Конфигурисање интегритета меморије у оперативном систему Windows: Комплетан технички водич

  • Интегритет меморије је компонента VBS-а која појачава интегритет кода језгра тако што га изолује у окружењу заштићеном хипервизором.
  • Његова активација зависи од захтева хардвера, фирмвера и драјвера, а може се управљати путем графичког интерфејса, регистра, контроле апликација или MDM алата.
  • Windows нуди више механизама за валидацију и дијагностику (Win32_DeviceGuard, msinfo32, SkTool, догађаји интегритета кода) за проверу стварног статуса VBS и HVCI.
  • Ова функција се може користити и на физичком хардверу и на Hyper-V виртуелним машинама, уз посебна разматрања компатибилности и перформанси.
Joaquin Romero

КСНУМКС Минутос

Интегритет меморије у оперативном систему Windows

Ако сте стигли довде зато што се не можете слагати са Интегритет меморије Windows-аПратите нас, јер ћемо детаљно размотрити ову функцију. Видећете тачно шта је то, како се односи на изолацију језгра и VBS, како да је омогућите на кућном рачунару, у пословним окружењима (Intune, политике, регистар, PowerShell…), које хардверске захтеве захтева и шта да радите када Windows апсолутно одбија да је омогући.

Циљ је да завршите овај водич знајући Како конфигурисати интегритет меморије у оперативном систему Виндовс Са лакоћом ћете научити које поруке и параметре да проверите да бисте потврдили да све исправно функционише и како да дијагностикујете типичне грешке које се јављају и на физичким рачунарима и на виртуелним машинама Hyper-V. Ићи ћемо корак по корак, али са довољно техничких детаља од којих ће имати користи и напредни корисници и систем администратори.

Шта је интегритет меморије и како се уклапа у VBS?

ла лламада интегритет меморије (Интегритет меморије или HVCI, Hypervisor-Enforced Code Integrity) је кључна компонента безбедности засноване на виртуелизацији Windows-а, позната као VBS (Безбедност заснована на виртуелизацији)Идеја је једноставна, али веома моћна: Windows креира изоловано виртуелно окружење користећи хипервизор, претпостављајући да би нормално језгро могло бити угрожено, и покреће критичне провере интегритета кода у том заштићеном окружењу.

Захваљујући томе, систем може валидира код који се извршава у режиму језгра Из безбеднијег контекста, одвојите тајне и осетљиве операције од остатка оперативног система и ојачајте модел претњи против напредног злонамерног софтвера, као што су руткитови или експлоати који директно нападају Windows језгро.

Када је интегритет меморије оперативан, систем агресивно ограничава алокације меморије језграКодне странице се означавају као извршне тек након што прођу провере интегритета у том безбедном окружењу, а штавише, извршне странице се не могу преписати. Другим речима, изузетно је тешко... убризгавање кода или модификацију критичних структура језгра.

Контролна листа за неопходан хардвер пре надоградње на Windows 11
Повезани чланак:
Контролна листа за неопходан хардвер пре надоградње на Windows 11

Специфичне функције интегритета меморије

Иако изгледа као једноставан прекидач из графичког интерфејса, интегритет меморије имплементира неколико основних механизама. веома специфичне заштите преко језграМеђу најважнијим су два:

  • Заштита битмапама помоћу Control Flow Guard (CFG) у режиму језграОво спречава злонамерни код да манипулише структурама које CFG користи за валидацију тока извршавања контролера, затварајући многа врата експлоатима који преусмеравају нежељене позиве функција.
  • Заштита процеса интегритета кода у режиму језграПровере које потврђују да је драјвер језгра поуздан и правилно потписан се извршавају унутар VBS окружења, тако да не може се манипулисати из самог језгра конвенционални.

Укратко, ова карактеристика чини интегритет класичног кода језгра много робуснијим, јер Премешта га у контекст изолован хипервизором. да је злонамерни софтвер много теже напасти.

Где се конфигурише интегритет меморије у Windows интерфејсу?

На корисничким рачунарима, најдиректнији приступ интегритету меморије је путем апликације Виндовс сигурностТо спада под одељак о изолацији језгра или изолација језгра, који групише све што је везано за заштиту језгра коју подржава VBS.

