Tooprogram.ru

Компьютерный справочник
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Стандартная безопасность оборудования не поддерживается

Как включить защиту целостности памяти в Windows 10 April 2018 Update

В Windows 10 (версия 1803) Центр безопасности Защитника Windows получил несколько улучшений, в том числе новый раздел “Безопасность устройства”, которые предлагает управление расширенными инструментами безопасности, такими как «Изоляция ядра».

Изоляция ядра — технология безопасности на основе виртуализации, которая обеспечивает дополнительный уровень защиты против интеллектуальных атак. Целостность памяти является одной из составных частей технологии изоляции ядра — функция предназначена для предотвращения вставки вредоносного кода в процессы с высокой безопасностью. Защита обеспечивается за счет того, что страница виртуальной памяти ядра начинает выполнятся только после успешного прохождения проверки целостности.

Рассмотрим, как включить функцию “Целостность памяти” в Windows 10 April 2018 Update, чтобы усилить безопасность компьютера.

Включение целостности памяти

  • Откройте Центр безопасности Защитника Windows.
  • Выберите раздел “Безопасность устройства”.

  • В секции “Изоляции ядра” нажмите ссылку “Сведения об изоляции ядра”.
  • Переведите переключатель “Целостность памяти” в активное положение.

После выполнения этих действий нужно перезагрузить компьютер, чтобы изменения вступили в силу.

Примечание: для работы данной функции ваш процессор должен поддерживать технологии виртуализации. Кроме того, виртуализация должна быть включена в BIOS или UEFI. В противном случае, функция будет недоступна.

Исправление проблем с изоляцией ядра

В некоторых случаях можно столкнуться с проблемами совместимости в некоторых приложениях, если изоляция ядра включена. Чтобы исправить неполадки придется отключить функцию.

Если вы пытаетесь отключить целостность памяти в Центре безопасности Защитника Windows, но опция стала неактивной и показывается сообщение “Этим параметром управляет ваш администратор”, то все еще можно деактивировать функцию с помощью системного реестра.

Примечание: Некорректное изменение реестра может привести к серьезным проблемам. Рекомендуется создать резервную копию реестра Windows перед тем, как выполнить данные шаги. В меню редактора реестра выберите Файл > Экспорт для сохранения резервной копии.

  • Нажмите сочетание клавиш Windows + R , чтобы вызвать окно “Выполнить”.
  • Введите regedit и нажмите ОК, чтобы запустить редактор реестра.
  • Перейдите по следующему пути:
  • Дважды щелкните по записи Enabled.
  • Поменяйте значение с 1 на 0.
  • Нажмите ОК.

Для отключения вы также можете воспользоваться готовым reg-файлом, выполнив запуск от имени администратора.

После выполнения этих действий нужно перезагрузить компьютер, чтобы изменения вступили в силу.

Что такое «Изоляция ядра» и «Целостность памяти» в Windows 10

О бновление в апреле 2018 года для Windows 10 обеспечивает всем пользователям функции защиты «Изоляция ядра» и «Целостность памяти». Они используют защиту на основе виртуализации для защиты Ваших основных процессов операционной системы от несанкционированного доступа, но защита по умолчанию отключена.

Что такое изоляция ядра

В первоначальном выпуске Windows 10 функции безопасности на основе виртуализации (VBS) были доступны только в корпоративных версиях Windows 10 в составе «Защиты устройства». С обновлением в апреле 2018 года изоляция ядра предоставляет некоторые функции безопасности на основе виртуализации для всех версий Windows 10.

Некоторые функции изоляции ядра включены по умолчанию на ПК с Windows 10, которые соответствуют определенным требованиям к оборудованию и прошивке, включая 64-битный процессор и чип TPM 2.0. Это также требует, чтобы Ваш ПК поддерживал технологию виртуализации Intel VT-x или AMD-V и что он включен в настройках UEFI Вашего ПК.

Когда эти функции включены, Windows использует функции аппаратной виртуализации для создания защищенной области системной памяти, изолированной от обычной операционной системы. Windows может запускать системные процессы и программное обеспечение для обеспечения безопасности в этой безопасной зоне. Это защищает важные процессы операционной системы от несанкционированного доступа к чему-либо, находящемуся за пределами безопасной зоны.

Даже если вредоносная программа работает на Вашем ПК и знает эксплойт, который должен позволить взломать эти процессы Windows, защита на основе виртуализации является дополнительным уровнем защиты, который изолирует их от атак.

