La Windows atmiņas integritāte Tā ir kļuvusi par vienu no tām drošības iespējām, ko redzat lietotnē Windows drošībaTas izklausās svarīgi, taču tajā pašā laikā esat dzirdējuši, ka tas var apēst dažus kadrus sekundē jūsu spēlēs. Nav nekas neparasts justies saplosītam starp datora maksimālo iespību izmantošanu un tā labu aizsardzību pret ļaunprogrammatūru un uzbrukumiem.
Pirms lēmuma pieņemšanas par aktivizēšanu vai deaktivizēšanu ir svarīgi precīzi saprast, ko tas dara, ko jūsu sistēma iegūst aizsardzības ziņā un cik daudz jūs varētu zaudēt veiktspējas ziņā. kā spēlēt ar visiem šiem iestatījumiem (VBS, hipervizors, draiveri utt.), neradot problēmas un nestabilu vai mazāk drošu datoru.
Kas ir atmiņas integritāte operētājsistēmā Windows un kā tā darbojas?
Zvans Windows atmiņas integritāte Patiesībā tā ir plašākas drošības tehnoloģijas lietotājam draudzīga saskarne: virtualizācijas drošības jeb VBS. Abas iet roku rokā un ir paredzētas, lai aizsargātu sistēmas jutīgāko daļu — kodolu — no ļoti sarežģītiem uzbrukumiem.
Windows paļaujas uz integrēts pašas sistēmas hipervizors lai izveidotu izolētu virtuālu vidi, kas darbojas kā uzticības sakne. Šī vide pieņem, ka sliktākajā gadījumā kodols varētu tikt apdraudēts. Tāpēc tā pārvieto noteiktas kritiskas drošības pārbaudes uz aizsargātu vietu, kas ir atsevišķi no "parastās" Windows.
Šajā aizsargātajā vidē notiek sekojošais: kodola režīma koda integritāteBūtībā tas pārbauda, vai draiveri un kods, kam jādarbojas kodolā, ir parakstīti, uzticami un nav ticis mainīts. Ja kaut kas neievēro noteikumus, tas nedarbojas.
Atmiņas integritāte kā tāda pievieno vēl vienu slāni: Tas kontrolē un ierobežo atmiņas piešķiršanas un izmantošanas veidu. kodolsKodola atmiņas lapas tiek atzīmētas kā izpildāmas tikai pēc integritātes pārbaužu izturēšanas. Turklāt, kad tās ir kļuvušas izpildāmas, tās vairs nav rakstāmas. Tas ievērojami sarežģī lietas uzbrukumiem, kas mēģina ievadīt kodu vai modificēt kritiskas atmiņas struktūras.
Cita starpā šī funkcija Aizsargā pret vadības plūsmas aizsarga (CFG) bitkartes modificēšanu kodola režīmā un pastiprina koda integritātes procesu, kas apstiprina, ka privileģētajiem procesiem ir derīgi un uzticami sertifikāti.
Aparatūras prasības un kad tā aktivizējas automātiski
Microsoft nevar vienkārši aktivizēt šo aizsardzību jebkurā vecā datorā, jo tā balstās uz modernu procesoru, programmaparatūru un krātuves funkcijām. Tāpēc Atmiņas integritāte tiek iespējota tikai automātiski ja aprīkojums atbilst virknei minimālo prasību.
Tīrās Windows 11 instalācijās un dažās Windows 10 versijās (piemēram, S režīma izdevumos) saderīgā aparatūrā atmiņas integritāte tiek nodrošināta. rūpnīcas aktīvaTas pēc noklusējuma ir iespējots arī sistēmās, kas apzīmētas kā "aizsargāts kodols". Citās sistēmās lietotāja vai administratora ziņā ir izlemt, vai to ieslēgt.
Kopumā komandai vajadzētu būt moderns procesors ar uzlabotu virtualizācijas atbalstu un seku mazināšanas iespējāmPiemēram, 8. paaudzes Intel vai jaunāks, AMD, sākot no Zen 2 arhitektūras, vai jaunākie Qualcomm Snapdragon SoC. Turklāt x64 ir nepieciešams vismaz 8 GB RAM lai nodrošinātu, ka sistēma neavar, iestatot virtualizēto vidi.
