Windows 10 veya Windows 11 kullanıyorsanız ve güvenlik konusunda endişeleriniz varsa, muhtemelen şunları görmüşsünüzdür: Windows güvenliği seçenekleri Çekirdek izolasyonu y bellek bütünlüğüBirçok kullanıcı "Bellek bütünlüğü devre dışı bırakıldı, cihazınız savunmasız olabilir" gibi uyarılar görüyor ve bunun ne anlama geldiği veya sorunlara yol açmadan nasıl doğru şekilde etkinleştirileceği her zaman açık değil. Daha fazla bilgi edinmek istiyorsanız, Windows'unuzu nasıl güvenli hale getirebilirsiniz? Daha fazla kaynağa başvurabilirsiniz.
Bu kılavuzda, bunun tam olarak ne olduğuna dair çok kapsamlı, ancak anlaşılır bir dille yapılmış bir açıklama bulacaksınız. Damar İzolasyonunasıl çalışır bellek bütünlüğüBu kılavuz, gereksinimleri, Windows grafik seçenekleri, komut satırı veya gelişmiş politikalar aracılığıyla nasıl etkinleştirileceğini ve etkinleştirme sonrasında hatalar, mavi ekranlar veya performans sorunlarıyla karşılaşırsanız ne yapmanız gerektiğini açıklamaktadır. Amaç, etkinleştirmek isteyip istemediğiniz konusunda bilinçli bir karar vermenize ve her şeyden önemlisi, güvenle yapılandırmanıza yardımcı olmaktır. Ayrıca [ilgili belgelere/kılavuza/vb. bağlantı] adresinden de ulaşabilirsiniz. Güvenlik ve gizlilik konusunda kapsamlı rehber.
Çekirdek izolasyonu nedir ve bellek bütünlüğü bu süreçte ne gibi bir rol oynar?
Çağrı Çekirdek izolasyonu Bu, Windows'a entegre edilmiş ve şunlara dayanan gelişmiş bir güvenlik teknolojisidir: sanallaştırma tabanlı güvenlik (VBS)Temelde Windows, sistemin içinde küçük, izole bir sanal ortam oluşturur; bu ortam, azami güven bölgesi görevi görür ve sistemde olup bitenler bu bölgeden izlenir. çekirdek ve diğer kritik süreçlerde.
Bu korunaklı ortamda, aşağıdaki hususlar devreye girer: bellek bütünlüğüDiğer bir deyişle HVCI (Hipervizör Tarafından Uygulanan Kod Bütünlüğü)Bu özellik, çekirdek modunda çalışan kodun düzgün bir şekilde imzalanmasını ve doğrulanmasını gerektirir ve kaynakların nasıl tahsis edileceğini ve değiştirileceğini sıkı bir şekilde kontrol eder. çekirdek belleğiBu, birçok kötü amaçlı yazılım türünün sistemin çekirdeğine sızma girişimlerini engeller.
Çekirdek İzolasyonu ve Bellek Bütünlüğü'nü etkinleştirdiğinizde, Windows çekirdeğin etrafına bir tür "sanal duvar" örer: Windows hipervizörü Bu, kod bütünlüğü kontrollerinin yapıldığı bir bellek bölümünü izole eder ve çekirdeğin kendisi çok daha sıkı bir şekilde kontrol edilir. Bu, herhangi bir saldırganın dahili sistem yapısını değiştirmesini veya kötü amaçlı sürücüler yüklemesini büyük ölçüde zorlaştırır.
Bütün bunlar, Windows güvenlik modelindeki bir değişikliğin parçası: çekirdeğin artık dokunulmaz olduğu varsayılmıyor, aksine saldırıya uğrayabileceği varsayılıyor ve bu, çekirdek üzerinde çalışan ek bir katmanla güçlendiriliyor. izole sanal ortamBu, ana sistemi izlemek için özel olarak ayrılmış bir "mikro işletim sistemi"ne sahip olmaya benzer bir yaklaşımdır.
Bellek bütünlüğünün işlevleri ve avantajları
Bellek bütünlüğü, Windows Güvenliği'ndeki "sıradan bir ayar"dan ibaret değildir. VBS'nin temel bir bileşenidir ve çeşitli faydalar sağlar. özel koruyucu katmanlar Çekirdeğe ve sürücülere yönelik saldırılara karşı.
Bir yandan bu işlev korur Kontrol Akışı Koruması (CFG) bitmap'i Çekirdek modu denetleyicileri için CFG, program yürütme akışının beklenmedik bellek alanlarına yönlendirilmesini önlemeyi amaçlayan bir teknolojidir.