Да бисте га активирали са самог интерфејса, уобичајени ток је следећи, који добро је знати чак и ако касније више волите да примените конфигурацију према смерницама или према регистру:

  • Отвори Виндовс сигурност (икона штита у системској палети или тако што ћете је потражити из менија „Старт“).
  • Унесите Сигурност уређаја, где ћете видети блок Изолација језгра.
  • Кликните на Детаљи изолације језгра, где се опција појављује Интегритет меморије поред прекидача.
  • Укључите прекидач. Можда ћете видети поруке попут „Интегритет меморије је онемогућен. Уређај може бити рањив.„пре активирања опције.“
  • Поново покрените рачунар када вас Windows замоли да примените измене.

На истом екрану је уобичајено да се следеће активира подразумевано: Мајкрософтова листа блокираних рањивих драјвераОво спречава учитавање одређених драјвера са познатим грешкама када је интегритет меморије активан. То је важна карактеристика јер јача ланац поверења возача.

Однос између изолације језгра и интегритета меморије

Интегритет меморије у оперативном систему Windows

У оквиру безбедносне апликације, изолација језгра Обухвата неколико функција. Највидљивија и најкритичнија за већину корисника је управо интегритет меморије. Када активирате ову опцију, оно што заправо радите јесте Омогућите HCCI преко VBS окружења свог уређаја.

Изолација језгра ствара виртуелизовано окружење за одређене осетљиве делове системаИнтегритет меморије се ослања на ову изолацију како би прегледао и контролисао код језгра. На овај начин, чак и ако се злоупотреби апликација са повећаним привилегијама, нападачу је много теже да модификује језгро или његове унутрашње структуре.

Међутим, то нису све предности: ова изолација и додатне провере могу укључивати одређени утицај на перформансепосебно у играма или апликацијама које су веома осетљиве на латенцију. Неки корисници пријављују падове FPS-а или чак плаве снимке екрана након активирања функције. У тим случајевима, ако се потврди да је извор проблема HVCI, могуће је привремено онемогућите изолацију језгра док се драјвери, фирмвер ажурирају или се исправљају некомпатибилности.

Када је интегритет меморије подразумевано омогућен у оперативном систему Windows?

У модерним верзијама Windows-а, Microsoft тежи да подразумевано омогући интегритет меморије на многим новим рачунарима. Конкретно, Windows 11 подразумевано омогућава интегритет меморије у чистим инсталацијама на компатибилном хардверу, без потребе да корисник додирује било шта. Исто важи и за опрему која се сматра заштићено језгро старе чисте инсталације система Windows 10 у S режиму.

Ако уређај не испуњава минималне захтеве, функција се неће аутоматски активирати, већ Корисник или администратор могу га укључити ручно из интерфејса за безбедност система Windows, из политике или изменом регистра. У сваком случају, Мајкрософт инсистира да ИТ стручњаци и крајњи корисници одржавају крајња контрола над тим да ли је ова заштита активна или не.

Хардверски захтеви за аутоматско омогућавање интегритета меморије

Да би систем аутоматски омогућио интегритет меморије без интервенције корисника, мора бити испуњен прилично специфичан скуп хардверских и фирмверских захтева. Ово је важно јер То објашњава зашто неки уређаји не добијају аутоматску активацију. иако могу да користе функцију опционо.

На нивоу процесадорОпште смернице су:

  • Intel 8. генерације или новији за Windows 11 верзију 22H2 (и Core процесоре 11. генерације на Windows 11 21H2).
  • AMD са Zen 2 архитектуром или новијомТо јест, релативно скорашње генерације.
  • Qualcomm Snapdragon 8180 или новији на ARM уређајима.

Поред тога, потребно је да опрема има најмање 8 ГБ РАМ-а на x64 платформама, системска јединица типа 64 ГБ или већи ССД и да су следеће опције омогућене у BIOS-у/UEFI-ју: опције за виртуелизацију хардвера.

Још један критичан захтев јесте да контролери компатибилни са интегритетом меморијеАко неки основни драјвер не подржава HVCI или је познато да је у конфликту са њим, систем може да одлучи да не омогући аутоматски VBS и Memory Integrity како би избегао озбиљне проблеме са покретањем. Због тога је веома важно увек проверити компатибилност драјвера на старијем хардверу.