Ir arī nepieciešams, lai sistēmas disks būtu SSD vismaz 64 GBBIOS/UEFI ir jābūt iespējotai virtualizācijai, un sistēmā instalētajiem draiveriem ir jābūt saderīgiem ar HVCI (hipervizora nodrošināta koda integritāte). Bez šīm prasībām automātiskā aktivizēšana nenotiks, un VBS vai atmiņas integritāte var palikt atspējota.
Oriģinālo iekārtu ražotāji un administratori, kas sagatavo attēlus, var piespiest atmiņas integritāti pēc noklusējuma iespējot, konfigurējot noteiktas reģistra atslēgas, tostarp tādas vērtības kā Enabled, WasEnabledBy un sāknēšanas identifikatoru (BootId), ko Windows izmanto, lai atsauktu funkciju, ja tā konstatē kritiskas sāknēšanas avārijas, ko tā izraisījusi.
Kā sistēmā iespējot atmiņas integritāti (VBS un HVCI)
Papildus slēdzim, kas redzams Windows drošībā, atmiņas integritāte un VBS tiek kontrolēti ar reģistrācijas atslēgas un politikas kas ļauj precīzi pielāgot uzvedību. Tas ir īpaši noderīgi uzņēmumos vai organizācijās.
Windows reģistrā virtualizācijas drošība tiek pārvaldīta no ceļa HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuardTas nosaka, vai ir iespējota VBS, kāds platformas drošības līmenis ir nepieciešams (tikai drošā sāknēšana, drošā sāknēšana + DMA aizsardzība utt.), vai konfigurācija ir bloķēta no UEFI un vai ir iespējota atmiņas integritāte (HVCI).
Piemēram, lai iespējotu VBS un atmiņas integritāti ar tipisku konfigurāciju, ievades dati, piemēram, EnableVirtualizationBasedSecurity=1 y RequirePlatformSecurityFeatures ar vērtībām, kas norāda, kāda veida programmaparatūras drošība ir obligāta (piemēram, 1 tikai drošai sāknēšanai vai 3 drošai sāknēšanai + DMA aizsardzībai).
Atmiņas integritāte pati par sevi ir atkarīga no apakšatslēgas DeviceGuard\Scenāriji\HypervisorPiespiedu koda integritāteTur tas ir atzīmēts Iespējots=1 Lai aktivizētu funkciju, varat pārbaudīt, vai stāvoklis ir bloķēts programmaparatūras līmenī, izmantojot taustiņu. Slēgts ar dažādām vērtībām atkarībā no tā, vai ir vēlama UEFI bloķēšana.
Vidēm, kurās vēlaties sasniegt maksimumu, ir iespēja atzīmēt politiku kā saistošsŠajā režīmā, ja hipervizors, drošais kodols vai kāds no tā galvenajiem moduļiem neizdodas ielādēt sāknēšanas laikā, sistēma tieši sāknēšanas process neturpināsTā ir ļoti agresīva aizsardzība, kas pastiprina drošību. Tomēr tā var sarežģīt atkopšanu, ja rodas saderības problēmas.
Vadība, izmantojot lietotņu vadību uzņēmumiem un PowerShell
Korporatīvajos tīklos ērtākais veids, kā pārvaldīt atmiņas integritāti, parasti ir Lietotņu vadība uzņēmumiem (agrāk WDAC)Tas ļauj aktivizēt HVCI kopā ar lietojumprogrammu kontroles noteikumiem no centralizētām politikām.
Lietojumprogrammu vadības vednis ļauj jums izveidot vai rediģēt politikas un atlasīt opciju, lai “Hipervizora aizsargāta koda integritāte” noteikumu sadaļā. Tādā veidā, ieviešot politiku, datori sāk nodrošināt atmiņas integritāti saskaņā ar definētajiem parametriem.
Vēl viens veids ir izmantot PowerShell. Ar cmdlet, piemēram, Set-HVCIOptions HVCI opcijas var automātiski modificēt vairākās ierīcēs. Tas ir ļoti noderīgi izvietošanas skriptos vai sākotnējā iekārtu konfigurācijā.