Ayrıca, hafıza bütünlüğü Çekirdek modunda işlem sürecini ve kod bütünlüğünü korur.Bu birim, güvenilir süreçlerin ve denetleyicilerin geçerli sertifikalara sahip olduğunu ve bunlara müdahale edilmediğini doğrulamaktan sorumludur. Bu sayede, yalnızca başkaları değil, denetleyicilerin kendileri de izlenir ve güvenlik mekanizmasının sabotaj edilme riski azaltılır.
Bir diğer önemli katkısı ise, bunu son derece kısıtlayıcı bir şekilde uygulamasıdır. çekirdek bellek tahsisleriBirçok ayrıcalık yükseltme tekniği veya rootkit, kötü amaçlı kodu enjekte etmek için sistemin belleği belirli bir şekilde ayırmasını sağlamaktan ibarettir.
Pratikte, tüm bunlar gözle görülür bir iyileşmeye dönüşüyor. Windows tehdit modeliÇekirdek, belirli gelişmiş kötü amaçlı yazılım aileleri için nispeten kolay erişilebilir bir hedef olmaktan, özellikle Kimlik Bilgisi Koruması veya diğer donanım tabanlı korumalar gibi diğer özelliklerle birleştirildiğinde, çok daha korunaklı bir hale gelir. Windows'ta ASR.
Pratikte, tüm bunlar Windows tehdit modelinde kayda değer bir iyileşmeye dönüşüyor: Çekirdek, belirli gelişmiş kötü amaçlı yazılım aileleri için nispeten kolay erişilebilir bir hedef olmaktan çıkıp, özellikle Kimlik Bilgisi Koruması veya diğer donanım tabanlı korumalar gibi diğer özelliklerle birleştirildiğinde, çok daha korunaklı bir hale geliyor.
Çekirdek izolasyonu bilgisayarınızda tam olarak neyi koruyor?
Bu işlevin ne sağladığını tam olarak anlamak için, aşağıdakiler arasında ayrım yapmak faydalı olacaktır. birincil donanım y çevre donanımıÇekirdek izolasyonu ve bellek bütünlüğü, öncelikle sistemi birincil donanıma (anakart, CPU, GPU, RAM, ana depolama birimi...) bağlayan yolu korumaya odaklanır; en hassas işlemler burada gerçekleşir.
Bu arada, birbirine bağlı olan her şey USB veya diğer bağlantı noktaları Harici depolama aygıtları (fareler, klavyeler, yazıcılar ve cep telefonları gibi) çevre birimi donanımı olarak kabul edilir. Bu aygıtlar bilgisayarın çekirdeği olmasa da, kötü amaçlı yazılımlar için önemli bir giriş noktasıdır. Bellek bütünlüğü, bu aygıtlardan birinin tehlikeye girmesi veya savunmasız bir sürücü kullanması durumunda bile, kötü amaçlı yazılımların çekirdeğe doğrudan saldırmasını zorlaştırmaya yardımcı olur.
Bu işlevin dikkate değer olduğunu belirtmekte fayda var. Antivirüs yazılımının yerini tutmaz.Windows Defender (veya Microsoft Defender), dosyaları, işlemleri ve ağ trafiğini analiz etmek için vazgeçilmezdir ve stratejinin bir parçasıdır. Bilgisayarınızı siber saldırılardan ve bilgisayar korsanlığı girişimlerinden koruyun.Çekirdek izolasyonu ve bellek bütünlüğü, bir saldırı doğrudan işletim sistemini hedef almaya çalıştığında devreye giren düşük seviyeli bir tamamlayıcı unsur görevi görür. İkisinin birleşimi genel güvenliği büyük ölçüde güçlendirir.
Ancak bu ek korumanın da dezavantajları vardır. kaynak maliyetiTıpkı daha fazla adım içeren bir erişim kontrol sisteminin eve girmenizi daha uzun sürede sağlaması gibi, Windows çekirdeğe yüklenen kod üzerinde ne kadar çok kontrol yaparsa, o kadar çok zaman ve işlemci gücü tüketir. Bu durum, çok düşük özellikli sistemlerde veya yüksek performans gerektiren oyunlar gibi durumlarda fark edilebilir.
Avantajlar ve dezavantajlar: güvenlik ve performans
Çekirdek izolasyonunu ve bellek bütünlüğünü etkinleştirmek, açıkça performansı artırır. sistem güvenliğiAncak her şey güllük gülistanlık değil. Birçok kullanıcı, bu seçenekleri etkinleştirdikten sonra, Oyunlardaki FPS düşürüldü. Ya da sistemin, özellikle zaten donanım sınırına ulaşmış bilgisayarlarda, biraz daha ağır hissettirmesi.
