Core Isolation و Memory Integrity در ویندوز 10 چه کاری انجام می دهند؟
در آوریل 2018 مایکروسافت بروزرسانی را برای ویندوز10 ارائه کرد که همراه با ویژگی های امنیتی از جمله Core Isolation و Integrity Memory بود.این دو ویژگی برای امنیت بیشتر و جلوگیری از دستکاری فرآیندهای سیستم عامل اصلی در مبحث مجازی سازی هستند. اما بصورت پیش فرض امنیت حافظه یا Memory Integrity غیرفعال بوده و کسی از این ویژگی اطلاع زیادی ندارد.
Core Isolationچیست؟
در نسخه اصلی ویندوز10 ، ویژگی های امنیتی مبتنی بر مجازی سازی یا همان VBS فقط در نسخه تجاری (Enterprise)ویندوز10 به عنوان بخشی از لایه حفاظتی در دسترس بود.مایکروسافت با انتشار این به روز رسانی در ماه آوریل ، ویژگی تحت عنوان "جداسازی هسته" یا Core Isolation را برای تمامی نسخه های تجاری ویندوز10 عرضه نمود.
بعضی از ویژگی های این آپدیت ازجمله Core Isolation که به سخت افزار و نرم افزارهای خاصی نیاز دارند مانند پردازنده هایی با معماری 64بیتی و چیپست TPM 2.0 بصورت پیش فرض فعال است. همچنین لازم است که رایانه شما از فن آوری مجازی سازی Intel VT-x یا AMD-V پشتیبانی کند که این قابلیت نیز در تنظیمات بایوس و UEFI رایانه شما در دسترس است.
زمانیکه این ویژگی ها فعال باشند، کاربران ویندوز از قابلیت های مجازی سازی در یک محیط ایمن از حافظه سیستم می توانند بصورت جداگانه از فرآیند های مهمان ، با سیستم عامل اصلی کار کنند.
ویندوز می تواند پروسه های سیستم مهمان را در این ناحیه ایمن ، اجرا کرده و از فرآیندهای سیستم عامل میزبان که با هر فرآیندی خارج از این محیط در ارتباط است، محافظت کند.حتی اگر نرم افزارهای مخرب بر روی رایانه شما اجرا شوند این ویژگی یک لایه محافظتی است که آنها را از حمله جدا می کند.
Memory Integrity چیست؟
یکپارچگی حافظه در رابط کاربری ویندوز10 تحت عنوان Hypervisor protected Code Integrity یا HVCI از سوی مایکروسافت منتشر شد که به معنای" محافظت مجازی از یکپارچگی کد" است.این قابلیت پس از انتشار بروزرسانی ویندوز10در ماه آوریل بصورت پیش فرض غیرفعال است. برای تفهیم بیشتر می توان این ویژگی را با حالت Disk Defragment در نسخه های قبلی ویندوز که برای دیسک های سخت و حافظه های جانبی مانند هارددیسک ها عمل می کرد عنوان کرد، اما در این بروزرسانی این قابلیت برای حافظه های موقت یعنی RAM مورد استفاده قرار می گیرد.
قابلیت Memory Integrity زیرمجموعه Core Isolationبوده که در ویندوز نیازمند گواهی امضای دیجیتال است تا درایورها و برنامه هایی که در کرنل ویندوز در پایین ترین سطح در حال اجرا هستند قابل استفاده باشند.این قابلیت ضمانت می دهد که نرم افزارهای مخرب قادر به فعالیت نباشند.
هنگامیکه قابلیت Memory Integrity فعال باشد ، سرویس Cod Core Isolation در پس زمینه ویندوز اجرا شده که میتوان این سرویس را در Task Manager مشاهده کرد. بعد از به اجرا درآمدن این سرویس در hypervisor نیز Core Isolation ایجاد خواهد شد.
همانطور که اطلاع دارید هایپروایزر ( Hypervisor) یا ناظر ماشین مجازی اجازه ساخت و اجرای ماشینهای مجازی را میدهد. در واقع با توجه به اینکه اصطلاح هایپروایزر برگرفته از سوپروایزر می باشد و از لحاظ مفهوم هایپر بالاتر از سوپر است، در نتیجه هایپروایزر ناظری بر یک ناظر دیگر شناخته می شود. ماشینی که هایپروایزر در آن اجرا میشود به عنوان ماشین میزبان شناخته میشود و هر ماشین مجازی ساخته شده روی آن ماشین میهمان خوانده میشود. ماشین میزبان برای هر میهمان یک سختافزار مجازی فراهم و آن ماشین را مدیریت میکند.
در این حالت تقریباً غیرممکن است که نرم افزارهای مخرب بتوانند با بررسی یکپارگی کد و دسترسی به کرنل ویندوز فعالیت کنند.
مشکلات ماشین های مجازی
همانطور که Memory Integrity از سخت افزار مجازی سازی سیستم استفاده می کند، با برنامه های ماشین مجازی مانند VirtualBox یا VMware سازگار نیست و فقط یک برنامه می تواند از این سخت افزار در یک زمان استفاده کند.
ممکن است پیغامی ببینید که در صورت نصب یک برنامه ماشین مجازی مثل ویرچوال باکس در یک سیستم با Memory Integrity فعال ، قابلیت Intel-VT-X یا AMD-V در دسترس نباشد.
