قابلیت‌های امنیتی جدید در به‌روزرسانی آوریل 2018 ویندوز 10
با ویژگی‌های "Core Isolation" و "Memory Integrity" در ویندوز 10 آشنا شوید
به‌روزرسانی آوریل 2018 ویندوز 10 ویژگی‌های امنیتی جدیدی تحت عناوین "Core Isolation" و "Memory Integrity" را در دسترس همه کاربران قرار داده است. این دو ویژگی از روش امنیت مبتنی بر مجازی‌سازی برای محافظت از فرآیندهای هسته سیستم‌عامل در برابر دست‌کاری و خراب‌کاری استفاده می‌کنند. هرچند که قابلیت محافظت از حافظه به‌صورت پیش‌فرض برای افرادی که ارتقاء می‌ دهند غیرفعال است.

ویژگی Core Isolation چیست؟

ویژگی امنیت مبتنی بر مجازی‌سازی (VBS) به‌عنوان بخشی از "Device Gaurd" و تنها برای نسخه Enterprise ویندوز 10 در دسترس بود. اما در به‌روزرسانی آوریل 2018، قابلیت Core Isolation امنیت مبتنی بر مجازی‌سازی را در تمام نسخه‌های ویندوز 10 گنجانده است.

برخی از امکانات Core Isolation به‌صورت پیش‌فرض در آن دسته از پی‌سی‌های ویندوز 10 که دارای مشخصات سخت‌افزاری و فریم‌ور موردنیاز مانند پردازنده 64 بیت و چیپ TPM 2.0 هستند فعال است. علاوه بر این، پی‌سی شما حتما باید از فناوری‌های مجازی‌سازی اینتل VT-x و AMD-V پشتیبانی کند. اگر این شرایط فراهم باشد این ویژگی در بخش تنظیمات UEFI دستگاه فعال شده است.

در این حالت و در شرایطی که این ویژگی‌ها فعال شده باشند، ویندوز از قابلیت‌های مجازی‌سازی سخت‌افزار برای ساخت یک منطقه امن از حافظه سیستم که مستقل از سیستم‌عامل معمولی دستگاه است اقدام می‌کند. ویندوز می‌تواند فرآیندهای سیستمی و نرم‌افزار امنیتی را در این منطقه امن اجرا کند. در نتیجه فرآیندهای مهم سیستم‌عامل از دست‌کاری‌ها و خراب‌کاری‌هایی که خارج از منطقه امن صورت می‌گیرند مصون می‌مانند.

حتی اگر در حال حاضر بدافزاری روی پی‌سی اجرا شود که بتواند به فرآیندهای ویندوز آسیب برساند، امنیت مبتنی بر مجازی‌سازی لایه اضافه‌ای از محافظت است که از آن‌ها در برابر حملات مراقبت می‌کند.

ویژگی Memory Integrity چیست؟

این ویژگی که در رابط ویندوز 10 به‌عنوان "Memory Integrity" شناخته می‌شود در اسناد مایکروسافت با نام "Hypervisor protected Code Integrity" با سرنام "HVCI" شناخته می‌شود.

در پی‌سی‌هایی که به‌روزرسانی آوریل 2018 را دریافت کرده‌اند، Memory Integrity به‌صورت پیش‌فرض غیرفعال است اما شما می‌توانید فعال‌اش کنید. البته در نصب‌های جدید ویندوز 10 این ویژگی نیز به‌صورت پیش‌فرض فعال است.

در واقع Memory Integrity زیرمجموعه‌ای از Core Isolation است. ویندوز معمولا برای درایورهای دستگاه به امضاهای دیجیتالی و سایر کدهایی که در مود سطح پایین کرنل ویندوز اجرا می‌شوند نیاز دارد. این مسئله باعث می‌شود تا نگرانی از بابت حمله بدافزار و دست‌کاری در آن‌ها وجود نداشته باشد. وقتی این ویژگی فعال می‌شود، "Code Integrity Service" در داخل ویندوز در کانتینر محافظت شده hypervisor که توسط Core Isolation ساخته شده اجرا می‌شود. در نتیجه احتمال این‌که بدافزار بتواند در کدهای Integrity دست‌کاری کند و به کرنل ویندوز دسترسی داشته باشد غیرممکن می‌شود.

مشکلات ماشین مجازی

از آن‌جایی که Memory Integrity از سخت‌افزار مجازی‌سازی سیستم استفاده می‌کند، با برنامه‌های ماشین مجازی مانند VirtualBox یا VMWare سازگاری ندارد. زیرا در یک زمان تنها یک اپلیکیشن می‌تواند از این سخت‌افزار استفاده کند.

