内存完整性理解——当启用“内存完整性”时,程序由核心隔离创建的hypervisor保护的容器中运行,这将使恶意软件几乎不可能篡改代码完整性检查并访问Windows内核!就是虚拟化执行嘛!

核心隔离

核心隔离是 Microsoft Windows的一项安全功能,它通过将重要的核心Windows与恶意软件隔离在内存中来保护这些进程。 为此,它会在虚拟化环境中运行这些核心进程。 

内存完整性

内存完整性也称为虚拟机监控程序保护的代码完整性 (HVCI) 是 Windows 安全功能,使恶意程序难以使用低级别驱动程序劫持计算机。

驱动程序是一个软件,允许操作系统 (Windows在此例中) 键盘或网络摄像机 (设备设备,例如两个示例) 相互交谈。 当设备想要Windows它使用驱动程序发送该请求。

提示: 想要了解有关驱动程序的更多信息? 请参阅什么是驱动程序?

内存完整性的工作原理是使用硬件虚拟化创建隔离的环境。

可想而为,就像锁定的展台内的安全防护人员一样。 这种隔离的环境 (中锁定的展台) 防止攻击者篡改内存完整性功能。 想要运行一段可能危险代码的程序必须将代码传递到该虚拟展台内的内存完整性,以便可以验证。 当内存完整性使代码安全时,它会将代码重新Windows运行。 通常,这种情况发生得非常快。

在未运行内存完整性的情况下,安全防护在打开时就非常突出,攻击者更容易干扰或破坏防护,使恶意代码更容易通过并造成问题。

如何管理内存完整性?

在大多数情况下,内存完整性默认在 Windows 11 中打开,并且可以针对 Windows 10。

若要打开或关闭它,请:

  1. 选择 开始 按钮并键入核心隔离。

  2. 从搜索结果中选择核心隔离系统设置,打开Windows应用。

在核心隔离页上,可找到内存完整性以及打开或关闭内存完整性的开关。

内核的核心隔离Windows 安全中心

重要: 为了安全,我们建议打开内存完整性。

若要使用内存完整性,必须在系统的 UEFI 或 BIOS 中启用硬件虚拟化。 

如果它说我有不兼容的驱动程序呢?

如果内存完整性无法打开,可能会告知你已安装不兼容的设备驱动程序。 请咨询设备制造商,了解他们是否提供了更新的驱动程序。 如果他们没有可用的兼容驱动程序,你或许能够删除该不兼容驱动程序的设备或应用。

显示Windows不兼容的驱动程序的内存完整性功能

注意: 如果在启用内存完整性后尝试安装驱动程序不兼容的设备,可能会看到相同的消息。 如果是这样,则适用相同的建议 - 请咨询设备制造商,了解他们是否拥有可下载的更新驱动程序,或者,在提供兼容驱动程序之前不要安装该特定设备。

 

在「Windows Defender 安全中心」中的「设备安全性」选项下,就可以提供当前 Windows 10 PC 的状态报告和管理内置于设备中的安全功能。但需要注意的是,「内核隔离」和「内存完整性」并非软件级别的安全特性,要启用它,还需要您的计算机硬件也支持才行。(固件和 CPU 必需支持虚拟化,以让 Windows 10 PC 支持在容器中运行应用程序。)

Windows 10 开启「内核隔离」和「内存完整性」方法:

1以管理员身份登录 Windows 10 PC——打开「Windows Defender 安全中心」——点击「设备安全性」选项。

「内核隔离」提供了基于虚拟化的安全功能,以保护设备的核心部分。在这里, 您可以查看到当前是否启用了「内核隔离」。

2点击「内核隔离详细信息」链接——将可以查看是否启用了「内存完整性」功能。

「内存完整性」是「内核隔离」附带的一项安全功能,它可以防止恶意攻击代码插入到高安全性进程。

启用「内存完整性」功能之后需要重启系统才能生效。如果稍后遇到应用程序兼容性问题,则可能需要关闭此功能。

根据不同的 PC 硬件,还有 2 种可能的安全选项可用:

  1. 如果您的 PC 有 TPM 芯片,还可以看到一个「安全处理器」选项。较新的 TPM 可以为系统硬件本身提供一定的安全和隐私优势。
  2. 「安全启动」可以防止恶意代码在操作系统之前加载。

 

Windows10 2018年4月的更新为每个人带来了“核心隔离”和“内存完整性”安全功能。它们使用基于虚拟化的安全性来保护您的核心操作系统进程不被篡改,但是对于升级的用户,内存保护在默认情况下是关闭的。

什么是堆芯隔离(core isolation)?

