Connect with us

Wie man

Was sind „Core Isolation“ und „Memory Integrity“ in Windows 10?

Was sind "Core Isolation" und "Memory Integrity" in Windows 10?

Das Windows 10-Update vom April 2018 bietet allen Sicherheitsfunktionen für „Core Isolation“ und „Memory Integrity“. Diese verwenden virtualisierungsbasierte Sicherheit, um die Prozesse Ihres Kernbetriebssystems vor Manipulationen zu schützen. Der Speicherschutz ist jedoch für Benutzer, die ein Upgrade durchführen, standardmäßig deaktiviert.

Was ist Kernisolation?

In der ursprünglichen Version von Windows 10 virtualisierungsbasierte Sicherheit (VBS) -Funktionen waren nur in Enterprise-Editionen von Windows 10 als Teil von „Device Guard“ verfügbar. Mit dem Update vom April 2018 bringt Core Isolation einige virtualisierungsbasierte Sicherheitsfunktionen in alle Editionen von Windows 10.

Einige Core Isolation-Funktionen sind standardmäßig auf Windows 10-PCs aktiviert, die bestimmte Anforderungen erfüllen Hardware- und Firmware-Anforderungen, einschließlich einer 64-Bit-CPU und eines TPM 2.0-Chips. Außerdem muss Ihr PC die Intel VT-x- oder AMD-V-Virtualisierungstechnologie unterstützen und in den UEFI-Einstellungen Ihres PCs aktiviert sein.

Wenn diese Funktionen aktiviert sind, verwendet Windows Hardwarevirtualisierungsfunktionen, um einen sicheren Bereich des Systemspeichers zu erstellen, der vom normalen Betriebssystem isoliert ist. Windows kann in diesem sicheren Bereich Systemprozesse und Sicherheitssoftware ausführen. Dies schützt wichtige Betriebssystemprozesse vor Manipulationen durch Objekte außerhalb des Sicherheitsbereichs.

Selbst wenn Malware auf Ihrem PC ausgeführt wird und einen Exploit kennt, mit dem diese Windows-Prozesse geknackt werden können, ist die virtualisierungsbasierte Sicherheit eine zusätzliche Schutzschicht, die sie vor Angriffen schützt.

Was ist Speicherintegrität?

Die in der Windows 10-Benutzeroberfläche als „Speicherintegrität“ bekannte Funktion wird in der Microsoft-Dokumentation auch als „Hypervisor Protected Code Integrity“ (HVCI) bezeichnet.

Die Speicherintegrität ist auf PCs, die auf das Update vom April 2018 aktualisiert wurden, standardmäßig deaktiviert. Sie können sie jedoch aktivieren. Es wird standardmäßig bei zukünftigen Neuinstallationen von Windows 10 aktiviert.

Diese Funktion ist eine Teilmenge der Kernisolation. Windows benötigt normalerweise digitale Signaturen für Gerätetreiber und anderen Code, der im Windows-Kernelmodus auf niedriger Ebene ausgeführt wird. Dies stellt sicher, dass sie nicht durch Malware manipuliert wurden. Wenn „Speicherintegrität“ aktiviert ist, wird der „Code-Integritätsdienst“ in Windows in dem durch Core Isolation erstellten, durch Hypervisor geschützten Container ausgeführt. Dies sollte es Malware nahezu unmöglich machen, die Code-Integritätsprüfungen zu manipulieren und Zugriff auf den Windows-Kernel zu erhalten.

Probleme mit virtuellen Maschinen

Da Memory Integrity die Virtualisierungshardware des Systems verwendet, ist es nicht mit Programmen für virtuelle Maschinen wie VirtualBox oder VMware kompatibel. Es kann jeweils nur eine Anwendung diese Hardware verwenden.

Möglicherweise wird die Meldung angezeigt, dass Intel VT-X oder AMD-V nicht aktiviert oder verfügbar ist, wenn Sie ein Programm für virtuelle Maschinen auf einem System mit aktivierter Speicherintegrität installieren. In VirtualBox wird möglicherweise die Fehlermeldung „Raw-Modus ist dank Hyper-V nicht verfügbar“ angezeigt, während der Speicherschutz aktiviert ist.

In beiden Fällen müssen Sie die Speicherintegrität deaktivieren, wenn Sie auf ein Problem mit Ihrer Software für virtuelle Maschinen stoßen.

Warum ist es standardmäßig deaktiviert?

Die Hauptfunktion zur Kernisolierung sollte keine Probleme verursachen. Es ist auf allen Windows 10-PCs aktiviert, die es unterstützen, und es gibt keine Schnittstelle zum Deaktivieren.