Контрола интегритета меморије путем регистрације (професионална и OEM окружења)

У корпоративним окружењима, веома је уобичајено да се интегритет меморије контролише путем Кључеви регистрабило директно у системској слици или путем алата за управљање као што су Intune, скрипте или GPO-и. Кључна грана је HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard и, посебно, подстабло Сценарији\ХипервизорПрисиљени интегритет кода.

Да бисте омогућили безбедност засновану на виртуелизацији и интегритет меморије помоћу препоручена конфигурација (без UEFI закључавања, тако да се може обрнути), користе се уноси као што су следећи:

  • ЕнаблеВиртуализатионБаседСецурити у DeviceGuard-у, са вредношћу 1 да бисте активирали VBS.
  • РекуиреПлатформСецуритиФеатурес са вредностима као што су 1 (само безбедно покретање) или 3 (безбедно покретање + DMA заштита).
  • Закључан у DeviceGuard-у и у HypervisorEnforcedCodeIntegrity-ју да би се одлучило да ли да се закључа конфигурација путем UEFI фирмвера (0 без закључавања, 1 закључавање).
  • omogućeno у Scenarios\HypervisorEnforcedCodeIntegrity да бисте посебно укључили или искључили интегритет меморије.
  • Обавезно у DeviceGuard-у са вредношћу 1 ако желите да систем Не завршавајте процес покретања система ако VBS или његове критичне компоненте откажу.

За произвођаче опреме или администраторе који припремају слике, постоји једно посебно релевантно подешавање: подешавање вредности у HVCI путањи Енаблед=1, WasEnabledBy=1 y ОмогућенИдПокретања=Ово осигурава интегритет меморије. покретање омогућено и, истовремено, да сам систем може аутоматски да га онемогући ако открије блокаде при првом поновном покретању због некомпатибилности драјвера.

BootId је бројач који се повећава при сваком успешном покретању и налази се у кључу HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters\BootIdЛогика аутоматске деактивације HVCI-ја примењује се само док BootId је мањи од EnabledBootId + 3Ово пружа неку врсту сигурносне мреже како би се спречило да опрема постане неупотребљива због сукоба драјвера.

Промените понашање графичког интерфејса интегритета меморије

Још један занимљив кључ за администраторе је Омогућено од стране унутар HVCI подстабла. Служи за контролу начина на који се опција приказује у апликацији Windows безбедност и ко је „одговоран“ за њено активирање.

Ако се вредност уклони Омогућено од странеИнтерфејс приказује поруку „Овим подешавањем управља ваш администратор“ и онемогућава контролу крајњег корисника, што је корисно када желите веома строга и непроменљива корпоративна политикаАко је подешена на одређену вредност (на пример, 2), интерфејс се враћа у нормално понашање и корисник може поново да пошаље измене из апликације.

Омогућите интегритет меморије помоћу контроле апликација за предузећа

У организацијама које већ користе Контрола апликација (Контрола апликација за предузећа)Интегритет меморије може се омогућити интегрисањем у саму политику контроле апликација. То се може урадити на неколико начина, а сви су осмишљени да искористе постојеће централизовано управљање.

Међу најчешћим опцијама су:

  • Користите Помоћник за контролу апликација да бисте креирали или изменили политику и означили поље Интегритет кода заштићен хипервизором у одељку са правилима политике.
  • Покрените PowerShell cmdlet Set-HVCIOptions, што вам омогућава да подесите HVCI опције на детаљнији начин из скрипти или алата за аутоматизацију.
  • Директно измените XML смерница за контролу апликација подешавање вредности елемента <HVCIOptions>, веома корисно при управљању тимском фармом са једним шаблоном политике.

Ово омогућава одлуку о омогућавању или онемогућавању интегритета меморије путовање са самом директивом за контролу апликације, чувајући цео модел безбедности кода на једном месту и избегавајући раштркане конфигурације.

Проверите статус VBS-а и интегритет меморије

Када се функција активира, неопходно је да се може поуздано проверити да ли VBS и HCCI су покренути и раде.Windows нуди неколико механизама за валидацију овога, како из командне линије, тако и помоћу графичких алата.

