Cosa sono Core Isolation e Memory Integrity in Windows 10?
L'aggiornamento aprile 2018 di Windows 10 porta tutte le funzionalità di sicurezza "Core Isolation" e "Memory Integrity" a tutti. Questi utilizzano la sicurezza basata sulla virtualizzazione per proteggere i processi del core del sistema operativo da manomissioni, ma la protezione della memoria è disattivata per impostazione predefinita per le persone che effettuano l'aggiornamento.
Cos'è l'isolamento del nucleo?
Nella versione originale di Windows 10, le funzionalità di sicurezza basate sulla virtualizzazione (VBS) erano disponibili solo sulle edizioni Enterprise di Windows 10 come parte di "Device Guard". Con l'aggiornamento di aprile 2018, Core Isolation offre a tutti funzionalità di sicurezza basate sulla virtualizzazione edizioni di Windows 10.
Alcune funzionalità di Core Isolation sono abilitate per impostazione predefinita su PC Windows 10 che soddisfano determinati requisiti hardware e firmware, tra cui una CPU a 64 bit e un chip TPM 2.0. Richiede inoltre che il PC supporti la tecnologia di virtualizzazione Intel VT-x o AMD-V e che sia abilitato nelle impostazioni UEFI del PC..
Quando queste funzionalità sono abilitate, Windows utilizza le funzioni di virtualizzazione dell'hardware per creare un'area protetta della memoria di sistema isolata dal normale sistema operativo. Windows può eseguire processi di sistema e software di sicurezza in quest'area protetta. Questo protegge importanti processi del sistema operativo dall'essere manomessi da qualsiasi cosa che gira all'esterno dell'area protetta.
Anche se il malware è in esecuzione sul tuo PC e conosce un exploit che dovrebbe permetterle di violare questi processi Windows, la sicurezza basata sulla virtualizzazione è un ulteriore livello di protezione che li isolerà dagli attacchi.
Cos'è l'integrità della memoria?
La funzionalità nota come "Integrità della memoria" nell'interfaccia di Windows 10 è anche nota come "HVCI (Hypervisor protected Code Integrity) nella documentazione di Microsoft".
L'integrità della memoria è disabilitata per impostazione predefinita sui PC aggiornati all'aggiornamento di aprile 2018, ma è possibile abilitarlo. Sarà abilitato di default sulle nuove installazioni di Windows 10 andando avanti.
Questa funzione è un sottoinsieme di Core Isolation. Windows normalmente richiede firme digitali per i driver di periferica e altro codice che viene eseguito in modalità kernel Windows di basso livello. Ciò garantisce che non siano stati manomessi da malware. Quando "Integrità memoria" è abilitato, il "servizio di integrità del codice" in Windows viene eseguito all'interno del contenitore protetto dall'hypervisor creato da Core Isolation. Ciò dovrebbe rendere quasi impossibile per il malware manomettere i controlli di integrità del codice e ottenere l'accesso al kernel di Windows.
Problemi della macchina virtuale
Poiché l'integrità della memoria utilizza l'hardware di virtualizzazione del sistema, è incompatibile con i programmi di macchine virtuali come VirtualBox o VMware. Solo una applicazione può utilizzare questo hardware alla volta.
È possibile che venga visualizzato un messaggio che indica che Intel VT-X o AMD-V non sono abilitati o disponibili se si installa un programma di macchina virtuale su un sistema con Integrità memoria abilitato. In VirtualBox, è possibile che venga visualizzato il messaggio di errore "La modalità Raw non è disponibile per gentile concessione di Hyper-V" mentre la Protezione memoria è abilitata.
In entrambi i casi, se si verifica un problema con il software della macchina virtuale, è necessario disabilitare l'integrità della memoria per utilizzarlo.
Perché è disabilitato per impostazione predefinita?
La caratteristica principale di isolamento del core non dovrebbe causare alcun problema. È abilitato su tutti i PC Windows 10 in grado di supportarlo e non c'è un'interfaccia per disabilitarlo.