Der Schutz der Speicherintegrität kann jedoch bei einigen Gerätetreibern oder anderen Windows-Anwendungen auf niedriger Ebene zu Problemen führen, weshalb er bei Upgrades standardmäßig deaktiviert ist. Microsoft drängt Entwickler und Gerätehersteller weiterhin darauf, ihre Treiber und Software kompatibel zu machen, weshalb sie standardmäßig auf neuen PCs und Neuinstallationen von Windows 10 aktiviert sind.

Wenn einer der Treiber, die Ihr PC zum Booten benötigt, nicht mit dem Speicherschutz kompatibel ist, schaltet Windows 10 den Speicherschutz stillschweigend aus, um sicherzustellen, dass Ihr PC booten und ordnungsgemäß funktionieren kann. Wenn Sie also versuchen, es zu aktivieren und nur neu zu starten, um festzustellen, dass es noch deaktiviert ist, ist dies der Grund.

Wenn nach dem Aktivieren des Speicherschutzes Probleme mit anderen Geräten oder fehlerhafter Software auftreten, empfiehlt Microsoft, nach Updates für die jeweilige Anwendung oder den jeweiligen Treiber zu suchen. Wenn keine Updates verfügbar sind, deaktivieren Sie den Speicherschutz.

Wie oben erwähnt, ist die Speicherintegrität auch mit einigen Anwendungen nicht kompatibel, die exklusiven Zugriff auf die Virtualisierungshardware des Systems erfordern, z. B. Programme für virtuelle Maschinen. Andere Tools, einschließlich einiger Debugger, erfordern ebenfalls exklusiven Zugriff auf diese Hardware und funktionieren nicht mit aktivierter Speicherintegrität.

Aktivieren der Core Isolation Memory-Integrität

Sie können sehen, ob auf Ihrem PC die Core Isolation-Funktionen aktiviert sind, und den Speicherschutz in der Windows Defender Security Center-Anwendung ein- oder ausschalten. (Dieses Tool wird im Rahmen des Updates vom Oktober 2018 in „Windows-Sicherheit“ umbenannt.)

Suchen Sie zum Öffnen im Startmenü nach „Windows Defender Security Center“ oder gehen Sie zu Einstellungen> Update & Sicherheit> Windows-Sicherheit> Windows Defender-Sicherheitscenter öffnen.

Klicken Sie im Sicherheitscenter auf das Symbol „Gerätesicherheit“.

Wenn die Kernisolation auf der Hardware Ihres PCs aktiviert ist, wird hier die Meldung „Virtualisierungsbasierte Sicherheit wird ausgeführt, um die Kernteile Ihres Geräts zu schützen“ angezeigt.

Klicken Sie zum Aktivieren (oder Deaktivieren) des Speicherschutzes auf den Link „Details zur Kernisolation“.

Dieser Bildschirm zeigt Ihnen, ob die Speicherintegrität aktiviert ist oder nicht. Dies ist derzeit die einzige Option.

Um die Speicherintegrität zu aktivieren, stellen Sie den Schalter auf „Ein“. Wenn Sie auf Anwendungs- oder Geräteprobleme stoßen und die Speicherintegrität deaktivieren müssen, kehren Sie hierher zurück und stellen Sie den Schalter auf „Aus“.

Sie werden aufgefordert, Ihren Computer neu zu starten, und die Änderung wird erst wirksam, wenn Sie dies getan haben.

Weitere Funktionen von Windows Defender Exploit Guard

Kernisolation und Speicherintegrität sind einige der vielen neuen Sicherheitsfunktionen, die Microsoft im Rahmen von Windows Defender Exploit Guard hinzugefügt hat. Dies ist eine Sammlung von Funktionen, die Windows vor Angriffen schützen sollen.

Der Exploit-Schutz, der Ihr Betriebssystem und Ihre Anwendungen vor vielen Arten von Exploits schützt, ist standardmäßig aktiviert. Dies ersetzt das alte EMET-Tool von Microsoft und enthält Anti-Exploit-Funktionen, für die wir zuvor die Installation von Malware Anti-Exploit empfohlen haben. Alle Windows 10-Benutzer haben jetzt Exploit-Schutz.

Es gibt auch einen kontrollierten Ordnerzugriff, der Ihre Dateien vor Ransomware schützt. Es ist standardmäßig nicht aktiviert, da eine Konfiguration erforderlich ist. Wenn Sie diese Funktion aktivieren, müssen Sie Anwendungen den Zugriff gewähren, bevor sie auf Dateien in Ihren persönlichen Dateiordnern zugreifen können.

In Zukunft wird die Speicherintegrität standardmäßig auf allen neuen PCs aktiviert und bietet zusätzlichen Schutz vor Angriffen. Nur fortgeschrittene Benutzer, die Software für virtuelle Maschinen und andere Tools verwenden, die Zugriff auf die Systemvirtualisierungshardware benötigen, müssen diese deaktivieren.

Continue Reading
Click to comment

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Tendencia