Win10中的“核心隔离”和“内存完整性”是什么？

    Windows 10的2018年4月更新为所有人带来了“核心隔离”和“内存完整性”安全功能。 它们使用基于虚拟化的安全性来保护您的核心操作系统进程免遭篡改，但是默认情况下，升级人员的内存保护处于关闭状态。下面小编就为你详细介绍一下Win10中的“核心隔离”和“内存完整性”是什么？

Win10中的“核心隔离”和“内存完整性”是什么？

目录

• Win10中的“核心隔离”和“内存完整性”是什么？

• 什么是核心隔离

• 什么是内存完整性

• 虚拟机问题

• 为什么默认情况下禁用它

• 如何启用核心隔离内存完整性

• 更多Windows Defender漏洞利用防护功能

什么是核心隔离

    在Windows 10的原始版本中， 基于虚拟化的安全性 （VBS）功能仅在Windows 10企业版中作为“ Device Guard”的一部分提供。 通过2018年4月更新，核心隔离为Windows 10的所有版本带来了一些基于虚拟化的安全功能。

    在满足特定硬件和固件要求的 Windows 10 PC上，默认情况下会启用某些核心隔离功能，包括具有64位CPU和TPM 2.0芯片 。 它还要求您的PC支持Intel VT-x或AMD-V虚拟化技术，并且已在PC的UEFI设置中启用了该技术。

    启用这些功能后，Windows将使用硬件虚拟化功能来创建与正常操作系统隔离的系统内存的安全区域。 Windows可以在此安全区域中运行系统进程和安全软件。 这样可以防止重要的操作系统进程受到安全区域外部运行的任何内容的篡改。

    即使您的PC上正在运行恶意软件，并且知道应该允许它破解这些Windows进程的漏洞利用，基于虚拟化的安全性也是附加的保护层，可以使它们免受攻击。

什么是内存完整性

    Windows 10界面中称为“内存完整性”的功能在Microsoft文档中也称为“ Hypervisor保护的代码完整性”（HVCI）。

    在升级到2018年4月更新的PC上，默认情况下禁用内存完整性，但您可以启用它。 默认情况下，以后将在Windows 10的新安装中启用该功能。

    此功能是核心隔离的子集。 Windows通常要求设备驱动程序和在低级Windows内核模式下运行的其他代码具有数字签名 。 这确保了它们不会被恶意软件篡改。 启用“内存完整性”后，Windows中的“代码完整 * ”将在由Core Isolation创建的受管理程序保护的容器中运行。 这应该使恶意软件几乎不可能篡改代码完整性检查并获得对Windows内核的访问权限。

虚拟机问题

    由于Memory Integrity使用系统的虚拟化硬件，因此与VirtualBox或VMware等虚拟机程序不兼容。 一次只有一个应用程序可以使用此硬件。

    如果在启用了内存完整性的系统上安装虚拟机程序，则可能会看到一条消息，说明未启用或不支持Intel VT-X或AMD-V。 在VirtualBox中，启用内存保护后，您可能会看到错误消息“原始模式不适用于Hyper-V”。

    无论哪种方式，如果您的虚拟机软件遇到问题，都必须禁用“内存完整性”才能使用它。

为什么默认情况下禁用它

    主要的核心隔离功能不应引起任何问题。 在所有支持该功能的Windows 10 PC上都启用了此功能，并且没有用于禁用它的界面。

    但是，内存完整性保护会导致某些设备驱动程序或其他低级Windows应用程序出现问题，这就是为什么默认情况下在升级时将其禁用的原因。 微软仍在推动开发人员和设备制造商使其驱动程序和软件兼容，这就是为什么默认情况下在新PC和Windows 10的新安装上启用它的原因。

    如果您的PC需要引导的驱动程序之一与内存保护不兼容，则Windows 10会以静默方式关闭内存保护，以确保您的PC可以引导并正常工作。 因此，如果您尝试启用它并仅重新启动以发现它仍然被禁用，这就是原因。

    如果在启用内存保护后遇到其他设备或软件故障的问题，Microsoft建议检查特定应用程序或驱动程序的更新。 如果没有可用的更新，请关闭“内存保护”。

    如上所述，“内存完整性”也将与某些需要独占访问系统虚拟化硬件的应用程序（例如虚拟机程序）不兼容。 其他工具（包括某些调试器）也需要对此硬件具有独占访问权，并且在启用内存完整性的情况下无法使用。

如何启用核心隔离内存完整性

    您可以查看您的PC是否启用了核心隔离功能，并可以从Windows Defender安全中心应用程序打开或关闭“内存保护”。 （此工具将作为2018年10月更新的一部分重命名为“ Windows安全性”。）

    要打开它，请在“开始”菜单中搜索“ Windows Defender安全中心”，或转到“设置”》“更新和安全性”》“ Windows安全性”》“打开Windows Defender安全中心”。

    单击安全中心中的“设备安全性”图标。

    如果在PC的硬件上启用了核心隔离，则将在此处看到消息“正在运行基于虚拟化的安全性以保护设备的核心部分”。

    要启用（或禁用）内存保护，请单击“ Core Isolation Details”链接。

    该屏幕显示是否启用了内存完整性。 这是目前唯一的选择。

    要启用内存完整性，请将开关拨到“开”。 如果遇到应用程序或设备问题，并且需要禁用“内存完整性”，请返回此处并将开关拨至“关”。

    系统将提示您重新启动计算机，并且更改仅在您生效后才生效。

更多Windows Defender漏洞利用防护功能

    核心隔离和内存完整性是Microsoft作为Windows Defender Exploit Guard的一部分添加的许多新安全功能中的一些。 这是旨在保护Windows免受攻击的功能的集合。

    默认情况下启用了漏洞利用保护功能 ，可以保护操作系统和应用程序免受多种类型的漏洞利用。 它取代了Microsoft的旧EMET工具 ，并包含了我们先前建议为其安装恶意软件反利用功能的反利用功能。 现在，所有Windows 10用户都具有漏洞利用保护功能。

    还有“ 受控文件夹访问” ，可保护您的文件免遭勒索软件的侵害。 默认情况下未启用它，因为它需要一些配置。 如果启用此功能，则必须先允许应用程序访问，然后才能访问您个人文件夹中的文件。

    展望未来，默认情况下，将在所有新PC上启用Memory Integrity，以提供针对攻击的额外保护。 只有使用需要访问系统虚拟化硬件的虚拟机软件和其他工具的高级用户才必须禁用它。