Ja strādājat tieši ar lietotņu vadības XML failiem, varat arī pielāgot elementa vērtību. politikas ietvaros, precīzi pielāgojot hipervizora aizsargātas koda integritātes darbību, nepieskaroties reģistram pa vienam katrā ierīcē.
Lai neļautu gala lietotājam ieslēgt vai izslēgt atmiņas integritāti no Windows drošības saskarnes, administrators var manipulēt ar atslēgu WasEnabledByPielāgojot vai noņemot šo vērtību, lietotāja interfeiss tiek attēlots aptumšots un tiek parādīts ziņojums, piemēram, "Šo iestatījumu pārvalda jūsu administrators".
Kā pārbaudīt, vai VBS un atmiņas integritāte ir aktīvas
Paļaušanās uz vienkāršu slēdzi nav pietiekama, it īpaši vidēs, kur drošība ir kritiski svarīga. Windows piedāvā vairākus veidus, kā to izdarīt pārbaudīt VBS faktisko stāvokli un atmiņas integritāti izmantojot WMI, grafiskos rīkus un žurnālus.
Viena no visaptverošākajām ir WMI klase. Win32_DeviceGuard, kas pieejams no PowerShell ar paaugstinātām privilēģijām, izmantojot komandu Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuardIzvades informācija par to, kuri aparatūras aizsardzības līdzekļi ir pieejami un kuri pašlaik ir iespējoti.
Rezultāti ietver tādus laukus kā Pieejamās drošības īpašības. Tas norāda, vai ierīcei ir hipervizora atbalsts, drošā sāknēšana, DMA aizsardzība, NX aizsardzība, SMM risku mazināšana, MBEC/GMET vai APIC virtualizācija. Katru iespēju attēlo noteikta skaitliska vērtība.
Citas svarīgas jomas ir šādas:
- Nepieciešamās drošības īpašībasLai iespējotu VBS, ir nepieciešami drošības līdzekļi.
- Drošības pakalpojumi ir konfigurēti. Lai pārbaudītu, vai ir konfigurēta akreditācijas datu aizsardzība, atmiņas integritāte, drošas sāknēšanas aizsardzība, programmaparatūras mērīšana, aparatūras pielietotā steka aizsardzība utt.
- Drošības pakalpojumi darbojasTas pats, kas iepriekš, bet attiecas uz pakalpojumiem, kas pašlaik darbojas.
Ir arī svarīgi pievērst uzmanību Virtualizācijas drošības statusskur konkrēta vērtība norāda, vai VBS ir atspējots, iespējots, bet nav palaists, vai iespējots un darbojas. Visbeidzot, tiešās atmiņas integritātes statusu var pārbaudīt gaistošajā reģistra atslēgā. HKLM\System\CurrentControlSet\Control\CI\State\HVCIEnabled, kā arī informācijā no MsInfo32 (sadaļā “Virtualizācijas drošības pakalpojumu izpilde”).
SkTool un citi uzlaboti resursi VBS diagnostikai
Sarežģītākiem scenārijiem, piemēram, hipervizora problēmām, drošības atslēgām vai kļūdām, startējot VBS, Microsoft iekļauj Windows SDK utilītu ar nosaukumu SkTool kas ievērojami vienkāršo diagnozi.
SkTool atrodas mapē tīne SDK, tādā ceļā kā “C:\Program Files (x86)\Windows Kits\10\bin\10.0.xxx\ ", kur Tas var būt x64, arm64 utt. Palaižot bez parametriem, tas parāda hipervizora un VBS pašreizējo statusu, skaidri norādot, kāpēc tas ir startēts vai kāpēc tas nav startējies.
Tas atbalsta vairākus komandrindas modifikatorus, piemēram, /statuss (vispārīga informācija par hipervizoru un drošo kodolu), /lkey (VSM galvenās atslēgas statuss) vai /mazināšanas (aktīvas mazināšanas). Galvenās atslēgas parametrs ir ļoti noderīgs, lai izmeklētu problēmas, kas saistītas ar Windows Hello vai citas uzlabotas drošības funkcijas ja sistēma nepieņem PIN kodu vai sejas atpazīšanu.