زمانیکه که Memory Integrity در ویندوز10 فعال باشد در VirtualBox، ممکن است پیام خطای Raw-mode is unavailable courtesy of Hyper-VHyper-V" " روبرو شوید،که در این حالت باید قابلیت Memory Integrity را برای استفاده از VT-X Intel یا AMD-V در ماشین مجازی را غیرفعال کنید.
چرا بصورت پیش فرض این قابلیت غیرفعال است؟
قاعدتاً ویژگی Core Isolation در تمام نسخه های ویندوز 10 قابل استفاده است که می تواند آن را پشتیبانی کند و هیچ رابط کاربری برای غیرفعال کردن آن وجود ندارد.بدلیل اینکهMemory Integrity باعث مشکلاتی هنگام آپدیت درایورها می شود بصورت پیش فرض غیرفعال است و مایکروسافت از سازندگان Deviceها و برنامه نویس ها می خواهد که محصولات خود را با ویندوز10 و آپدیت های آن ، سازگار کنند تا مشکلی برای آنها بوجود نیاید.
اگر یکی از درایورهای رایانه شما هنگام بوت با Memory Integrity مشکل داشت ویندوز10 بطور مداوم این قابلیت را فعال می کند تا مطمئن شود که رایانه به درستی بوت می شود . بنابراین اگر شما سعی کنید آن رافعال کنید از شما خواسته می شود تا رایانه تان را مجدداً راه اندازی کنید.
مایكروسافت توصیه می كند اگر پس از فعال کردن Memory Protection با مشكلاتی همچون Deviceها یا نرم افزارها مواجه شدید با استفاده از نرم افزارهای چکاپ درایورها (DriverPack Solution یا IObit Driver Booster ) بروز رسانی ها را مدام بررسی کنید تا اگر چنانچه هیچ به روز رسانی در دسترس نبود، بتوان قابلیت حفاظت از حافظه را خاموش کرد.
Memory Integrity نیز همانند برخی از نرم افزارهای مجازی ساز ، برای دسترسی به سخت افزارها ناسازگار است.ابزارهایی مانند دیباگرها یا خطایاب ها نیز برای دسترسی به سخت افزارها بدون اجازه Memory Integrity قابل استفاده نخواهند بود.
چگونه Core Isolation و Memory Integrity را در ویندوز فعال کنیم؟
ابتدا با حساب کاربری ادمین در ویندوز ۱۰ لاگین کنید.
برای تغییر دادن تنظیمات در کنترل پنل ویندوز دیفندر، Windows Defender Security Center را با دبل کلیک کردن روی آیکون ویندوز دیفندر اجرا کنید. مطابق تصویر زیر:
در صفحهی پنل مدیریتی روی Device Security کلیک کنید.
گزینهی دیگری که با کلیک کردن روی Core Isolation details مشاهده خواهید کرد، گزینهی Memory integrity است.
برای فعالسازی این ویژگی امنیتی، سوییچ آن را در وضعیت فعال یا On قرار دهید.
در نهایت میبایست سیستم خود را Restart کنید تا تغییرات اعمال شود.
در ویندوز ۱۰ و در تنظیمات ویندوز دیفندر ممکن است دو مورد دیگر از قابلیتهای امنیتی بسته به سختافزار و تنظیمات آن، نمایش داده شود:
Security Processor یا پردازندهی امنیتی که در صورت فعال بودن و پشتیبانی از TPM در دسترس خواهد بود. پردازندهی امنیتی در حقیقت تراشه یا بخشی از تراشهی CPU است که برای اجرا کردن دستورات و دریافت پاسخ مربوطه از راه دور استفاده میشود.
Secure Boot یا بوت امن که از اجرا کردن کدهای آلوده قبل از بارگذاری سیستم عامل جلوگیری میکند.
جداسازی هسته و یکپارچگی حافظه بعضی از ویژگی های امنیتی جدیدی است که مایکروسافت به عنوان بخشی از گارد ویندوز Defender اضافه کرده است. این مجموعه ای از ویژگی های طراحی شده برای محافظت از ویندوز در برابر حمله است.
این قابلیت امنیتی جایگزین ابزار EMET قدیمی مایکروسافت است و شامل ویژگی های ضد امنیتی را دارد.
همچنین قابلیت امنیتی دیگری تحت عنوان Access Controlled Folder وجود دارد که فایل های شما را از ویروس ها و کرم ها محافظت می کند. که به طور پیش فرض فعال نیست. اگر این ویژگی را فعال کنید، قبل از اینکه بتوانید به فایل ها دسترسی داشته باشید، باید به برنامه ها دسترسی اعطا کنید.
منابع[ویرایش]
https://www.howtogeek.com/357757/what-are-core-isolation-and-memory-integrity-in-windows-10
https://www.thewindowsclub.com/core-isolation-and-memory-integrity-in-windows-10
This article "Core Isolation و Memory Integrity در ویندوز 10 چه کاری انجام می دهند؟" is from Wikipedia. The list of its authors can be seen in its historical and/or the page Edithistory:Core Isolation و Memory Integrity در ویندوز 10 چه کاری انجام می دهند؟. Articles copied from Draft Namespace on Wikipedia could be seen on the Draft Namespace of Wikipedia and not main one.