在最初的Windows 10版本中,基于虚拟化的安全(VBS)功能仅作为“设备保护”的一部分在企业版Windows 10上可用。随着2018年4月的更新,Core Isolation为所有版本的Windows 10带来了一些基于虚拟化的安全功能。

某些核心隔离功能在满足某些硬件和固件要求的Windows 10 PC上默认启用,包括64位CPU和TPM 2.0芯片。它还要求您的PC支持Intel VT-x或AMD-V虚拟化技术,并且在您的PC的UEFI设置中启用该技术。

启用这些功能后,Windows将使用硬件虚拟化功能创建一个与正常操作系统隔离的安全系统内存区域。Windows可以在这个安全区域运行系统进程和安全软件。这可以保护重要的操作系统进程不被安全区域之外运行的任何东西篡改。

即使恶意软件正在你的电脑上运行,并且知道一个漏洞应该允许它破解这些Windows进程,基于虚拟化的安全性是一个额外的保护层,可以将它们从攻击中隔离出来。

什么是内存完整性(memory integrity)?

windows10界面中称为“内存完整性”的功能在微软的文档中也称为“Hypervisor protected Code Integrity”(Hypervisor protected Code Integrity,HVCI)。

在升级到2018年4月更新的PC上,默认情况下会禁用内存完整性,但您可以启用它。默认情况下,它将在以后新安装的Windows10上启用。

此功能是核心隔离的一个子集。Windows通常需要设备驱动程序的数字签名和其他在低级Windows内核模式下运行的代码。这确保他们没有被恶意软件篡改。当启用“内存完整性”时,Windows中的“代码完整***”在由核心隔离创建的hypervisor保护的容器中运行。这将使恶意软件几乎不可能篡改代码完整性检查并访问Windows内核。

 

 

虚拟机问题

 

Windows10中的“核心隔离”和“内存完整性”是什么?

 

由于内存完整性使用系统的虚拟化硬件,因此它与VirtualBox或VMware等虚拟机程序不兼容。一次只能有一个应用程序使用此硬件。

 

如果在启用了内存完整性的系统上安装虚拟机程序,您可能会看到一条消息,说明Intel VT-X或AMD-V未启用或不可用。在VirtualBox中,启用内存保护时,您可能会看到错误消息“Raw mode is unavailable of Hyper-V”。

 

无论哪种方式,如果遇到虚拟机软件问题,必须禁用内存完整性才能使用它。

 

为什么默认禁用?

 

主要的核心隔离特性不应该引起任何问题。它在所有支持它的windows10个人电脑上都是启用的,而且没有界面可以禁用它。

 

但是,内存完整性保护可能会导致某些设备驱动程序或其他低级Windows应用程序出现问题,这就是为什么在升级时默认禁用它的原因。微软仍在推动开发人员和设备**商使他们的驱动程序和软件兼容,这就是为什么在新的PC和新安装的Windows10上默认启用它的原因。

 

如果您的电脑需要启动的驱动程序之一与内存保护不兼容,Windows 10将自动关闭内存保护,以确保您的电脑可以正常启动和工作。所以,如果您尝试启用它并重新启动,却发现它仍然被禁用,这就是原因。

 

如果在启用内存保护后遇到其他设备问题或软件出现故障,Microsoft建议检查特定应用程序或驱动程序的更新。如果没有可用的更新,请关闭内存保护。

 

正如我们上面提到的,内存完整性也将与一些需要独占访问系统虚拟化硬件的应用程序(如虚拟机程序)不兼容。其他工具(包括一些调试器)也需要独占访问此硬件,并且在启用内存完整性的情况下无法工作。

 

 

更多windows defender漏洞防护功能

核心隔离和内存完整性是Microsoft作为Windows Defender漏洞保护的一部分添加的许多新安全功能中的一部分。这是一组旨在保护Windows免受攻击的功能。

默认情况下启用漏洞攻击保护,保护操作系统和应用程序免受多种类型的漏洞攻击。这取代了微软旧的EMET工具,并包括反攻击功能,我们以前建议安装恶意软件反攻击。所有Windows 10用户现在都有漏洞攻击保护。

还有控制文件夹访问,保护您的文件免受勒索。默认情况下不启用它,因为它需要一些配置。如果启用此功能,则必须先允许应用程序访问,然后才能访问您个人文件夹中的文件。