Çekirdek izolasyonu etkinleştirildiğinde aşağıdaki durumların ortaya çıktığı vakalar da mevcuttur. ölümün mavi ekranları (BSOD) veya garip tıkanıklıklar. Bu durumların çoğunda, kaynağı genellikle aynıdır: uyumsuz sürücüler veya HVCI tarafından istenen en katı kod bütünlüğü kurallarına uymayan, kötü tasarlanmış kodlar.
Öte yandan, bilgisayar kullanımınız nispeten muhafazakar ise (alışılmadık yazılımlar indirmiyorsanız, güvenilir web sitelerini ziyaret ediyorsanız, sisteminizi güncel tutuyorsanız ve Microsoft Defender'ı aktif bırakıyorsanız), Çekirdek İzolasyonunu etkinleştirdiğinizde güvenlikte büyük bir fark fark etmeyebilirsiniz, ancak özellikle oyunlarda veya çok yoğun uygulamalarda performans kaybı fark edebilirsiniz.
En mantıklı öneri genellikle şudur: Eğer ekipmanınız nispeten modern ise, Sanallaştırma gereksinimlerini karşılıyor.Özelliği etkinleştirirken herhangi bir hata görmezseniz ve önemli bir performans sorunu fark etmezseniz, Çekirdek İzolasyonunu etkin bırakmanızda fayda var. Ancak, ciddi performans düşüşleri veya kararsızlık yaşamaya başlarsanız, devre dışı bırakmayı veya yalnızca belirli zamanlarda kullanmayı düşünebilirsiniz.
Her durumda, tüm bu işlevler etkinleştirilmiş olsa bile, kilit unsur yine de kullanıcıdır: Garip indirmelerden kaçınınŞüpheli ekleri açmamak, şüpheli web sitelerini ziyaret etmemek ve her şeyi güncel tutmak en iyi savunma yöntemidir. Teknoloji yardımcı olur, ancak internette gezinirken dikkatli olmazsanız mucizeler yaratamaz.
Windows Güvenliği'nden Çekirdek İzolasyonu ve Bellek Bütünlüğünü Nasıl Etkinleştirirsiniz?
Çekirdek izolasyonunu ve bellek bütünlüğünü etkinleştirmenin en doğrudan ve görsel yolu, tam olarak şu yöntemle sağlanır: Windows Güvenlik uygulamasıBu özellik hem Windows 10 hem de Windows 11'e entegre edilmiştir. Menü adı biraz değişse de, her iki sistemde de adımlar oldukça benzerdir.
Windows 11'de uygulamayı açmak için tuşuna basabilirsiniz. Windows + I Ayarlara gidip ardından girmek Gizlilik ve güvenlik > Windows güvenliğiAçmak için bir düğme göreceksiniz. Ayrıca Başlat menüsünden "Windows Güvenliği" araması yapabilir veya genellikle sistem tepsisinde görünen mavi kalkan simgesine tıklayabilirsiniz.
Windows Güvenliği'ne girdikten sonra, ilgili bölüme gidin. Cihaz güvenliğiOrada "şu bölüm"ü bulacaksınız: Çekirdek İzolasyonuBüyük olasılıkla şunu belirten bir mesaj göreceksiniz: Bellek bütünlüğü devre dışı bırakıldı. ve etkinleştirmezseniz cihazınızın güvenlik açıklarıyla karşılaşabileceğini unutmayın.
Tıklayın Çekirdek yalıtım detaylarıEkranda çeşitli gelişmiş seçenekler açılacaktır. En önemlisi ise anahtardır. Bellek bütünlüğüBu özelliği etkinleştirdiğinizde, Windows bu güçlendirilmiş kod bütünlüğü politikalarını çekirdeğe uygulamaya başlayacak ve potansiyel olarak kötü amaçlı sürücülerin veya kodların yüklenmesini engelleyecektir.
Aynı bölümde, Windows sürümünüze bağlı olarak, şu seçeneği de bulabilirsiniz: Microsoft'un Güvenlik Açığı Olan Sürücülerin Engelleme ListesiGenellikle varsayılan olarak etkinleştirilen bu özellik, ciddi güvenlik açıkları olduğu bilinen bazı sürücülerin yüklenmesini engeller. Bellek bütünlüğü ile birlikte, sorunlu sürücülere karşı ek bir güvenlik katmanı sağlar.
Komutları ve kayıt defterini kullanarak bellek bütünlüğünü ve VBS'yi nasıl etkinleştirebilirsiniz?
