Способы защиты памяти ос windows

Cyber-attacks have changed over the past few years. Rogue hackers can now take over your PC and lock down files unless you are ready to pay them money. These types of attacks are called Ransomware, and they use kernel-level exploits that attempt to run malware with the highest privileges, e.g., WannaCry and Petya ransomware. In order to mitigate these types of attacks, Microsoft has rolled out a feature that allows you to enable Core Isolation and Memory Integrity to prevent such attacks.

What is Core Isolation?

Core isolation is a security feature in Windows that protects important core processes of Windows from malicious software by isolating them in memory, by running those core processes in a virtualized environment. Core Isolation feature include Memory integrity and Kernel-mode Hardware-enforced Stack Protection.

What is Memory Integrity?

Memory integrity, also known as Hypervisor-protected Code Integrity (HVCI) is a security feature in Windows that makes it difficult for malicious programs to use low-level drivers to hijack your computer.

Windows Defender Security Center offer these features. Called Device Security, it offers status reporting and management of security features built into your devices – including toggling features on to provide enhanced protection. However, It doesn’t work on a software level; the hardware needs to support it as well. Your firmware should support Virtualization, which enables the Windows 11/10 PC to run applications in a container, so they don’t get access to other parts of the system.

Your device must meet the requirements for standard hardware security This means your device should support memory integrity and core isolation and also have:

• TPM 2.0 (also referred to as your security processor)
• Secure boot enabled
• DEP
• UEFI MAT.

Картинка с сайта: www.thewindowsclub.com

1. Sign in as an administrator and open Windows Defender Security Center
2. Look for Device Security option.
3. Here you should check if Core Isolation under Virtualization is enabled on your PC.
4. Core isolation provides virtualization-based security features to protect core parts of your device.
5. Click on Core isolation details, and you will be offered to enable Memory Integrity.

Memory integrity (hypervisor-protected code integrity) is a security feature of Core isolation that prevents attacks from inserting malicious code into high-security processes. Toggle to turn it On.

Картинка с сайта: www.thewindowsclub.com

Once enabled, it will ask you to restart the PC to completely enable Memory Integrity.

If later on, you face application compatibility issues, you may need to turn this off.

Related: Memory Integrity greyed out or won’t Turn On/Off.

Enable or Disable Core Isolation and Memory Integrity using Registry

You can also use the Registry, to enable or disable Core isolation Memory integrity using Registry Editor, follow these steps:

1. Press Win+R to open the Run dialog.
2. Type regedit and hit the Enter button.
3. Click on the Yes option.
4. Navigate to Scenarios in HKEY_LOCAL_MACHINE.
5. Right-click on Scenarios > New > Key.
6. Name it as HypervisorEnforcedCodeIntegrity.
7. Right-click on it > New > DWORD (32-bit) Value.
8. Name it as Enabled.
9. Double-click on it to set the Value data as 1 to enable and 0 to disable.
10. Click the OK button.
11. Restart your computer.

To learn more about these steps, keep reading.

Precaution: Before heading to the REGEDIT steps, don’t forget to create a System Restore point.

To get started, press Win+R to open the Run dialog, type regedit, and hit the Enter button. If the UAC prompt appears on your screen, click on the Yes option to open the Registry Editor.

Next, navigate to the following path:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios

Right-click on the Scenarios key > New > Key, and name it as HypervisorEnforcedCodeIntegrity.

Картинка с сайта: www.thewindowsclub.com

Then, you have to create a REG_DWORD value. For that, right-click on HypervisorEnforcedCodeIntegrity > New > DWORD (32-bit) Value, and name it as Enabled.

Картинка с сайта: www.thewindowsclub.com

By default, it comes with a Value data of 0, meaning it is disabled. However, if you want to enable this functionality, double-click on it to set the Value data as 1.

Картинка с сайта: www.thewindowsclub.com

Click the OK button and restart your computer.

Related:

• Core Isolation turned off by itself
• Kernel-mode Hardware-enforced Stack Protection is off

That said, there are two more options that might be available depending on the hardware of your PC.

