به روزرساني آوريل 2018 ويندوز 10 ويژگي هاي امنيتي جديدي تحت عناوين "Core Isolation" و "Memory Integrity" را در دسترس همه كاربران قرار داده است. اين دو ويژگي از روش امنيت مبتني بر مجازي سازي براي محافظت از فرآيندهاي هسته سيستم عامل در برابر دست كاري و خراب كاري استفاده مي كنند. هرچند كه قابليت محافظت از حافظه به صورت پيش فرض براي افرادي كه ارتقاء مي دهند غيرفعال است.
ويژگي Core Isolation چيست؟
ويژگي امنيت مبتني بر مجازي سازي (VBS) به عنوان بخشي از "Device Gaurd" و تنها براي نسخه Enterprise ويندوز 10 در دسترس بود. اما در به روزرساني آوريل 2018، قابليت Core Isolation امنيت مبتني بر مجازي سازي را در تمام نسخه هاي ويندوز 10 گنجانده است.
برخي از امكانات Core Isolation به صورت پيش فرض در آن دسته از پي سي هاي ويندوز 10 كه داراي مشخصات سخت افزاري و فريم ور موردنياز مانند پردازنده 64 بيت و چيپ TPM 2.0 هستند فعال است. علاوه بر اين، پي سي شما حتما بايد از فناوري هاي مجازي سازي اينتل VT-x و AMD-V پشتيباني كند. اگر اين شرايط فراهم باشد اين ويژگي در بخش تنظيمات UEFI دستگاه فعال شده است.
در اين حالت و در شرايطي كه اين ويژگي ها فعال شده باشند، ويندوز از قابليت هاي مجازي سازي سخت افزار براي ساخت يك منطقه امن از حافظه سيستم كه مستقل از سيستم عامل معمولي دستگاه است اقدام مي كند. ويندوز مي تواند فرآيندهاي سيستمي و نرم افزار امنيتي را در اين منطقه امن اجرا كند. در نتيجه فرآيندهاي مهم سيستم عامل از دست كاري ها و خراب كاري هايي كه خارج از منطقه امن صورت مي گيرند مصون مي مانند.
حتي اگر در حال حاضر بدافزاري روي پي سي اجرا شود كه بتواند به فرآيندهاي ويندوز آسيب برساند، امنيت مبتني بر مجازي سازي لايه اضافه اي از محافظت است كه از آن ها در برابر حملات مراقبت مي كند.
ترفندهاي ويندوز 10
ويژگي Memory Integrity چيست؟
اين ويژگي كه در رابط ويندوز 10 به عنوان "Memory Integrity" شناخته مي شود در اسناد مايكروسافت با نام "Hypervisor protected Code Integrity" با سرنام "HVCI" شناخته مي شود.
در پي سي هايي كه به روزرساني آوريل 2018 را دريافت كرده اند، Memory Integrity به صورت پيش فرض غيرفعال است اما شما مي توانيد فعالش كنيد. البته در نصب هاي جديد ويندوز 10 اين ويژگي نيز به صورت پيش فرض فعال است.
در واقع Memory Integrity زيرمجموعه اي از Core Isolation است. ويندوز معمولا براي درايورهاي دستگاه به امضاهاي ديجيتالي و ساير كدهايي كه در مود سطح پايين كرنل ويندوز اجرا مي شوند نياز دارد. اين مسئله باعث مي شود تا نگراني از بابت حمله بدافزار و دست كاري در آن ها وجود نداشته باشد. وقتي اين ويژگي فعال مي شود، "Code Integrity Service" در داخل ويندوز در كانتينر محافظت شده hypervisor كه توسط Core Isolation ساخته شده اجرا مي شود. در نتيجه احتمال اين كه بدافزار بتواند در كدهاي Integrity دست كاري كند و به كرنل ويندوز دسترسي داشته باشد غيرممكن مي شود.
مشكلات ماشين مجازي
از آن جايي كه Memory Integrity از سخت افزار مجازي سازي سيستم استفاده مي كند، با برنامه هاي ماشين مجازي مانند VirtualBox يا VMWare سازگاري ندارد. زيرا در يك زمان تنها يك اپليكيشن مي تواند از اين سخت افزار استفاده كند.