Birden fazla bilgisayarı yönetiyorsanız veya daha ince ayar kontrolü istiyorsanız, bu da mümkündür. Komut satırı üzerinden Çekirdek İzolasyonunu ve Bellek Bütünlüğünü etkinleştirin.Bu, Windows Kayıt Defteri'ndeki belirli anahtarları doğrudan değiştirmeyi içerir. Bu, kurumsal ortamlarda veya yapılandırmayı otomatikleştirmek istediğinizde çok kullanışlıdır.
Başlamak için açın Yönetici Olarak Komut İstemiWindows + S tuşlarına basın, "cmd" yazın, "Komut İstemi"ne sağ tıklayın ve "Yönetici olarak çalıştır"ı seçin. Görünürse Kullanıcı Hesabı Kontrolü uyarısını kabul edin.
Bellek bütünlüğünün anahtarı şurada yatmaktadır: HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrityBu dal içinde değer Etkin Bu, HCVI'nin etkinleştirilip etkinleştirilmeyeceğini (1) veya devre dışı bırakılıp bırakılmayacağını (0) kontrol eder. Bunu şuna benzer bir komutla etkinleştirebilirsiniz:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v Enabled /t REG_DWORD /d 1 /f
Çekirdek izolasyonu şunlara bağlıdır: sanallaştırma tabanlı güvenlik (VBS) Etkinleştirildi. Bu, tuşla kontrol ediliyor. HKLM\SİSTEM\GeçerliDenetimSeti\Denetim\CihazKorumasıBurada birkaç önemli değer var: örneğin, Sanallaştırma Tabanlı Güvenliği Etkinleştir (VBS'yi açmak için), RequirePlatformSecurityÖzellikleri (farklı değerlerle güvenli önyükleme ve DMA koruması gerektirmek için) ve Kilitli (UEFI kilitlemesinin kurulup kurulmadığını belirtmek için).
Firmware'e kalıcı olarak herhangi bir kilitleme yapmadan VBS ve HVCI'yi yapılandırmak için tipik bir komut dizisi, her zaman yükseltilmiş ayrıcalıklara sahip bir konsolda yürütüldüğünde, aşağıdaki gibi görünebilir:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f
App Control for Business ve PowerShell Kullanımı
Birçok bilgisayarda güvenlik politikaları uygulayan kuruluşlarda Microsoft, bellek bütünlüğünü sağlamanın başka bir yolunu daha sunuyor: İşletmeler için Uygulama KontrolüWindows Defender Uygulama Denetimi'nin halefi olan HVCI, buradan merkezi bir politikanın parçası olarak dahil edilebilir.
Yaygın yöntemlerden biri şudur: Uygulama Kontrol AsistanıBu, politikayı oluşturma veya değiştirme konusunda size yol gösterir. Bu sihirbazda, politika kuralları sayfasında, seçeneği belirleyebilirsiniz. Hipervizör tarafından korunan kod bütünlüğüBu, söz konusu politikayı uygulayan tüm cihazlarda bellek bütünlüğünü etkinleştirmek istediğinizi gösterir.
Bir diğer alternatif ise PowerShell cmdlet'ini kullanmaktır. Set-HVCIOptionsBu, denetim, zorunlu çalışma vb. gibi farklı HVCI çalışma modlarını yapılandırmanıza olanak tanır. Bu, zorunlu çalışma moduna geçmeden önce kontrol cihazlarınızın uyumluluğunu denetim modunda test etmek istediğinizde çok kullanışlıdır.
Son olarak, XML konusunda deneyimi olan herkes doğrudan düzenleme yapabilir. Uygulama Denetimi politika dosyası ve öğenin değerini değiştirin <HVCIOptions>Bu, birçok bilgisayarın aynı anda yönetildiği bir ortamda bellek bütünlüğünün nasıl uygulandığı konusunda oldukça ayrıntılı kontrol sağlar.
Bu yaklaşımın tamamı daha çok işletmelere yönelik olsa da, bellek bütünlüğünün her ortamın ihtiyaçlarına bağlı olarak hem kullanıcı arayüzünden hem de politika yönetim araçları ve komut dosyaları aracılığıyla yönetilebileceğini bilmekte fayda var.
VBS ve bellek bütünlüğünün gerçekten etkin olup olmadığını nasıl kontrol edebilirim?
VBS ve bellek bütünlüğünü etkinleştirdikten sonra, şu soruyu sormak mantıklıdır: Gerçekten çalışıyorlar. Ya da bir şeyin yarım kalmış olup olmadığını kontrol etmek için. Windows, bunu hem grafiksel olarak hem de komutlar aracılığıyla kontrol etmenin çeşitli yollarını sunar.
