Wat zijn Core Isolation en Memory Integrity in Windows 10?
De update van Windows 10 van april 2018 biedt iedereen de beveiligingsfuncties "Core Isolation" en "Memory Integrity". Deze gebruiken op virtualisatie gebaseerde beveiliging om te voorkomen dat uw kernprocessen van het besturingssysteem knoeien, maar Memory Protection is standaard uitgeschakeld voor mensen die upgraden.
Wat is kernisolatie?
In de oorspronkelijke versie van Windows 10 waren op virtualisatie gebaseerde beveiligingsfuncties (VBS) alleen beschikbaar in Enterprise-edities van Windows 10 als onderdeel van 'Device Guard'. Met de update van april 2018 brengt Core Isolation sommige op virtualisatie gebaseerde beveiligingsfuncties voor alle edities van Windows 10.
Sommige Core Isolation-functies zijn standaard ingeschakeld op Windows 10-pc's die voldoen aan bepaalde hardware- en firmwarevereisten, waaronder een 64-bits CPU en een TPM 2.0-chip. Het vereist ook dat uw pc de Intel VT-x of AMD-V virtualisatietechnologie ondersteunt en dat deze is ingeschakeld in de UEFI-instellingen van uw pc.
Wanneer deze functies zijn ingeschakeld, gebruikt Windows hardwarevirtualisatiefuncties om een beveiligd gedeelte van het systeemgeheugen te maken dat is geïsoleerd van het normale besturingssysteem. Windows kan systeemprocessen en beveiligingssoftware uitvoeren in dit beveiligde gebied. Dit beschermt belangrijke processen van het besturingssysteem tegen manipulatie door iets dat buiten het beveiligde gebied loopt.
Zelfs als malware op uw pc wordt uitgevoerd en een exploit kent die deze Windows-processen moet laten kraken, is de op virtualisatie gebaseerde beveiliging een extra beveiligingslaag die hen tegen aanvallen beschermt.
Wat is geheugenintegriteit?
De functie die bekend staat als "Geheugenintegriteit" in de interface van Windows 10 wordt ook wel "Hypervisor protected Code Integrity" (HVCI) genoemd in de documentatie van Microsoft.
Geheugenintegriteit is standaard uitgeschakeld op pc's die een upgrade hebben uitgevoerd naar de Update van april 2018, maar u kunt deze inschakelen. Het zal standaard worden ingeschakeld voor nieuwe installaties van Windows 10 in de toekomst.
Deze functie is een subset van Core Isolation. Windows vereist normaal gesproken digitale handtekeningen voor apparaatstuurprogramma's en andere code die in een low-level Windows-kernelmodus wordt uitgevoerd. Dit zorgt ervoor dat er niet met malware is geknoeid. Wanneer "Geheugenintegriteit" is ingeschakeld, wordt de "code-integriteitsdienst" in Windows uitgevoerd in de door de hypervisor beschermde container die is gemaakt door Core Isolation. Dit zou het bijna onmogelijk maken voor malware om te knoeien met de code integriteitscontroles en toegang te krijgen tot de Windows kernel.
Virtuele machine-problemen
Omdat Memory Integrity de virtualisatie-hardware van het systeem gebruikt, is het incompatibel met virtuele machineprogramma's zoals VirtualBox of VMware. Slechts één applicatie kan deze hardware tegelijkertijd gebruiken.
Mogelijk ziet u een bericht dat Intel VT-X of AMD-V niet is ingeschakeld of niet beschikbaar is als u een programma voor een virtuele machine installeert op een systeem waarop Memory Integrity is ingeschakeld. In VirtualBox ziet u mogelijk het foutbericht "Onbewerkte modus is onbeschikbaar met dank aan Hyper-V" terwijl geheugenbeveiliging is ingeschakeld.
Hoe dan ook, als u een probleem ondervindt met uw virtuele machinesoftware, moet u Geheugenintegriteit uitschakelen om het te gebruiken.
Waarom is het standaard uitgeschakeld?
De belangrijkste Core-isolatiefunctie mag geen problemen veroorzaken. Het is ingeschakeld op alle Windows 10-pc's die het kunnen ondersteunen en er is geen interface om het uit te schakelen.
