Изолиране на ядрото на Windows Defender и целостта на паметта

През последните няколко години кибер атаките се промениха. Хакерите вече могат да поемат компютъра ви и да блокират файловете ви, ако не желаете да им плащате пари. Този тип атаки се наричат ​​Ransomware и те използват експлойти на ниво ядро, които се опитват да стартират злонамерен софтуер с най-високите привилегии, като WannaCry и Petya ransomware. За да смекчи тези видове атаки, Microsoft внедри функция, която да позволи на  Core Isolation и Memory Integrity  да предотврати подобни атаки.

Изолация на ядрото  - Осигурява допълнителна защита срещу злонамерен софтуер и други атаки, като изолира компютърните процеси от операционната система и устройството.

Целостта на паметта - Функцията за изолиране на ядрото може да предотврати достъпа на зловреден код до процеси с висока сигурност в случай на атака.

Центърът за сигурност на Windows Defender вече предлага тази функция - Device Security.  Осигурява отчитане на състоянието и управление на защитни функции, вградени във вашите устройства , включително активиращи функции за осигуряване на подобрена защита. Той обаче не работи програмно; хардуерът също трябва да го поддържа. Вашият фърмуер трябва да поддържа технология за виртуализация ,    която позволява на компютри с Windows 10 да изпълняват приложения в контейнер, така че да нямат достъп до други части на системата.

Активирайте Defender Core Isolation и Integrity Memory

Важно:  Опциите, налични в настройката за защита на устройството, зависят от вашата хардуерна конфигурация. В моя случай стандартната хардуерна защита не се поддържа, така че операционната система използва защита, базирана на виртуализация . Активирах функцията "Safe Boot" в BIOS и стана възможно да активирам функцията за изолиране на ядрото.

Хардуерни изисквания

Вашето устройство отговаря на стандартните изисквания за безопасност на хардуера

Това означава, че вашето устройство поддържа целостта на паметта и изолирането на ядрото, а също така има:

  • TPM 2.0 (наричан още защитен процесор)
  • Secure Boot Enabled
  • DEP
  • UEFI

Вашето устройство отговаря на разширените изисквания за сигурност на хардуера

  • Това означава, че освен всички стандартни изисквания за сигурност на хардуера, вашето устройство има и вградена памет.

Стандартната хардуерна защита не се поддържа

  • Това означава, че вашето устройство не отговаря на поне едно от стандартните изисквания за сигурност на хардуера.
  • Влезте като администратор и отворете Центъра за защита на Windows Defender и потърсете опцията Device Security .

сигурност на устройството на Windows Defender -

  • След това кликнете върху думата " информация за изолиране на ядрото " и в колоната " Целостта на паметта " плъзнете плъзгача до Включено . След като бъде активиран, той ще ви помоли да рестартирате компютъра си, за да активирате напълно целостта на паметта. Ако по-късно срещнете проблеми със съвместимостта на приложенията, може да се наложи да деактивирате това.

Защитник на целостта на паметта Windows 10

Има обаче още две опции, които може да са налични в зависимост от хардуера на вашия компютър.

  1. Процесорът за защита  се показва само ако имате TPM на разположение за вашия компютър. Това са дискретни чипове, споени към дънната платка на OEM компютър. За да извлече максимума от TPM, OEM трябва внимателно да интегрира системния хардуер и фърмуер с TPM, за да изпраща команди и да отговаря на отговорите му. Новите TPM също могат да осигурят предимства за сигурността и поверителността на самия хардуер на системата. Така че не забравяйте да проверите всичко това, ако купувате нов компютър.
  2. Безопасното зареждане ( Secure the Boot)  предотвратява злонамерен код преди зареждане на вашата операционна система.

Ако сте активирали плъзгача и получавате грешка " Не може да се осигури целостта на паметта. Възможна е несъвместимост ", след това активирайте функцията Secure Boot в BIOS, известна още като Boot Mode, с една дума, трябва да активирате "Secure Boot in BIOS".

Не може да се осигури целостта на паметта. Възможна несъвместимост

Деактивирайте целостта на паметта и изолирането на ядрото в Defender

Реших малко да редактирам статията. Факт е, че функцията на ядрото е активирана, но е невъзможно да я деактивирате обратно. По някакъв начин реших да инсталирам играта PointBlank и тя ми даде грешка 1073. Търсех проблема около час, докато си спомних, че изолирането на ядрото е активирано и Frost няма достъп. Тогава получих въпрос, защо по дяволите трябва "fogame" да има достъп до ядрото ми? Изтрих играта като цяло и завинаги си поставих 4game в черен списък. Като цяло, когато функцията "изолиране на ядрото" е активирана в защитник на Windows 10, няма да стартира нито една игра от 4game.ru (fogame). Ако е активирана, тогава ще анализираме как да деактивираме целостта на паметта.

Метод 1. Ако сте активирали функцията за  безопасно стартиране във вашия BIOS , отидете в BIOS и го деактивирайте . Има много различни версии на BIOS, UEFI, няма да описвам как да го направя, но ще дам съвет; просто напишете думата в търсенето „деактивирайте Secure Boot в BIOS (можете също да посочите производителя на дънната платка)“ и щракнете върху снимките и ще се ръководите от снимките. Когато деактивирате тази функция в BIOS, отидете на защитник на Windows 10 и плъзгачът ще се активира, което ще ви позволи да изключите изолирането на ядрото и целостта на паметта.

Метод 2 . Следващият метод е да редактирате параметър в системния регистър. Отворете редактора на системния регистър и отидете до следния път:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ DeviceGuard \ Scenarios \ HypervisorEnforcedCodeIntegrity

  • Вдясно щракнете двукратно върху Разрешени параметри и задайте стойността на 0 . Рестартирайте компютъра си, отворете защитника на Windows и плъзгачът ще се активира, след което деактивирайте целостта на паметта и изолирането на ядрото.

Деактивирайте целостта на паметта и изолирането на ядрото в Windows 10 Defender