Windows10 2018年4月的更新為每個人帶來了“核心隔離”和“記憶體完整性”安全功能。它們使用基於虛擬化的安全性來保護您的核心作業系統程序不被篡改,但是對於升級的使用者,記憶體保護在預設情況下是關閉的。
在最初的Windows 10版本中,基於虛擬化的安全(VBS)功能僅作為“裝置保護”的一部分在企業版Windows 10上可用。隨著2018年4月的更新,Core Isolation為所有版本的Windows 10帶來了一些基於虛擬化的安全功能。
某些核心隔離功能在滿足某些硬體和韌體要求的Windows 10 PC上預設啟用,包括64位CPU和TPM 2.0晶片。它還要求您的PC支援Intel VT-x或AMD-V虛擬化技術,並且在您的PC的UEFI設定中啟用該技術。
啟用這些功能後,Windows將使用硬體虛擬化功能建立一個與正常作業系統隔離的安全系統記憶體區域。Windows可以在這個安全區域執行系統程序和安全軟體。這可以保護重要的作業系統程序不被安全區域之外執行的任何東西篡改。
即使惡意軟體正在你的電腦上執行,並且知道一個漏洞應該允許它破解這些Windows程序,基於虛擬化的安全性是一個額外的保護層,可以將它們從攻擊中隔離出來。
相關報道:Windows10 2018年4月更新中的所有新功能,現已推出
windows10介面中稱為“記憶體完整性”的功能在微軟的文件中也稱為“Hypervisor protected Code Integrity”(Hypervisor protected Code Integrity,HVCI)。
在升級到2018年4月更新的PC上,預設情況下會禁用記憶體完整性,但您可以啟用它。預設情況下,它將在以後新安裝的Windows10上啟用。
此功能是核心隔離的一個子集。Windows通常需要裝置驅動程式的數字簽名和其他在低階Windows核心模式下執行的程式碼。這確保他們沒有被惡意軟體篡改。當啟用“記憶體完整性”時,Windows中的“程式碼完整***”在由核心隔離建立的hypervisor保護的容器中執行。這將使惡意軟體幾乎不可能篡改程式碼完整性檢查並訪問Windows核心。
由於記憶體完整性使用系統的虛擬化硬體,因此它與VirtualBox或VMware等虛擬機器程式不相容。一次只能有一個應用程式使用此硬體。
如果在啟用了記憶體完整性的系統上安裝虛擬機器程式,您可能會看到一條訊息,說明Intel VT-X或AMD-V未啟用或不可用。在VirtualBox中,啟用記憶體保護時,您可能會看到錯誤訊息“Raw mode is unavailable of Hyper-V”。
無論哪種方式,如果遇到虛擬機器軟體問題,必須禁用記憶體完整性才能使用它。
主要的核心隔離特性不應該引起任何問題。它在所有支援它的windows10個人電腦上都是啟用的,而且沒有介面可以禁用它。
但是,記憶體完整性保護可能會導致某些裝置驅動程式或其他低階Windows應用程式出現問題,這就是為什麼在升級時預設禁用它的原因。微軟仍在推動開發人員和裝置**商使他們的驅動程式和軟體相容,這就是為什麼在新的PC和新安裝的Windows10上預設啟用它的原因。
如果您的電腦需要啟動的驅動程式之一與記憶體保護不相容,Windows 10將自動關閉記憶體保護,以確保您的電腦可以正常啟動和工作。所以,如果您嘗試啟用它並重新啟動,卻發現它仍然被禁用,這就是原因。
如果在啟用記憶體保護後遇到其他裝置問題或軟體出現故障,Microsoft建議檢查特定應用程式或驅動程式的更新。如果沒有可用的更新,請關閉記憶體保護。
正如我們上面提到的,記憶體完整性也將與一些需要獨佔訪問系統虛擬化硬體的應用程式(如虛擬機器程式)不相容。其他工具(包括一些偵錯程式)也需要獨佔訪問此硬體,並且在啟用記憶體完整性的情況下無法工作。
您可以檢視您的電腦是否啟用了核心隔離功能,並透過Windows Defender Security Center應用程式開啟或關閉記憶體保護。(作為2018年10月更新的一部分,此工具將重新命名為“Windows安全”。)
要開啟它,請在“開始”選單中搜索“Windows Defender安全中心”,或進入“設定”>“更新和安全”>“Windows安全”>“開啟Windows Defender安全中心”。
單擊安全中心中的“裝置安全”圖示。