Piemēram, ja drošā sāknēšana ir atspējota vai TPM mērītajā stāvoklī kaut kas mainās, SkTool var atspoguļot, ka VSM galveno atslēgu nevar atbloķēt, norādot konkrēto kļūdas kodu un paskaidrojot, ka ir ģenerēta jauna atslēga un saglabāta UEFI mainīgajā.
Papildus SkTool, lai pārbaudītu, kas notika ar atmiņas integritātes automātisko iespējošanu instalēšanas laikā, varat iepazīties ar setupact.log failsMeklējiet HVCI virkni un pārbaudiet, vai tā ir pareizi aktivizēta vai arī sistēma nolēma to neieslēgt, jo tā neatbilda kādai prasībai, norādot tādus kodus kā VBS_COMPAT_ISSUES ar informāciju par konstatētajām nesaderībām (neatbalstīta arhitektūra, SLAT trūkums, UEFI atmiņas atribūtu tabulas neesamība, pārāk mazs disks, nav SSD diska utt.).
Ietekme uz veiktspēju un spēlēm: vai ir vērts to atspējot?
Viens no lielākajiem jautājumiem daudziem lietotājiem ir līdzsvars starp drošību un veiktspēju, īpaši spēlēs. Ir pierādījumi un ieteikumi, pat no paša Microsoft, kas liecina, ka Atmiņas integritāte un citas VBS funkcijas var samazināt FPS par vairākiem procentpunktiem.aptuveni 5% vidēji atkarībā no spēles un aparatūras.
Dažos Windows 11 atjauninājumos ir novēroti gadījumi, kad apvienojumā ar citām funkcijām, piemēram, Virtuālās mašīnas platforma (piemēram, izmantojot Android lietotņu palaišanu), ietekme uz noteiktiem nosaukumiem bija ievērojamāka, īpaši ar taisnīgiem resursiem nodrošinātas komandas vai ar GPU, kur ir manāmas jebkādas papildu izmaksas.
Dokumentācijā un paziņojumos, kas saistīti ar spēļu veiktspējas problēmām, Microsoft pat ir ieteicis visprasīgākajiem lietotājiem Uz laiku atspējojiet gan VBS, gan atmiņas integritāti kad tie sāks spēlēt. Un pēc tam tos atkārtoti aktivizēt. Praktiskā problēma ir tā, ka šīm izmaiņām parasti ir nepieciešama datora restartēšana. Tas padara darbību nedaudz apgrūtinošu ikdienas veikšanai.
No drošības viedokļa ir vērts atcerēties, ka šī funkcija sarežģī uzbrukumus kodolam un Tas aptur draiverus vai moduļus ar apšaubāmiem vai neaizsargātiem parakstiem.Ja izmantojat tikai Windows Defender, lejupielādējat programmas no avotiem, kurus ne vienmēr kontrolējat, un parasti nevēlaties uzņemties pārāk lielu risku, atmiņas integritātes neatgriezeniska atspējošana padara jūs vairāk pakļautu noteikta veida uzlabotas ļaunprogrammatūras riskam.
Praktiskais lēmums parasti ietver jūsu riska profila izvērtēšanu: vai aprīkojums ir paredzēts darbam, jūs pārvaldāt sensitīvu informāciju vai arī jums ir tendence uzstādīt mazāk "neparastu" lietu. Ieteicams atstāt atmiņas integritāti iespējotu.Ja jūsu dators ir paredzēts tikai spēlēm un katra pēdējā FPS izspiešanai, varat apsvērt iespēju to izslēgt spēles laikā, zinot, ka uzņematies lielāku risku, īpaši, ja lejupielādējat izpildāmos failus no neuzticamiem avotiem.
Soli pa solim risinājumi, ja atmiņas integritāte neieslēdzas
Kad sistēma uzstāj, ka tā nevar nodrošināt atmiņas integritāti, var izmantot vairākus risinājumus, sākot no vismazāk agresīvākajiem līdz visnepārliecinātākajiem, līdz darbības funkcija tiek atjaunota, neapdraudot iekārtas stabilitāti.