Что такое целостность памяти

Функция, известная как «Целостность памяти» в интерфейсе Windows 10, также известна как «Защищенная целостность кода гипервизора» (HVCI) в документации Microsoft.

Целостность памяти по умолчанию отключена на компьютерах, обновленных до обновления апреля 2018 года, но Вы можете включить их. Он будет включен по умолчанию для новых установок Windows 10 в будущем.

Эта функция является подмножеством изоляции ядра. Для Windows обычно требуются цифровые подписи для драйверов устройств и другого кода, который работает в режиме ядра Windows низкого уровня. Это гарантирует, что они не пострадали от вредоносного ПО. Когда «Целостность памяти» включена, «служба целостности кода» в Windows запускается внутри контейнера, защищенного гипервизором, созданного изоляцией ядра. Это должно сделать почти невозможным, чтобы вредоносное ПО пыталось вмешаться в проверку целостности кода и получить доступ к ядру Windows.

Проблемы с виртуальной машиной

Поскольку целостность памяти использует аппаратное обеспечение виртуализации системы, оно несовместимо с программами виртуальной машины, такими как VirtualBox или VMware. Только одно приложение может использовать это оборудование за раз.

Читать еще:  Игра запускается в безопасном режиме

Вы можете увидеть сообщение о том, что Intel VT-X или AMD-V не включены или недоступны, если Вы устанавливаете программу виртуальной машины в системе с включенной целостностью памяти. В VirtualBox Вы можете увидеть сообщение об ошибке «Raw-mode is unavailable courtesy of Hyper-V», если функция защиты памяти включена.

В любом случае, если у Вас возникла проблема с программным обеспечением Вашей виртуальной машины, Вы должны отключить целостность памяти, чтобы использовать его.

Почему это отключено по умолчанию

Основная функция изоляции ядра не должна вызывать никаких проблем. Она включен на всех ПК с Windows 10, которые могут ее поддерживать, и нет интерфейса для ее отключения.

Тем не менее, защита целостности памяти может вызвать проблемы с некоторыми драйверами устройств или другими низкоуровневыми приложениями Windows, поэтому она по умолчанию отключена при обновлении. Microsoft по-прежнему подталкивает разработчиков и производителей устройств к совместимости своих драйверов и программного обеспечения, поэтому по умолчанию она включена на новых компьютерах и новых установках Windows 10.

Если один из драйверов, который требуется Вашему компьютеру для загрузки, несовместим с защитой памяти, Windows 10 отключит ее, чтобы Ваш компьютер мог загрузиться и работать правильно.

Если после включения защиты памяти возникают проблемы с другими устройствами или программным обеспечением, корпорация Microsoft рекомендует проверять обновления для конкретного приложения или драйвера. Если обновлений нет, отключите функцию защиты памяти.

Как мы уже упоминали выше, целостность памяти также будет несовместима с некоторыми приложениями, которые требуют эксклюзивного доступа к аппаратным средствам виртуализации системы, таким как программы виртуальной машины. Другие инструменты, включая некоторые отладчики, также требуют эксклюзивного доступа к этому оборудованию и не будут работать с включенной целостностью памяти.

Как включить целостность памяти изоляции ядра

Вы можете увидеть, включена ли на Вашем ПК функция изоляции ядра и включить или отключить защиту памяти в Центре безопасности Защитника Windows. (Этот инструмент будет переименован в «Безопасность Windows» как часть обновления Redstone 5, который будет запущен осенью 2018 года).

Чтобы открыть его, найдите «Центр безопасности Защитника Windows» в меню «Пуск» или откройте «Параметры» > «Обновление и безопасность» > «Безопасность Windows» > «Открыть Центр безопасности Защитника Windows».

Нажмите значок «Безопасность устройства» в Центре безопасности защитника Windows.

Если функция изоляции ядра включена на Вашем ПК, Вы увидите здесь сообщение «Безопасность на основе виртуализации работает для защиты главных частей устройства».

Чтобы включить (или отключить) защиту памяти, щелкните ссылку «Сведения об изоляции ядра».

На этом экране отображается, включена ли функция целостности памяти. На данный момент это единственный вариант.

Чтобы включить целостность памяти, переведите переключатель в положение «Вкл.». Если Вы столкнулись с проблемами приложений или устройств и Вам необходимо отключить целостность памяти, вернитесь сюда и переведите переключатель в положение «Выкл».