Како избећи преваре при куповини јефтиних хард дискова
Повезани чланак:
Како избећи преваре при куповини јефтине меморије и чврстих дискова

Win32_DeviceGuard и PowerShell WMI класа

У оперативним системима Windows 10, Windows 11 и Windows Server 2016 или новијим верзијама постоји WMI класа Win32_DeviceGuardшто открива бројна својства везана за VBS и интегритет меморије. Из PowerShell конзоле са администраторским привилегијама, можете га упитати помоћу:

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

Излаз показује, између осталог, области као што су:

  • Идентификатор инстанце y верзија, који идентификују инстанцу класе и верзију (тренутно 1.0).
  • Доступна својства безбедности, низ вредности које указују које безбедносне функције уређај подржава (компатибилност са хипервизором, безбедно покретање, DMA заштита, безбедно преписивање меморије, NX заштита, SMM ублажавања, MBEC/GMET, APIC виртуелизација…).
  • Обавезна својства безбедности, што указује која су безбедносна својства неопходна за активирање VBS-а (нпр. потреба за hyper-V, безбедно покретање, IOMMU итд.).
  • Статус спровођења политике интегритета кода y Кориснички режимКодИнтегритетСтатусСпровођењаПолитикекоји указују да ли су политике интегритета кода онемогућене, у режиму ревизије или у принудном режиму.
  • Конфигурисане безбедносне услуге y Безбедносне услуге које радегде можете видети да ли Credential Guard, Memory Integrity или друге VBS услуге су конфигурисани и да ли заиста раде?
  • Статус безбедности заснован на виртуелизацији, који се користи да се утврди да ли VBS није омогућен, јесте омогућен али није покренут или је директно омогућен и покренут.
  • Изолација виртуелне машине y Својства изолације виртуелне машине, који извештавају о MV изолацији, са вредностима као што су AMD SEV-SNP, Intel TDX или сама безбедност заснована на виртуелизацији.

Тумачење ових својстава вам омогућава да дијагностиковати зашто VBS не почиње (ако недостаје хардверска функција, ако постоји проблем са конфигурацијом, ако је само омогућена, али не и покренута, итд.) и ако је интегритет меморије у режиму ревизије или режиму строгог спровођења.

Коришћење msinfo32.exe и других провера

Још један брз и прилично визуелан начин за проверу статуса VBS-а је покретање мсинфоКСНУМКС.екеОтварање са повишеним дозволама, у одељку Преглед система На дну се појављује блок са безбедносне функције засноване на виртуелизацији и услуге које су у току.

Такође можете проверити нестабилни кључ регистра који одражава статус HVCI-ја, тачније HKLM\Систем\Тренутни скуп контрола\Контрола\CI\Стање, где је вредност HVCI омогућен Означава да ли је интегритет меморије заиста активан након покретања система.

Са становишта корисника, најнепосреднија провера је и даље отворена Безбедност Windows-а > Безбедност уређаја и погледајте наслов Имплементација безбедносних сервиса заснованих на виртуелизацији и у прекидачу интегритета меморије унутар детаља изолације језгра.

Решавање уобичајених проблема са интегритетом меморије

Немају сви искуство „укључи и користи“. Сасвим је уобичајено видети озлоглашену поруку... „Интегритет меморије се не може активирати“ Или, у окружењима којима управља Intune, конфигурација може приказати статус грешке без даљег објашњења. За ове случајеве, корисно је имати мали арсенал дијагностичких провера и техника.

Грешке ручне активације на кућним рачунарима

Када омогућите интегритет меморије из Windows безбедности и систем одбије, обично постоји нешто иза тога. један од ових фактора:

  • Застарели или некомпатибилни драјверипосебно USB уређаје, старије графичке картице или необичне периферне уређаје.
  • Антивирусни или сигурносни софтвер од трећих страна што је у сукобу са радом HVCI-ја и његовим проверама.
  • Проблеми са компатибилношћу хардвера (Процесор без потребних функција, BIOS без виртуализације, недостатак SLAT-а, IOMMU-а или безбедног покретања у одређеним сценаријима).
  • Виндовс ажурирања на чекањушто спречава завршетак имплементације VBS-а и интегритета меморије док се не инсталирају одређене закрпе.