Geheugenintegriteitsbescherming kan echter problemen veroorzaken met sommige apparaatstuurprogramma's of andere low-level Windows-toepassingen. Daarom is deze standaard uitgeschakeld bij upgrades. Microsoft pusht nog steeds ontwikkelaars en fabrikanten van apparaten om hun stuurprogramma's en software compatibel te maken. Daarom is het standaard ingeschakeld op nieuwe pc's en nieuwe installaties van Windows 10.
Als een van de stuurprogramma's die uw pc nodig heeft om op te starten onverenigbaar is met Memory Protection, zal Windows 10 Geheugenbeveiliging stilzetten om ervoor te zorgen dat uw pc correct kan opstarten en werken. Dus, als je het probeert in te schakelen en alleen opnieuw op te starten om te ontdekken dat het nog steeds is uitgeschakeld, daarom.
Als u problemen ondervindt met andere apparaten of defecte software na het inschakelen van Geheugenbescherming, raadt Microsoft aan te controleren op updates met de specifieke toepassing of het stuurprogramma. Als er geen updates beschikbaar zijn, schakelt u Geheugenbescherming uit.
Zoals we hierboven al vermeldden, is Geheugenintegriteit ook incompatibel met sommige applicaties waarvoor exclusieve toegang tot de virtualisatiehardware van het systeem vereist is, zoals programma's voor virtuele machines. Andere tools, inclusief enkele debuggers, vereisen ook exclusieve toegang tot deze hardware en werken niet met Geheugen Integrity ingeschakeld.
Hoe Core Isolation Memory Integrity in te schakelen
U kunt zien of uw computer beschikt over Core Isolation-functies ingeschakeld en de Memory Protection in- of uitschakelen vanuit de Windows Defender Security Center-toepassing. (Deze tool wordt hernoemd als "Windows-beveiliging" als onderdeel van de update van oktober 2018.)
Om dit te openen, zoekt u naar "Windows Defender Security Center" in uw Start-menu of gaat u naar Instellingen> Update en beveiliging> Windows Beveiliging> Windows Defender Security Center openen.
Klik op het pictogram "Apparaatbeveiliging" in het Beveiligingscentrum.
Als Core Isolation is ingeschakeld op de hardware van uw pc, ziet u hier het bericht "Op virtualisatie gebaseerde beveiliging om de kernonderdelen van uw apparaat te beschermen".
Als u geheugenbeveiliging wilt inschakelen (of uitschakelen), klikt u op de koppeling "Core-isolatiedetails".
Dit scherm laat zien of Geheugenintegriteit is ingeschakeld of niet. Dat is de enige optie hier voor nu.
Om Geheugenintegriteit in te schakelen, zet u de schakelaar op "Aan". Als u problemen ondervindt met toepassingen of apparaten en Geheugenintegriteit moet uitschakelen, keer dan hier terug en zet de schakelaar op "Uit".
U wordt gevraagd om uw computer opnieuw op te starten en de wijziging wordt pas van kracht zodra u dit hebt gedaan.
Meer Windows Defender Exploit Guard-functies
Core Isolation en Memory Integrity zijn enkele van de vele nieuwe beveiligingsfuncties die Microsoft heeft toegevoegd als onderdeel van Windows Defender Exploit Guard. Dit is een verzameling functies die is ontworpen om Windows te beveiligen tegen aanvallen.
Exploitbeveiliging, die uw besturingssysteem en toepassingen beschermt tegen vele soorten exploits, is standaard ingeschakeld. Dit vervangt de oude EMET-tool van Microsoft en bevat anti-exploitfuncties die we eerder hebben aanbevolen voor het installeren van Malware Anti-Exploit. Alle Windows 10-gebruikers hebben nu bescherming tegen misbruik.
Er is ook gecontroleerde maptoegang, die uw bestanden beschermt tegen ransomware. Het is standaard niet ingeschakeld omdat het enige configuratie vereist. Als u deze functie inschakelt, moet u toegang tot toepassingen verlenen voordat ze toegang hebben tot bestanden in uw persoonlijke bestandsmappen.
In de toekomst zal Memory Integrity standaard worden ingeschakeld op alle nieuwe pc's, waardoor extra bescherming tegen aanvallen wordt geboden. Alleen geavanceerde gebruikers die software voor virtuele machines en andere hulpmiddelen gebruiken die toegang tot de hardware voor systeemvirtualisatie vereisen, moeten deze uitschakelen.