Вам будет предложено перезагрузить компьютер, и изменение вступит в силу только после перезагрузки.

Дополнительные функции защитника Windows от эксплойтов

Изоляция ядра и Целостность памяти — это некоторые из многих новых функций безопасности, которые Microsoft добавила как часть Защитника Windows от эксплойтов. Это набор функций, предназначенных для защиты Windows от атак.

Защита от эксплойтов, которая защищает Вашу операционную систему и приложения от многих типов эксплойтов, включена по умолчанию. Это заменяет старый инструмент EMET от Microsoft и включает в себя функции анти-эксплойт. Все пользователи Windows 10 теперь имеют защиту от эксплойтов.

Также имеется контроль доступа к папкам, который защищает Ваши файлы от вымогателей. Он не включен по умолчанию, потому что он требует некоторой настройки. Если Вы включите эту функцию, Вам придется разрешить доступ к приложениям, прежде чем они смогут обращаться к файлам в Ваших личных папках.

Целостность памяти будет включена по умолчанию на всех новых ПК, обеспечивая дополнительную защиту от атак. Только продвинутые пользователи, которые используют программное обеспечение виртуальной машины и другие инструменты, требующие доступа к аппаратной виртуализации системы, должны будут отключить его.

Изоляция ядра и Целостность памяти в Защитнике Windows 10

За последние несколько лет, кибер-атаки изменились. Хакеры теперь могут захватить ваш компьютер и заблокировать файлы, если вы не готовы заплатить им деньги. Эти типы атак называются Ransomware, и они используют эксплойты уровня ядра, которые пытаются запустить вредоносное ПО с наивысшими привилегиями, например WannaCry и Petya ransomware. Чтобы смягчить эти типы атак, Microsoft развернула функцию, позволяющую включить Изоляция Ядра и Целостность памяти для предотвращения таких атак.

Изоляция ядра — обеспечивает дополнительную защиту от вредоносных программ и других атак, изолируя процессы компьютера от операционной системы и устройства.

Целостность памяти — функция изоляции ядра может запретить вредоносному коду доступ к процессам с высоким уровнем безопасности в случае атаки.

Читать еще:  Заблокировано политикой защиты содержимого как убрать

Центр защиты Windows Defender предлагает теперь такую функцию функцию — Безопасность устройства. Предоставляет отчеты о состоянии и управление функциями безопасности, встроенными в ваши устройства, включая включение функций для обеспечения повышенной защиты. Однако он не работает на программном уровне; аппаратное обеспечение должно также поддерживать его. Ваша прошивка должна поддерживать технологию виртуализации, которая позволяет ПК с Windows 10 запускать приложения в контейнере, чтобы они не получали доступ к другим частям системы.

Включить Изоляцию ядра и Целостность памяти в Защитнике

Важно: Параметры доступные в настройке безопасности устройства зависят от конфигурации вашего оборудования. В моем случае, стандартная аппаратная безопасность не поддерживается, поэтому ОС использует защиту на основе виртуализации. Я включил в БИОСе функцию «Безопасная загрузка» и появилась возможность активировать функцию изоляцию ядра.

Ваше устройство отвечает требованиям стандартной аппаратной безопасности

Это означает, что ваше устройство поддерживает целостность памяти и изоляцию ядра, а также имеет:

  • TPM 2.0 (также называемый процессором безопасности)
  • Безопасная загрузка включена
  • DEP
  • UEFI

Ваше устройство отвечает требованиям расширенной аппаратной безопасности

  • Это означает, что в дополнение к всем требованиям стандартной аппаратной безопасности ваше устройство также имеет встроенную память.

Стандартная аппаратная безопасность не поддерживается

  • Это означает, что ваше устройство не отвечает хотя бы одному из требований стандартной аппаратной безопасности.
  • Войдите в систему как администратор и откройте Центр защиты Windows Defender и найдите параметр «Безопасность устройства».

  • Далее нажмите на слово «сведения об изоляции ядра» и в графе «Целостность памяти» перетащите ползунок в режим Вкл. После включения он попросит вас перезагрузить компьютер, чтобы полностью включить целостность памяти. Если позже вы столкнетесь с проблемами совместимости приложений, вам может потребоваться отключить это.

Тем не менее, есть еще два варианта, которые могут быть доступны в зависимости от оборудования вашего ПК.