Неки водичи препоручују екстремна решења као што су поново инсталирајте Виндовс од нуле или извршите фабричко ресетовање, али пре него што дођете до те тачке вреди покушати много мање инвазивне опције: уклањање проблематичних драјвера, ажурирање свих драјвера (посебно USB-а и чипсета), извођење скенирајте помоћу провере системских датотека (sfc /scannow) и потпуно скенирање злонамерног софтвера помоћу програма Windows Security.

У случајевима када се чини да је функција блокирана „од стране администратора“, друго решење је прегледајте и измените Регистаросигуравајући да вредност omogućeno Путања HVCI је подешена на 1 и не постоје активне групне политике које спроводе другачије. Међутим, све измене у регистру морају се извршити са администраторским привилегијама и након резервне копије, јер Грешка може учинити систем нестабилним..

Неуспех активације путем Intune-а или других MDM алата

У имплементацијама којима управља Intune, релативно је уобичајено да се политика изолације језгра или интегритета меморије појави као Грешка у великом проценту уређаја, док ручна активација са локалног интерфејса функционише.

Када се ово деси и Нема јасних уноса ни у IME.log ни у прегледачу догађајаПрепоручљиво је проверити:

  • Да уређај заиста пружа услуге. захтеви за хардвер и фирмвер, укључујући виртуелизацију омогућену у BIOS-у, безбедно покретање система када то захтева политика и ажуриране драјвере.
  • Да не постоји друга претходна директива или конфигурација која то је било у супротности са политиком Интунеа за HCCI, посебно ако су тестирана подешавања са и без UEFI закључавања.
  • Да ли Intune агент заправо прима директиву, поново проверавамо IME.log тражење помена DeviceGuard-а или HVCI-ја чак и ако се не појави експлицитна грешка.
  • Ако се грешка јавља само на одређеним моделима, проверите помоћу алата за дијагностику компатибилности са VBS-ом (на пример, SkTool или евиденције сетупацт.лог) ако су откривени ПРОБЛЕМИ_СА_КОМПАТИВНОСТИ_СА_VBS бетон.

Понекад, Windows-ова сопствена логика заштите покретања одлучује Не активирај аутоматски HCCI путем смерница Ако су претходна покретања открила падове система или присилна поновна покретања која указују на некомпатибилан драјвер, чак и ако корисник може ручно да га омогући без видљивих проблема, прегледајте повезане кључеве. ОмогућенИдПокретања и поруке са SYSPRP HVCI Провера датотеке setupact.log помаже да се види да ли се нешто слично догодило.

Коришћење SkTool-а и логова за отклањање грешака у VBS-у и интегритету меморије

Windows SDK укључује мало познати, али веома користан услужни програм за напредну подршку и администрацију, под називом SkToolНалази се у фасцикли bin SDK-а, на путањи сличној C:\Program Files (x86)\Windows Kits\10\bin\10.0.26100.0\<arquitectura>где ће архитектура бити x64, arm64, итд.

Трчање sktool.exe Без параметара, приказује се тренутно стање хипервизора и VBS-а, чак и указује на разлог зашто је VBS почео или није почеоПрекидачи као што су /статус, /lkey o /ублажавања Они вам омогућавају да дубље проучите детаље обезбеђивања кључева, ублажавања безбедног језгра и друге аспекте безбедности засноване на виртуелизацији.

С друге стране, да бисте видели да ли интегритет меморије блокира контролере током извршавања, можете погледати дневник догађаја у Евиденције апликација и сервиса\Microsoft\Windows\CodeIntegrity\OperationalДогађаји са ЕвентИД 3087 Обично су повезани са проблемима компатибилности HVCI са одређеним драјверима и кључни су траг за разумевање коју компоненту треба ажурирати или заменити.

Ако желите да прегледате како је одлука о подразумеваном омогућавању или онемогућавању HVCI-ја донета током припреме система, у сетупацт.лог Можете тражити низове као што су HCCI: Омогућавање HCCI-ја o ОС не испуњава захтеве за аутоматско омогућавање HVCI-јаПоруке које укључују ПРОБЛЕМИ_СА_КОМПАТИВНОСТИ_СА_VBS 0xXXXXXXXXX Они наводе, користећи хексадецималну вредност, различите откривене проблеме компатибилности (на пример, неподржана архитектура, недостатак SLAT-а, одсуство ACPI WSMT табеле, недостајући SSD, недовољно RAM меморије итд.).