1. Security Processor only shows up if you have TPM available with your PC hardware. They are discrete chips soldered to a computer’s motherboard by the OEM. To get the most out of TPM, OEM must carefully integrate system hardware and firmware with the TPM to send it commands and react to its responses. The newer TPMs can also provide security and privacy benefits to the system hardware itself. So make sure to check for all of these if you are buying a new PC.
2. Secure Boot prevents malicious code to load up before your OS. They are hard to crack but with secure boot it’s taken care of.

Windows 11/10 also offers Hypervisor Protected Code Integrity (HVCI)  when you start with clean installs. Those who are on old hardware, will have the ability to opt-in post the upgrade using the UI in Windows Defender Security Center (WDSC). This enhancement will ensure that the kernel process that verifies code integrity runs in a secure runtime environment.

What is Memory Integrity Scan Tool?

Картинка с сайта: www.thewindowsclub.com

Memory Integrity Scan Tool is a free tool from Microsoft to check your computer’s compatibility with Memory Integrity or HVCI (Hypervisor-protected code integrity).

You can download the hvciscan.exe for your system architecture (AMD64 or ARM64) from the Microsoft Download Center and from an elevated command window or PowerShell, run hvciscan.exe. This will help you review the resulting output to identify any incompatibilities.

Read: Turn off Windows Security Making sure it’s you message

What is Memory access protection?

Kernel DMA protection or Memory access protection protects your device against attacks that can occur when a malicious device is plugged into a PCI (Peripheral Component Interconnect) port like a Thunderbolt port, by denying direct access to the memory to those devices except under special circumstances, particularly when the PC is locked or the user is signed out.

Read:

• Incompatible driver turns off Memory Integrity in Windows 11
• Standard hardware security not supported in Windows 11
• Virtualization-based Security not enabled in Windows 11.

Апрельское обновление Windows 10 1803 принесло с собой ряд нововведений и усовершенствований, в том числе в плане безопасности. Обновленная версия Windows 10 помимо стандартной защиты от вирусов, обеспечиваемой Windows Defender, теперь может блокировать внешние атаки, направленные на подмену процессов. Данная функция защиты получила название «Изоляция ядра». Используемый ею метод основан на технологии виртуализации, также в составе защиты используется «целостность памяти», предотвращающая внедрение в важные процессы вредоносного кода. 

Как включить Изоляцию Ядра (Целостность памяти) в Windows 10

Чтобы включить дополнительную защиту, откройте Центр безопасности Защитника Windows,

Картинка с сайта: remontcompa.ru

переключитесь в раздел «Безопасность устройства»,

Картинка с сайта: remontcompa.ru

Картинка с сайта: remontcompa.ru

в блоке «Изоляция ядра» нажмите ссылку «Сведения об изоляции ядра»

Картинка с сайта: remontcompa.ru

и установите переключатель «Целостность памяти» в положение «Вкл». Дабы новые настройки вступили в силу, перезагрузите компьютер. 

Картинка с сайта: remontcompa.ru

Примечание: если функция недоступна на компьютере, убедитесь, что в BIOSе у вас включена виртуализация.

Картинка с сайта: remontcompa.ru

Работа функции «Изоляция ядра» практически незаметна в операционной системе, тем не менее, есть небольшая вероятность, что при ее использовании вам придется столкнуться с ошибками совместимости приложений. В этом случае дополнительную защиту следует отключить. Если вдруг переключатель окажется неактивным и при этом будет указано, что данная настройка управляется администратором, изоляцию ядра отключаем через реестр. 

Для этого открываем редактор реестра командой regedit в окошке «Выполнить», в правой части окна разворачиваем ветку:

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/DeviceGuard/Scenarios/HypervisorEnforcedCodeIntegrity, в правой колонке дважды кликаем по параметру Enabled и изменяем его значение с 1 на 0. После этого перезагружаем компьютер и проверяем состояние настройки защиты. Она должна быть отключена.

Картинка с сайта: remontcompa.ru

Материал из РУВИКИ — свободной энциклопедии

Защита памяти (англ. Memory protection) — это способ управления правами доступа к отдельным регионам памяти. Используется большинством многозадачных операционных систем. Основной целью защиты памяти является запрет доступа процессу к той памяти, которая не выделена для этого процесса. Такие запреты повышают надёжность работы как программ, так и операционных систем, так как ошибка в одной программе не может повлиять непосредственно на память других приложений. Следует различать общий принцип защиты памяти и технологии ASLR или NX-бит.

