Windows 10’s April 2018 Update bietet allen Sicherheitsfunktionen für "Core Isolation" und "Memory Integrity". Diese verwenden virtualisierungsbasierte Sicherheit, um die Prozesse Ihres Kernbetriebssystems vor Manipulationen zu schützen. Der Speicherschutz ist jedoch für Benutzer, die ein Upgrade durchführen, standardmäßig deaktiviert.
Was ist Kernisolation?
In der ursprünglichen Version von Windows 10 virtualisierungsbasierte Sicherheit (VBS) -Funktionen waren nur auf verfügbar Enterprise-Editionen von Windows 10 als Teil von "Device Guard". Mit dem Update vom April 2018 bringt Core Isolation einige virtualisierungsbasierte Sicherheitsfunktionen in alle Editionen von Windows 10.
Einige Core Isolation-Funktionen sind standardmäßig auf Windows 10-PCs aktiviert, die bestimmte Anforderungen erfüllen Hardware- und Firmware-Anforderungen , einschließlich a 64-Bit-CPU und TPM 2.0 Chip . Es erfordert auch, dass Ihr PC die unterstützt Intel VT-x oder AMD-V-Virtualisierungstechnologie, die auf Ihrem PC aktiviert ist UEFI-Einstellungen .
Wenn diese Funktionen aktiviert sind, verwendet Windows Hardwarevirtualisierungsfunktionen, um einen sicheren Bereich des Systemspeichers zu erstellen, der vom normalen Betriebssystem isoliert ist. Windows kann in diesem sicheren Bereich Systemprozesse und Sicherheitssoftware ausführen. Dies schützt wichtige Betriebssystemprozesse vor Manipulationen durch Objekte außerhalb des Sicherheitsbereichs.
Selbst wenn Malware auf Ihrem PC ausgeführt wird und einen Exploit kennt, der es ihm ermöglichen sollte, diese Windows-Prozesse zu knacken, ist die virtualisierungsbasierte Sicherheit eine zusätzliche Schutzschicht, die sie vor Angriffen schützt.
VERBUNDEN: Alles neu im Windows 10-Update vom April 2018, jetzt verfügbar
Was ist Speicherintegrität?
Die in der Windows 10-Benutzeroberfläche als "Speicherintegrität" bekannte Funktion wird in der Microsoft-Dokumentation auch als "Hypervisor Protected Code Integrity" (HVCI) bezeichnet.
Die Speicherintegrität ist auf PCs, die auf das Update vom April 2018 aktualisiert wurden, standardmäßig deaktiviert. Sie können sie jedoch aktivieren. Es wird standardmäßig bei zukünftigen Neuinstallationen von Windows 10 aktiviert.
Diese Funktion ist eine Teilmenge der Kernisolation. Windows benötigt normalerweise digitale Signaturen für Gerätetreiber und anderer Code, der im Windows-Kernelmodus auf niedriger Ebene ausgeführt wird. Dies stellt sicher, dass sie nicht durch Malware manipuliert wurden. Wenn "Speicherintegrität" aktiviert ist, wird der "Code-Integritätsdienst" in Windows in dem durch Core Isolation erstellten, durch Hypervisor geschützten Container ausgeführt. Dies sollte es Malware nahezu unmöglich machen, die Code-Integritätsprüfungen zu manipulieren und Zugriff auf den Windows-Kernel zu erhalten.
Probleme mit virtuellen Maschinen
Da Memory Integrity die Virtualisierungshardware des Systems verwendet, ist diese nicht kompatibel mit Programme für virtuelle Maschinen wie VirtualBox oder VMware. Es kann jeweils nur eine Anwendung diese Hardware verwenden.
Möglicherweise wird die Meldung angezeigt, dass Intel VT-X oder AMD-V nicht aktiviert oder verfügbar ist, wenn Sie ein Programm für virtuelle Maschinen auf einem System mit aktivierter Speicherintegrität installieren. In VirtualBox wird möglicherweise die Fehlermeldung "Raw-Modus ist dank Hyper-V nicht verfügbar" angezeigt, während der Speicherschutz aktiviert ist.
In beiden Fällen müssen Sie die Speicherintegrität deaktivieren, wenn Sie auf ein Problem mit Ihrer Software für virtuelle Maschinen stoßen.
Warum ist es standardmäßig deaktiviert?
Die Hauptfunktion zur Kernisolierung sollte keine Probleme verursachen. Es ist auf allen Windows 10-PCs aktiviert, die es unterstützen, und es gibt keine Schnittstelle zum Deaktivieren.
Der Speicherintegritätsschutz kann jedoch bei einigen Gerätetreibern oder anderen Windows-Anwendungen auf niedriger Ebene Probleme verursachen. Aus diesem Grund ist er bei Upgrades standardmäßig deaktiviert. Microsoft drängt Entwickler und Gerätehersteller weiterhin darauf, ihre Treiber und Software kompatibel zu machen. Aus diesem Grund ist sie auf neuen PCs und Neuinstallationen von Windows 10 standardmäßig aktiviert.