Опоравак система када интегритет меморије изазива нестабилност

Ако након активирања интегритета меморије систем Не покреће се правилно, замрзава се при покретању или постаје нестабиланПрепоручени поступак је коришћење Windows окружења за опоравак (Windows RE) да бисте поништили промену.

El општи поступак се састоји од:

  • Привремено онемогућите било које групне политике или MDM политике што форсира VBS или HVCI.
  • Покрените погођену опрему у Виндовс РЕкоришћење напредних опција опоравка.
  • Отворите конзолу са привилегијама и измените кључ омогућен HVCI у регистру, постављајући га на 0 у грани DeviceGuard да бисте онемогућили интегритет меморије.
  • Поново покрените уређај и проверите да ли се систем поново нормално покреће.

Овај приступ вам омогућава да опоравите рачунаре који су се заглавили у петљи грешака при покретању без потребе за потпуном поновном инсталацијом оперативног система или губитком података, а посебно је користан у производним окружењима где Застој је критичан.

Интегритет меморије у Hyper-V виртуелним машинама

Интегритет меморије није искључив за физичку опрему: може бити и омогућити у Hyper-V виртуелним машинамаЗаштита гостујућег система баш као да је у питању физички хост. Унутар виртуелне машине, кораци конфигурације су практично исти: омогућавање VBS-а и HVCI-ја, било путем смерница, регистра или из интерфејса за безбедност система Windows.

Међутим, важно је бити јасан у вези са периметром заштите: интегритетом меморије. Штити од злонамерног софтвера који се покреће унутар виртуелне машине.Међутим, не додаје никакву додатну одбрану од администратора хоста или од напада на сам хипервизор.

Са Hyper-V хоста можете онемогућите укључивање виртуелне машине у безбедносној шеми заснованој на виртуелизацији користећи cmdlet:

Set-VMSecurity -VMName <NombreMV> -VirtualizationBasedSecurityOptOut $true

Да би све ово исправно функционисало, потребно је имати на уму неколико захтева.:

  • Hyper-V хост мора да ради Windows Server 2016 или Windows 10 1607 или новији.
  • Виртуелна машина мора бити генерација 2 и покрените Windows Server 2016 или Windows 10 или новији.
  • Интегритет меморије је подржан од стране угнежђена виртуелизацијаМеђутим, потребно је прво инсталирати Hyper-V улогу унутар виртуелне машине у окружењу припремљеном за угнежђену виртуелизацију.
  • Л виртуелни адаптери за оптичке канале Нису компатибилни са интегритетом меморије; пре повезивања са виртуелном машином, та виртуелна машина мора бити искључена из VBS-а помоћу Set-VMSecurity.
  • Опција ДозволиФулСКСИКоммандСет Пролазни дискови такође нису подржани са омогућеним HVCI-јем; поново, потребно је да се искључите из VBS виртуелне машине пре коришћења те конфигурације.

Уз правилно испуњење овог скупа услова, могуће је распоредити лабораторијски и производни сценарији са VBS-ом и интегритетом меморије унутар виртуелних машина, што олакшава тестирање политика и конфигурација без директног ризика за хост.

Интегритет меморије у систему Windows је постао централни део модерног модела безбедности оперативног система: користи виртуелизацију да изолује критичне одлуке о интегритету кода, јача језгро од напредних експлоатација, интегрише његово управљање са контролом апликација, политикама уређаја и алатима попут Intune-а и омогућава детаљна дијагностика путем WMI, msinfo32, SkTool и одређених регистара.

Трајна меморија (PMEM)
Повезани чланак:
Трајна меморија (PMEM): Шта је то и за шта се користи

Познавајући његове хардверске захтеве, кључеве регистра и механизме за прелазак у случају отказа, могуће га је контролисано применити и на персоналним рачунарима и у великим корпоративним окружењима, користећи у потпуности његов потенцијал без губитка из вида... равнотежа између безбедности, компатибилности и перформанси. Поделите ове информације како би више људи знало о овој теми.