  1. Процессор безопасности отображается только в том случае, если у вас есть TPM , доступный для вашего ПК. Это дискретные чипы, припаянные к материнской плате компьютера OEM. Чтобы получить максимальную отдачу от TPM, OEM должен тщательно интегрировать системное оборудование и прошивку с TPM для отправки команд и реагирования на его ответы. Новые TPM могут также обеспечить преимущества безопасности и конфиденциальности для самого системного оборудования. Поэтому не забудьте проверить все это, если вы покупаете новый компьютер.
  2. Безопасная загрузка (Secure Boot) предотвращает загрузку вредоносного кода перед вашей ОС.

Если вы включили ползунок и вам выдает ошибку «Не удается обеспечить целостность памяти. Возможно несовместимость«, то включите в БИОСе функцию Secure Boot он же Boot Mode, одним словом, Вам нужно включить «Безопасную загрузку в БИОС».

Отключить Целостность памяти и Изоляцию ядра в Защитнике

Решил немного подредактировать статью. Дело в том, что функция ядра включается, но назад выключить невозможно. Я как то решил установить игру PointBlank и она мне выдавала ошибку 1073. Искал проблему около часа, пока не вспомнил, что включена изоляция ядра и Frost не может получить доступ. Тут у меня возник вопрос, какого черта «фогейм» должна иметь доступ к моему ядру? Удалил вообщем игру и занес для себя 4game в черный список на вечность. Вообщем, при включенной функции «изоляция ядра» в защитнике windows 10, не будет запускаться ни одна игра от 4game.ru (фогейм). Если она включена, то разберем, как отключить целостность памяти.

1 Способ. Если у вас в БИОСе включена функция Secure Boot, то зайдите в БИОС и отключите ее. Разных версий БИОС, UEFI много, я не буду описывать как это делать, но дам совет; просто наберите слово в поиске «отключить Безопасную загрузку в БИОС (можете еще указать производителя материнской платы)» и нажмите картинки, и по картинкам ориентируетесь. Когда отключите эту функцию в БИОСе, перейдите в защитник windows 10 и ползунок станет активным, что позволить выключить изоляцию ядра и целостность памяти.

2 Способ. Следующий метод заключается в редактировании параметра в реестре. Откройте редактор реестра и перейдите по следующему пути:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceGuardScenariosHypervisorEnforcedCodeIntegrity

  • Справа нажмите два раза мышкой на параметры Enabled и установите значение . Перезагрузите компьютер, откройте windows defender и ползунок станет активным, далее отключите целостность памяти и изоляцию ядра.

РЕШЕНО: Ошибка «Не поддерживаемое оборудование» (Ваш компьютер оборудован процессором предназначенным для последней версии Windows)

Microsoft продолжает усиленно радовать, удивлять и шокировать своих пользователей. Буквально на днях ко мне обратился коллега с такой проблемой: он приобрел и собрал новый ПК на базе нового процессора Intel Core i3 7100. На собранный компьютер был успешно установлен образ Windows 7. Но через некоторое время, после того, как Windows 7 закачала и установила все обновления через Windows Update, система перестала получать новые обновления со следующей ошибкой:

Читать еще:  Как убрать защиту протект

Unsupported hardware

Your PC uses a processor that is designed for the latest version of Windows. Because the processor is not supported together with the Windows version that you are currently using, your system will miss important security updates.

Не поддерживаемое оборудование

Ваш процессор не поддерживает данную версию Windows, вы не сможете получать обновления.

При попытке выполнить поиск обновления через Windows Update появляется ошибка:

Дело в том, Microsoft еще в прошлом году анонсировала, что все обладатели новейших процессоров должны использовать только последнюю версию клиентской платформы — Windows 10. Для более старых версий Windows будет созданы ограничения для использования данных моделей процессоров.

Ограничения распространяется на следующие поколения процессоров:

  • 7-ое — поколение процессоров IntelCore (микроархитектура Kaby Lake, выпуск начался в 2017 году, среди них: i3, i5 и i7: 7100, 7300, 7320, 7400, 7500, 7600, 7700, 7100T, 7101E, 7101TE, 7300T, 7350K, 7400T, 7500T, 7600K, 7600T, 7640X, 7700K, 7700T, 7740X, G3930, G3930T, G3950, G4560, G4560T, G4600, G4600T, G4620.)
  • Седьмое поколение процессоров AMD (микроархитектура Bristol Ridge, выпуск начался в 3 квартале 2016 года, среди них: FX-9830P, FX-9800P, A12-9730P, A12-9700P, A10-9630P, A10-9600P,Pro A12-9800B, Pro A12-9830B, Pro A10-9730B, Pro A10-9700B, Pro A8-9630B, Pro A8-9600B, Pro A6-9500B.)
  • Qualcomm 8996 (в основном используется для мобильных устройств)