اگر برنامه ماشین مجازی را روی سیستمی نصب کنید که Memory Integrity در آن فعال شده، ممکن است با پیامی مانند اینتل VT-X یا AMD-V فعال نشده یا در دسترس نیست روبرو شوید. اگر Memory Protection در سیستم فعال شده باشد ممکن است در VirtualBox با پیام خطای "Raw-mode is unavailable courtesy of Hyper-V" روبرو شوید.

در هر صورت، اگر نرم‌افزار ماشین مجازی شما به مشکل برخورد کرد باید برای استفاده از آن Memory Integrity را غیرفعال کنید.

چرا به‌صورت پیش‌فرض غیرفعال است؟

ویژگی اصلی Core Isolation نباید مشکلی ایجاد کند. این ویژگی روی تمام پی‌سی‌های ویندوز 10 که بتوانند از آن پشتیبانی کنند فعال شده و هیچ رابطی برای غیرفعال کردن آن نیست.

با این‌حال، محافظت Memory Protection می‌تواند برای بعضی از درایورها یا اپلیکیشن‌های سطح پایین ویندوز مشکلاتی را به‌وجود بیاورد. به‌همین دلیل است که در به‌روزرسانی‌های جدید به‌صورت پیش‌فرض غیرفعال است. مایکروسافت هم‌چنان در حال تشویق توسعه دهندگان و سازندگان دستگاه‌ها به ساخت درایورها و نرم‌افزارهایی است که سازگار باشند، برای همین روی پی‌سی‌های جدید و نصب‌های تازه ویندوز 10 به‌صورت پیش‌فرض فعال است.

اگر یکی از درایورهایی که پی‌سی شما برای بوت شدن به‌آن نیاز دارد با Memory Protection ناسازگاری داشته باشد، ویندوز 10 بی سرو‌صدا آن را غیرفعال می‌کند تا پی‌سی به‌درستی بوت شود و کار کند. 

اگر بعد از فعال کردن Memory Protection شاهد مشکلات دیگر در سایر دستگاه‌ها یا عدم اجرای درست نرم‌افزارها بودید، مایکروسافت پیشنهاد می‌کند که به‌دنبال به‌روزرسانی‌های خاص برای آن درایور و اپلیکیشن ویژه باشید. اگر هیچ به‌روزرسانی پیدا نکردید چاره‌ای جز غیرفعال کردن Memory Protection ندارید.

همان‌طور که در بالا گفتیم، Memory Integrity با برخی از اپلیکیشن‌هایی که نیاز به‌دسترسی ویژه به سخت‌افزار مجازی‌سازی سیستم مانند برنامه‌های ماشین مجازی دارند سازگاری ندارد. 

چگونه Core Isolation Memory Integrity را فعال کنیم؟

شما می‌توانید از طریق اپلیکیشن Windows Defender Security Center متوجه شوید که آیا Core Isolation فعال است یا نه. هم‌‌چنین می‌توانید Memory Protection را فعال یا غیرفعال کنید. این ابزار در به‌روزسانی رداستون 5 که در پاییز 2018 منتشر می‌شود به "Windows Security" تغییر نام می‌دهد.

برای باز کردن آن، در منوی استارت دنبال "Windows Defender Security Center" بگردید یا این‌که به‌مسیر Settings > Update & Security > Windows Security > Open Windows Defender Security بروید.

در Security Center روی آیکون "Device Security" کلیک کنید.

اگر Core Isolation فعال باشد، پیام "Virtualization-based security is running to protect the core parts of your device" را می‌بینید.

برای فعال یا غیرفعال کردن Memory Protection روی لینک Core Isolation Details کلیک کنید.

این صفحه به‌شما نشان می‌دهد که آیا Memory Integrity فعال است یا نه. این تنها گزینه فعلی در این قسمت است.

برای فعال کردن Memory Integrity، سوییچ را "On" کنید. اگر به مشکلات نرم‌افزاری یا دستگاه‌ها برخورد کردید و نیاز به غیرفعال کردن این ویژگی داشتید، به این صفحه برگردید و سوییچ را "Off" کنید.

به‌شما گفته می‌شود که سیستم باید ریستارت شود، زیرا تغییرات فقط بعد از ریستارت شدن سیستم اعمال می‌شوند.

 

برچسب: