använder virtuell maskinvara och andra verktyg som behöver tillgång till systemvariablerings hårdvara måste avaktivera den.