В апреле 2017 года MSFT выпустило специальные патчи для предыдущих версий ОС

  • KB4012218 – для Windows 7 SP1 и Windows Server 2008 R2
  • KB4012219 – для Windows 8.1 и Windows Server 2012 R2

В описании патчей заявляется о появление функционала определения поколения процессора и поддерживаемого оборудования при поиске обновлений через Windows Update.

Enabled detection of processor generation and hardware support when PC tries to scan or download updates through Windows Update.

Соответственно, после установки данных обновлений, система начинает блокировать загрузку новых обновлений (в т.ч для MS Office) и драйверов на старых версиях ОС с ошибкой 80240037, тем самым вынуждая пользователей переходить на Windows 10 /Windows Server 2016. Таким образом, все старые системы с новым оборудованием перестают получать обновления безопасности и переходят в разряд уязвимых. Похоже на шантаж…

Конечно, временно поможет удаление этих обновлений ( wusa.exe /quiet /uninstall /kb:4012218 /promptrestart или wusa.exe /quiet /uninstall /kb:4012219 /promptrestart ) и блокировка их установки, но с высокой долей вероятности они прилетят в следующем месяце в обновлении Monthly Rollup (в рамках новой концепции накопительной модели кумулятивных обновлений).

При попытке установить обновления на windows 7 может появиться ошибка: Ваш компьютер оборудован процессором предназначенным для последней версии Windows. Если вы хотите продолжать получать обновления необходимо в командной строке удалить следующие обновления:

  • wusa /uninstall /kb:4015550
  • wusa /uninstall /kb:4019217
  • wusa /uninstall /kb:4019264

На форумах пишут что за данную ошибку отвечает обновление 4012218. Но у меня его не стояло. А помогло удаление под номером 4019264.

Нашли еще обновления приводящие к описанным проблемам — сообщите в комментариях.

В некоторых случаях windows перестаёт обновляться и при попытке установить обновления даже вручную выдаёт разные ошибки установки. При попытке деинсталировать указанные выше обновления, говорит что ошибок нет.

В этом случае
Лечится это батником, патчащим проверку CPU: https://github.com/zeffy/kb4012218-19
Поскольку патчатся файлы MS Update, данный патчер придётся запускать после каждого кумулятивного обновления (поскольку как минимум проверяются контрольные суммы, а иногда обновляются сами файлы).

UPD2: Wufuc – патч для восстановления Windows Update

Существует неофициальный обходной метод, позволяющий убрать сообщение «Оборудование не поддерживается» и восстановить возможность получения и установки обновлений безопасности на компьютерах с Windows 7 и 8.1 с процессорами Intel Kaby Lake, AMD Ryzen, и другими не поддерживаемыми CPU.

Пользователь GitHub под ником Zeffy выпустил небольшой патч Wufuc (windows update …. ну вы поняли), который позволяет избавиться от проблемы «несовместимого оборудования». Патч отключает сообщение Центра обновлений о несовместимости оборудовании и разрешает компьютеру получать обновления с Windows Update. Последнюю стабильную версию патча Wufuc можно скачать тут: https://github.com/zeffy/wufuc/releases/latest.

Есть версия Wufuc как для x86, так и для x64 систем.

Согласно информации от Zeffy функция обнаружения типа процессора и запрета получения обновлений находится в библиотеке wuaueng.dll. Первоначально патч Wufuc заменял данный файл, но т.к. данное решение неустойчиво против обновления файла очередным обновлением Windows Update, в последующих релизах Wufuc логика работы патча была изменена.

Теперь фактическая замена файла wuaueng.dll не производится. Установщик wufuc_setup_x64.msi регистрирует новое задание планировщика, которое запускает wufuc при загрузке компьютера. Затем wufuc внедряет себя в процесс service host или службу wuauserv и перехватывает вызов функций IsDeviceServiceable и IsCPUSupported, модифицируя возвращаемый ответ.

Таким образом патч wufuc отключает сообщение «Оборудование не поддерживается» в Windows Update, и позволяет продолжать устанавливать обновления на системах Windows 7 и 8.1.

Ссылка на основную публикацию
Adblock
detector