Pirmais solis parasti ir pārskatīšana un instalējiet visus pieejamos atjauninājumus Sadaļā Iestatījumi > Windows atjaunināšana. Bieži vien vienkāršs atjaunināts draiveris vai saderības ielāps novērš problēmu, nepieskaroties nekam citam.
Pēc tam dodieties uz Windows drošība > Ierīces drošība > Kodola izolācija un vietā, kur parādās kļūdas ziņojums, noklikšķiniet uz “Pārbaudīt nesaderīgus draiverus”. Ja tur ir norādīts konkrēts draiveris, labākais rīcības plāns ir mēģināt Atjauniniet to no ierīču pārvaldnieka meklējot draiverus pēc ražotāja vai lejupielādējot jaunāko versiju tieši no piegādātāja vietnes.
Ja sarakstā nav skaidri norādīts, kurš fails rada problēmu, varat izmantot komandrindu ar administratora tiesībām. Tur varat palaist tādas komandas kā dism /online /get-drivers /format:table lai uzskaitītu visus instalētos draiverus. Pēc tam tiek identificēts aizdomīgajam draiverim atbilstošais "Publicētais nosaukums" un atzīmēts izmantošanai citās darbībās.
Smagākos gadījumos, kad atjaunināšana nav iespējama, piespiedu draivera atinstalēšana Izmantojot tādus rīkus kā pnputil, varat noņemt pakotni no sistēmas un pēc tam instalēt saderīgu vai alternatīvu versiju. Pirms šāda veida procedūras veikšanas vienmēr ieteicams izveidot dublējumu.
Citi remonta pasākumi, ja viss pārējais neizdodas
Ne visas atmiņas integritātes problēmas rodas draiveru dēļ. Dažreiz pastāv arī citas pamatā esošas problēmas. bojāti sistēmas faili, ļaunprogrammatūra vai nopietni apdraudēta Windows sistēma daudzu gadu lietošanas, aparatūras izmaiņu vai reģistra kļūdu dēļ.
Diezgan drošs solis ir izmantot Sistēmas failu pārbaudītājs (SFC) Un, ja jums ir aizdomas par aparatūras problēmu, palaidiet Memtest64Komandrindas atvēršana kā administrators un palaišana sfc /scannowWindows skenē kritiski svarīgus sistēmas failus un aizstāj visus bojātos vai trūkstošos failus. Pēc skenēšanas ieteicams restartēt datoru un mēģināt vēlreiz iespējot atmiņas integritāti, izmantojot Windows drošību.
Tāpat ir ieteicams pavadīt pilnīga ļaunprogrammatūras analīze Vīrusu var noņemt, izmantojot Windows drošību (Vīrusu un pretdraudu aizsardzība > Skenēšanas opcijas > Pilna skenēšana) vai uzticamu trešās puses risinājumu. Dažas infekcijas balstās uz procesu un pakalpojumu manipulēšanu atmiņā un var traucēt šīs funkcijas aktivizēšanu.
Ja sistēma paliks tikpat spītīga, vienīgā atlikušā iespēja ir... Drošais režīmsRestartējot un izvēloties startēšanu drošajā režīmā, tiek ielādēti tikai minimālie draiveri. Pēc tam varat mēģināt iespējot atmiņas integritāti un pārskatīt notikumus. Varat pat veikt problemātiskas programmatūras tīrīšanu ar mazākiem traucējumiem.
Ļoti nopietnās situācijās, kad iekārta ir kļuvusi nestabila vai vienkārši neieslēdzas pareizi pēc VBS vai HVCI piespiedu aktivizēšanas, varat ķerties pie Windows atkopšanas vide (Windows RE)Tur jūs varat atspējot saistītās grupu politikas, modificēt reģistra atslēgas, lai tās ievietotu. Iespējots=0 atmiņas integritātes konfigurācijā un atgrieziet sistēmu vienkāršākā stāvoklī, kas ļauj tai normāli startēties.
Atmiņas integritāte Hyper-V virtuālajās mašīnās
Atmiņas integritāte neaprobežojas tikai ar fiziskām iekārtām. Tā var arī aizsargāt virtuālās mašīnas, kuru pamatā ir Hyper-V gandrīz tādā pašā veidā, kā tas aizsargā parastu datoru, ja vien tiek izpildītas noteiktas prasības.