Wenn einer der Treiber, die Ihr PC zum Booten benötigt, nicht mit dem Speicherschutz kompatibel ist, schaltet Windows 10 den Speicherschutz stillschweigend aus, um sicherzustellen, dass Ihr PC booten und ordnungsgemäß funktionieren kann. Wenn Sie also versuchen, es zu aktivieren und nur neu zu starten, um festzustellen, dass es noch deaktiviert ist, ist dies der Grund.
Wenn nach dem Aktivieren des Speicherschutzes Probleme mit anderen Geräten oder fehlerhafter Software auftreten, empfiehlt Microsoft, nach Updates für die jeweilige Anwendung oder den jeweiligen Treiber zu suchen. Wenn keine Updates verfügbar sind, deaktivieren Sie den Speicherschutz.
Wie oben erwähnt, ist die Speicherintegrität auch mit einigen Anwendungen nicht kompatibel, die exklusiven Zugriff auf die Virtualisierungshardware des Systems erfordern, z. B. Programme für virtuelle Maschinen. Andere Tools, einschließlich einiger Debugger, erfordern ebenfalls exklusiven Zugriff auf diese Hardware und funktionieren nicht mit aktivierter Speicherintegrität.
Aktivieren der Core Isolation Memory-Integrität
Sie können sehen, ob auf Ihrem PC die Core Isolation-Funktionen aktiviert sind, und den Speicherschutz in der Windows Defender Security Center-Anwendung ein- oder ausschalten. (Dieses Tool wird im Rahmen von in "Windows-Sicherheit" umbenannt Oktober 2018 Update .)
Suchen Sie zum Öffnen im Startmenü nach „Windows Defender Security Center“ oder gehen Sie zu Einstellungen> Update & Sicherheit> Windows-Sicherheit> Windows Defender-Sicherheitscenter öffnen.
Klicken Sie im Sicherheitscenter auf das Symbol "Gerätesicherheit".
Wenn die Kernisolation auf der Hardware Ihres PCs aktiviert ist, wird hier die Meldung "Virtualisierungsbasierte Sicherheit wird ausgeführt, um die Kernteile Ihres Geräts zu schützen" angezeigt.
Klicken Sie zum Aktivieren (oder Deaktivieren) des Speicherschutzes auf den Link „Details zur Kernisolation“.
Dieser Bildschirm zeigt Ihnen, ob die Speicherintegrität aktiviert ist oder nicht. Dies ist derzeit die einzige Option.
Um die Speicherintegrität zu aktivieren, stellen Sie den Schalter auf "Ein". Wenn Sie auf Anwendungs- oder Geräteprobleme stoßen und die Speicherintegrität deaktivieren müssen, kehren Sie hierher zurück und stellen Sie den Schalter auf "Aus".
Sie werden aufgefordert, Ihren Computer neu zu starten. Die Änderung wird erst wirksam, wenn Sie dies getan haben.
Weitere Funktionen von Windows Defender Exploit Guard
Kernisolation und Speicherintegrität sind einige der vielen neuen Sicherheitsfunktionen, die Microsoft im Rahmen von Windows Defender Exploit Guard hinzugefügt hat. Dies ist eine Sammlung von Funktionen, die Windows vor Angriffen schützen sollen.
Schutz ausnutzen ist standardmäßig aktiviert, wodurch Ihr Betriebssystem und Ihre Anwendungen vor vielen Arten von Exploits geschützt werden. Dies ersetzt das alte von Microsoft EMET-Tool und enthält Anti-Exploit-Funktionen, die wir zuvor verwendet haben empfohlene Installation von Malware Anti-Exploit zum. Alle Windows 10-Benutzer haben jetzt Exploit-Schutz.
Es gibt auch Kontrollierter Ordnerzugriff , die Ihre Dateien vor Ransomware schützt. Es ist standardmäßig nicht aktiviert, da eine Konfiguration erforderlich ist. Wenn Sie diese Funktion aktivieren, müssen Sie Anwendungen den Zugriff gewähren, bevor sie auf Dateien in Ihren persönlichen Dateiordnern zugreifen können.
VERBUNDEN: Funktionsweise des neuen Exploit-Schutzes von Windows Defender (und Konfiguration)
In Zukunft wird die Speicherintegrität standardmäßig auf allen neuen PCs aktiviert und bietet zusätzlichen Schutz vor Angriffen. Nur fortgeschrittene Benutzer, die Software für virtuelle Maschinen und andere Tools verwenden, die Zugriff auf die Systemvirtualisierungshardware benötigen, müssen diese deaktivieren.