اگر برنامه ماشين مجازي را روي سيستمي نصب كنيد كه Memory Integrity در آن فعال شده، ممكن است با پيامي مانند اينتل VT-X يا AMD-V فعال نشده يا در دسترس نيست روبرو شويد. اگر Memory Protection در سيستم فعال شده باشد ممكن است در VirtualBox با پيام خطاي "Raw-mode is unavailable courtesy of Hyper-V" روبرو شويد.
در هر صورت، اگر نرم افزار ماشين مجازي شما به مشكل برخورد كرد بايد براي استفاده از آن Memory Integrity را غيرفعال كنيد.
چرا به صورت پيش فرض غيرفعال است؟
ويژگي اصلي Core Isolation نبايد مشكلي ايجاد كند. اين ويژگي روي تمام پي سي هاي ويندوز 10 كه بتوانند از آن پشتيباني كنند فعال شده و هيچ رابطي براي غيرفعال كردن آن نيست.
با اين حال، محافظت Memory Protection مي تواند براي بعضي از درايورها يا اپليكيشن هاي سطح پايين ويندوز مشكلاتي را به وجود بياورد. به همين دليل است كه در به روزرساني هاي جديد به صورت پيش فرض غيرفعال است. مايكروسافت همچنان در حال تشويق توسعه دهندگان و سازندگان دستگاه ها به ساخت درايورها و نرم افزارهايي است كه سازگار باشند، براي همين روي پي سي هاي جديد و نصب هاي تازه ويندوز 10 به صورت پيش فرض فعال است.
اگر يكي از درايورهايي كه پي سي شما براي بوت شدن به آن نياز دارد با Memory Protection ناسازگاري داشته باشد، ويندوز 10 بي سرو صدا آن را غيرفعال مي كند تا پي سي به درستي بوت شود و كار كند.
اگر بعد از فعال كردن Memory Protection شاهد مشكلات ديگر در ساير دستگاه ها يا عدم اجراي درست نرم افزارها بوديد، مايكروسافت پيشنهاد مي كند كه به دنبال به روزرساني هاي خاص براي آن درايور و اپليكيشن ويژه باشيد. اگر هيچ به روزرساني پيدا نكرديد چاره اي جز غيرفعال كردن Memory Protection نداريد.
همان طور كه در بالا گفتيم، Memory Integrity با برخي از اپليكيشن هايي كه نياز به دسترسي ويژه به سخت افزار مجازي سازي سيستم مانند برنامه هاي ماشين مجازي دارند سازگاري ندارد.
چگونه Core Isolation Memory Integrity را فعال كنيم؟
شما مي توانيد از طريق اپليكيشن Windows Defender Security Center متوجه شويد كه آيا Core Isolation فعال است يا نه. هم چنين مي توانيد Memory Protection را فعال يا غيرفعال كنيد. اين ابزار در به روزساني رداستون 5 كه در پاييز 2018 منتشر مي شود به "Windows Security" تغيير نام مي دهد.
براي باز كردن آن، در منوي استارت دنبال "Windows Defender Security Center" بگرديد يا اين كه به مسير Settings > Update & Security > Windows Security > Open Windows Defender Security برويد.
در Security Center روي آيكون "Device Security" كليك كنيد.
اگر Core Isolation فعال باشد، پيام "Virtualization-based security is running to protect the core parts of your device" را مي بينيد.
براي فعال يا غيرفعال كردن Memory Protection روي لينك Core Isolation Details كليك كنيد.
اين صفحه به شما نشان مي دهد كه آيا Memory Integrity فعال است يا نه. اين تنها گزينه فعلي در اين قسمت است.
براي فعال كردن Memory Integrity، سوييچ را "On" كنيد. اگر به مشكلات نرم افزاري يا دستگاه ها برخورد كرديد و نياز به غيرفعال كردن اين ويژگي داشتيد، به اين صفحه برگرديد و سوييچ را "Off" كنيد.
به شما گفته مي شود كه سيستم بايد ريستارت شود، زيرا تغييرات فقط بعد از ريستارت شدن سيستم اعمال مي شوند.
http://www.beytoote.com