如果在PC的硬體上啟用了核心隔離,您將在此處看到訊息“基於虛擬化的安全性正在執行以保護裝置的核心部分”。
要啟用(或禁用)記憶體保護,請單擊“Core Isolation Details”連結。
此螢幕顯示是否啟用了記憶體完整性。這是目前唯一的選擇。
要啟用記憶體完整性,請將開關撥到“開”。如果遇到應用程式或裝置問題,需要禁用記憶體完整性,請返回此處並將開關撥到“關”
系統將提示您重新啟動計算機,並且更改僅在完成後生效。
核心隔離和記憶體完整性是Microsoft作為Windows Defender漏洞保護的一部分新增的許多新安全功能中的一部分。這是一組旨在保護Windows免受攻擊的功能。
預設情況下啟用漏洞攻擊保護,保護作業系統和應用程式免受多種型別的漏洞攻擊。這取代了微軟舊的EMET工具,幷包括反攻擊功能,我們以前建議安裝惡意軟體反攻擊。所有Windows 10使用者現在都有漏洞攻擊保護。
還有控制資料夾訪問,保護您的檔案免受勒索。預設情況下不啟用它,因為它需要一些配置。如果啟用此功能,則必須先允許應用程式訪問,然後才能訪問您個人資料夾中的檔案。
相關內容:Windows Defender的新漏洞保護如何工作(以及如何配置)
今後,所有新PC上的記憶體完整性都將預設啟用,從而提供額外的攻擊防護。只有使用虛擬機器軟體和其他需要訪問系統虛擬化硬體的工具的高階使用者才必須禁用它。
你有沒有開啟Windows工作管理員,想知道有一半的條目是什麼?雖然較新版本的Windows對大多數程序都有更友好的名稱,但要確切地瞭解它們的功能是很困難的。 ...
如果你最近更新了全新的Windows10FallCreators更新,你可能注意到這臺電腦裡有一個新的資料夾,叫做3D物件,說實話,沒什麼特別的。您看到的圖示僅連結到使用者檔案中的資料夾。 ...
... 雖然windows10有很多版本,但大多數版本都是為特定目的而設計的,一般大眾無法使用。因此,您可能會對沒有擺在商店貨架上的Windows版本感到困惑,比如windows10enterprise。 ...
如果將Windows 10與帶有內建攝像頭或指紋讀取器的計算機一起使用,則在設定登入方法時可能會遇到術語“Windows Hello”。但這是什麼意思?讓我們看看。 什麼是windows你好(windows hello)? 最早於2015年釋出的“WindowsHello”是微軟...
Windows10現在包含了一個名為“MeetNow”的工作列圖示,使您可以輕鬆訪問Skype影片會議功能。“現在開會”允許您透過瀏覽器開始快速影片聊天,而無需Skype帳戶或Skype應用程式。下面是如何使用它。 什麼是現在見面(meet now)? 微...
Windows10現在有一個奇怪的規範叫做“體驗”。Windows10的標準桌面版本說你已經安裝了“WindowsFeatureExperience包”。那是什麼意思?微軟一如既往地保密,但我們知道的是。 又一個windows 10的謎團 如果您進入“設定”>“系統”&g...
...第二個星期二。這一天,微軟和clockwork一樣,釋出了針對Windows10、Windows7、MicrosoftOffice及其其他軟體的大型更新包。 什麼是微軟週二釋出補丁(microsoft’s patch tuesday)? patchtuesday有時被稱為“updatetuesday”,是一個非官方術語,指...
如果Windows允許您從單個視窗快速訪問管理工具、備份和還原選項以及其他重要的管理設定,該怎麼辦?如果這聽起來不錯,那就看看所謂的“上帝模式” 什麼是上帝模式(god mode)? 不,上帝模式不解鎖任何額外的祕密功能在Wi...
...重。 Windows10包括諸如阻止可疑行為、核心隔離和記憶體完整性安全、容器技術和受控資料夾訪問等功能。Windows Defender的漏洞保護是一個巨大的附加元件,有效地取代了微軟停止開發的EMET。這些特性鎖定了作業系統,使得感染和...
...為LockApp.exe在你的電腦上執行。這是正常的。LockApp.exe是Windows 10作業系統的一部分,負責顯示鎖屏。 這篇文章是我們正在進行的系列文章的一部分,解釋了工作管理員中的各種過程,比如執行時代理,主程序, dwm.exe檔案, 輸入法...