Альтернативное определение: защита памяти — избирательная способность предохранять выполняемую задачу от записи или чтения памяти предназначенной другой программе^{[источник не указан 1015 дней]}.

Чаще всего реализуется в рамках виртуальной адресации памяти.

Сегментирование памяти[править | править код]

Сегментирование памяти означает разбиение компьютерной памяти на фрагменты переменной длины, называемые сегментами (см Сегментная адресация памяти).

В архитектуре x86 есть несколько режимов сегментации, которые могут использоваться для защиты памяти.^[1] В процессорах архитектуры x86, существуют глобальная дескрипторная таблица и локальная дескрипторная таблица, описывающие сегменты памяти. Указатели на сегменты в подобных процессорах хранятся в специализированных сегментных регистрах. Изначально их было 4: CS (code segment), SS (stack segment), DS (data segment) и ES (extra segment); затем добавили ещё два: FS и GS.^[1]

Страничная память[править | править код]

При страничной организации памяти, все адресное пространство делится на фрагменты фиксированного размера, называемые страницами. Их размер кратен степени 2, и обычно равен 4096, но возможно использование одновременно нескольких размеров страниц (4 кб, 2-4МБ в x86, от 4 до 256 кб в IA64^{[источник не указан 1015 дней]}). При помощи механизма виртуальной памяти, каждая страница виртуальной памяти может быть поставлена в соответствие любой странице физической памяти, либо помечена как защищённая. При помощи виртуальной памяти возможно использование линейного адресного пространства виртуальной памяти, которое на самом деле образовано фрагментированными участками адресного пространства физической памяти.

Многие архитектуры, использующие страничную организацию памяти, в том числе и наиболее популярная x86, реализуют защиту памяти на уровне страниц.

Таблица страниц используется для установления соответствия адресов в виртуальной памяти физическим адресам. Обычно эта таблица невидима для программы. Возможность установки в таблицах произвольных отображений позволяет легко выделить новую память, так как дополнительная страница, расположенная в нужном месте виртуального адресного пространства, может быть отображена на любую свободную страницу в оперативной памяти.

При таком отображении, приложение не имеет возможности обратиться к странице, отсутствующей в её таблице страниц. Если при обращении по произвольному адресу не было найдено подходящее отображение, происходит исключительная ситуация page fault (PF).

Следует заметить, что page fault — это не фатальное событие. Эти прерывания могут использоваться не только для защиты памяти, но и другими способами. Так, ОС, перехватив PF, может загрузить страницу в память, например, если она была ранее выгружена на жёсткий диск в процессе подкачки страниц, после чего приложение может продолжать работу. Такая схема позволяет прозрачным способом увеличить количество доступной приложениям памяти.

Механизм ключей защиты[править | править код]

Применялся в System/360, Itanium и PA-RISC.

Адресация основанная на Capability[править | править код]

Capability-based addressing редко применяется в коммерческих компьютерах. В системах с такой защитой памяти вместо указателей используются защищённые объекты (называемые capabilities), которые могут быть созданы лишь привилегированными инструкциями, исполняемыми либо ядром ОС либо специальными процессами. Использование такой защиты позволяет ограничивать доступ процессов к чужой памяти без использования раздельных адресных пространств и переключений контекста (сброса TLB, изменения глобальных дескрипторов). Использовались в исследовательских проектах KeyKOS, EROS; виртуальных машинах Smalltalk и Java.

Среди ОС, реализующих защиту памяти

• Microsoft Windows начиная с Windows NT 3.1 и Windows 95.
• Большая часть Unix-like систем, включая
  • Solaris
  • Linux
  • BSD
  • Mac OS X
  • GNU Hurd

Некоторые старые ОС жёсткого реального времени не используют защиту памяти, даже на процессорах, где это возможно. Примером такой ОС является VxWorks версий до 5 включительно.

• Storage violation, for violation of memory protection
• Separation of protection and security
• Защищённый режим — механизмы защиты в x86

• Intel Developer Manuals — in-depth information on memory protection for Intel based architectures.