En kapsamlı yöntemlerden biri WMI sınıfını kullanmaktır. Win32_DeviceGuardBu, yönetici ayrıcalıklarına sahip bir PowerShell oturumundan erişilebilir. Şuna benzer bir komut çalıştırmak oldukça ayrıntılı bir rapor oluşturabilir:
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard
Bu komutun çıktısı aşağıdaki gibi alanları içerir: MevcutGüvenlikÖzellikleriBu, hangi donanım tabanlı güvenlik özelliklerinin mevcut olduğunu listeler (hipervizör desteği, güvenli önyükleme, DMA koruması, NX korumaları, SMM azaltmaları, MBEC/GMET, APIC sanallaştırma, vb.) ve GerekliGüvenlikÖzellikleriBu, VBS'nin doğru şekilde etkinleştirilmesi için hangi özelliklerin gerekli olduğunu gösterir.
Ayrıca şu gibi alanlar da göreceksiniz: Güvenlik Hizmetleri Yapılandırıldı y Güvenlik Hizmetleri ÇalışıyorBu, hizmetlerin olup olmadığını gösterir. Kimlik Bilgisi Muhafızı o bellek bütünlüğü Bunlar yapılandırılmış olup olmadıklarını ve gerçekten çalışıp çalışmadıklarını gösterir. Örneğin, "2" içeren bir değer genellikle bellek bütünlüğünün yapılandırılmış veya çalışır durumda olduğunu gösterir.
Bir diğer önemli alan ise Sanallaştırma Tabanlı Güvenlik DurumuBu, VBS'nin devre dışı (0), etkin ancak çalışmıyor (1) veya etkin ve tamamen işlevsel (2) olup olmadığını size söyleyecektir. Çekirdek İzolasyonunun doğru çalışması için bu değerin ideal olarak 2 olması gerekir.
Daha görsel ve daha az teknik bir şey tercih ediyorsanız, şunlara yönelebilirsiniz: msinfo32.exeBu programı (örneğin, Windows arama kutusuna "msinfo32" yazarak) yönetici ayrıcalıklarıyla çalıştırın. Ekranın alt kısmında... Sistem görünümü VBS özelliklerine ayrılmış bir blok göreceksiniz; bu blok, özelliğin etkin olup olmadığını ve hangi ilgili koruma önlemlerinin aktif olduğunu gösterir.
Hyper-V sanal makinelerinde bellek bütünlüğü
Bellek bütünlüğü ve Çekirdek İzolasyonu yalnızca fiziksel donanım için geçerli değildir. Bunlar aynı zamanda bir sistem içinde de etkinleştirilebilir... Hyper-V sanal makinesiBelirli şartlar yerine getirildiği takdirde, sanal makine, konuk makinenin çekirdeğine saldırmaya çalışan kötü amaçlı yazılımlara karşı fiziksel bir bilgisayarla aynı korumalara sahip olur.
Bunun için Hyper-V ana bilgisayarı En az Windows Server 2016 veya Windows 10 sürüm 1607 çalıştırıyor olmalı ve sanal makine şu özelliklere sahip olmalıdır: 2. nesil ve uyumlu bir Windows sürümü çalıştırın. Sanal makine içinde, Çekirdek İzolasyonunu etkinleştirme adımları normal bir bilgisayardakiyle aynıdır.
Sanal makinede bellek bütünlüğünü anlamak önemlidir. Ev sahibini değil, misafiri koruyun.Sunucu yöneticisi, sanal makinenin yapılandırmasını kontrol etme yeteneğine hala sahiptir ve hatta aşağıdaki gibi komutlarla sanal makinenin VBS'ye katılımını devre dışı bırakabilir:
Set-VMSecurity -VMName <NombreVM> -VirtualizationBasedSecurityOptOut $true
Çekirdek İzolasyonu ve Bellek Bütünlüğü, Windows güvenliğini güçlendirmenin iki temel bileşenidir: donanım sanallaştırmasından yararlanarak, çekirdek ve sürücüler üzerinde çok derin bir koruma katmanı eklerler ve daha önce serbestçe hareket edebilen gelişmiş saldırıları durdurabilirler; ancak, etkinleştirilmeleri belirli donanım gereksinimlerini karşılamayı ve bazı sistemlerde veya çok zorlu kullanımlar için performans veya sürücü uyumluluğunda bir bedel ödemeyi gerektirir, bu nedenle kullanımlarını dikkatlice değerlendirmek ve yazılımlara göz atarken ve yüklerken her zaman iyi güvenlik uygulamalarına güvenmek tavsiye edilir.