Tuttavia, la protezione dall'integrità della memoria può causare problemi con alcuni driver di periferica o altre applicazioni Windows di basso livello, motivo per cui è disabilitata per impostazione predefinita sugli aggiornamenti. Microsoft sta ancora spingendo sviluppatori e produttori di dispositivi a rendere i loro driver e software compatibili, motivo per cui è abilitato di default sui nuovi PC e sulle nuove installazioni di Windows 10.
Se uno dei driver che il PC richiede per l'avvio non è compatibile con Memory Protection, Windows 10 disattiverà automaticamente la protezione della memoria per garantire che il PC possa avviarsi e funzionare correttamente. Quindi, se provi ad abilitarlo e riavvia solo per scoprire che è ancora disabilitato, ecco perché.
Se si verificano problemi con altri dispositivi o software malfunzionanti dopo aver abilitato la protezione della memoria, Microsoft consiglia di verificare gli aggiornamenti con l'applicazione o il driver specifico. Se non ci sono aggiornamenti disponibili, disattiva Protezione memoria.
Come accennato in precedenza, l'integrità della memoria sarà anche incompatibile con alcune applicazioni che richiedono l'accesso esclusivo all'hardware di virtualizzazione del sistema, come i programmi di macchine virtuali. Altri strumenti, inclusi alcuni debugger, richiedono anche l'accesso esclusivo a questo hardware e non funzioneranno con l'Integrità memoria abilitata.
Come abilitare l'integrità della memoria di isolamento del core
È possibile verificare se sul PC sono attivate le funzionalità di isolamento di base e attivare o disattivare la protezione della memoria dall'applicazione Windows Defender Security Center. (Questo strumento verrà rinominato "Windows Security" come parte dell'aggiornamento di ottobre 2018).
Per aprirlo, cerca "Windows Defender Security Center" nel menu Start o vai su Impostazioni> Aggiornamento e sicurezza> Protezione di Windows> Apri Windows Defender Security Center.
Fare clic sull'icona "Device Security" nel Security Center.
Se Core Isolation è abilitato sull'hardware del tuo PC, vedrai il messaggio "La sicurezza basata sulla virtualizzazione è in esecuzione per proteggere le parti principali del tuo dispositivo" qui.
Per abilitare (o disabilitare) la protezione della memoria, fare clic sul collegamento "Dettagli isolamento principale".
Questa schermata mostra se l'integrità della memoria è abilitata o meno. Questa è l'unica opzione qui per ora.
Per abilitare l'Integrità della memoria, sposta l'interruttore su "On". Se riscontri problemi con l'applicazione o il dispositivo e hai bisogno di disabilitare l'Integrità della memoria, torna qui e sposta l'interruttore su "Off".
Ti verrà richiesto di riavviare il computer, e la modifica avrà effetto solo una volta che hai.
Altre funzionalità di Windows Defender Exploit Guard
Isolamento del core e integrità della memoria sono alcune delle molte nuove funzionalità di sicurezza che Microsoft ha aggiunto come parte di Windows Defender Exploit Guard. Questa è una raccolta di funzionalità progettate per proteggere Windows dagli attacchi.
La protezione exploit, che protegge il sistema operativo e le applicazioni da molti tipi di exploit, è abilitata per impostazione predefinita. Sostituisce il vecchio strumento EMET di Microsoft e include funzionalità anti-exploit che in precedenza avevamo consigliato di installare Malware Anti-Exploit per. Tutti gli utenti di Windows 10 ora hanno la protezione da exploit.
C'è anche Controlled Folder Access, che protegge i tuoi file da ransomware. Non è abilitato di default perché richiede qualche configurazione. Se abiliti questa funzione, dovrai consentire alle applicazioni di accedere prima che possano accedere ai file nelle tue cartelle di file personali.
Andando avanti, l'Integrità della memoria sarà abilitata di default su tutti i nuovi PC, fornendo una protezione aggiuntiva contro gli attacchi. Solo gli utenti avanzati che utilizzano il software della macchina virtuale e altri strumenti che richiedono l'accesso all'hardware di virtualizzazione del sistema dovranno disabilitarlo.