Saimnieks Hyper-V vismaz jādarbojas Windows Server 2016 vai Windows 10 versija 1607Turklāt virtuālajai mašīnai ir jābūt 2. paaudzes virtuālajai mašīnai ar modernu viesa operētājsistēmu (Windows 10, Windows 11 vai Windows Server 2016 vai jaunāka versija). Pašā virtuālajā mašīnā VBS un atmiņas integritātes iespējošanas darbības ir praktiski identiskas tām, kas jāveic fiziskajai mašīnai.
Tās nodrošinātā aizsardzība ir vērsta uz to, lai novērstu virtuālajā datorā darbojošās ļaunprogrammatūras radītu kodola apdraudējumu. Tomēr tā nestiprina resursdatora drošību. Resursdatora administratoram joprojām ir kontrole, piemēram, pār atspējot VM atmiņas integritāti izmantojot tādas komandas kā Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true.
Pastāv daži ierobežojumi. Tādi elementi kā virtuālie šķiedru kanālu adapteri Tie nav saderīgi ar atmiņas integritāti, un, ja vēlaties tos izmantot, virtuālā mašīna ir jāizslēdz no VBS, izmantojot virtuālās mašīnas drošības iestatījumus. Tas pats attiecas uz tādām opcijām kā AllowFullSCSICommandSet caurlaides diskos, kas nav saderīgas ar HVCI.
Operētājsistēmā Windows ar ligzdotu virtualizāciju Hyper-V lomu var iestatīt virtuālajā mašīnā, kurai ir iespējota arī atmiņas integritāte. Tomēr ir jāievēro noteikta konfigurācijas secība un jānodrošina, lai gan resursdatora, gan viesa virtuālās mašīnas atbilstu prasībām.
Kad tam jābūt aktīvam un kad tas ir jādeaktivizē?
Miljonu dolāru jautājums, it īpaši, ja jūs uztrauc FPS spēlēs, ir tas, vai ir vērts šo funkciju vienmēr ieslēgt. Vairumā mūsdienu datoru un vispārējai lietošanai Veiktspējas upuris ir saprātīgs, salīdzinot ar drošības lēcienu. ko iegūstat pret ļaunprātīgiem kodola ievainojamībām un draiveriem.
Ja neizmantojat trešo pušu pretvīrusu programmatūru, paļaujaties uz Windows Defender un bieži lejupielādējat programmas no neregulētām vietnēm, atmiņas integritāte pievieno svarīgu papildu aizsardzības slāni. Tā samazina uzbrukuma virsmu un piespiež ierīču draiverus pakļaut stingrākai pārbaudei.
No otras puses, ja jūsu absolūtā prioritāte ir konkurētspējīgu spēļu veiktspēja un katrs kadrs ir svarīgs, varat apsvērt starpposma stratēģiju: Atspējojiet VBS un atmiņas integritāti, ja zināt, ka pavadīsiet laiku tikai spēlējot spēles. un atkārtoti aktivizējiet tos ikdienas pārlūkošanai, biroja lietojumprogrammām utt. Tomēr paturiet prātā, ka izmaiņu veikšanai nepieciešama restartēšana. Tas nav tik ērti kā vienkārši nospiest pogu.
Pieredzējušiem lietotājiem vai administratoriem galvenais ir padziļināta vides izpratne. Sākot ar darbstacijām, kurās tiek apstrādāti sensitīvi dati, līdz administratīvajām darbstacijām, ikviens parasti gūst labumu no atmiņas integritātes iespējošanas kā daļas no visaptverošas drošības stratēģijas. Atbalsta dublējumkopijas un stingra atjaunināšanas politika.
Galu galā, izpratne par VBS darbību, tā mijiedarbību ar draiveriem, programmaparatūru un veiktspēju, kā arī kļūdu diagnostiku ļauj pieņemt pamatotākus lēmumus: uzturēt Windows atmiņas integritāte kā spēcīgs sabiedrotais pret sarežģītiem uzbrukumiemvai deaktivizēt to ļoti konkrētos laikos, lieliski zinot, kas tiek iegūts un zaudēts katrā gadījumā.
