De update van april 2018 van Windows 10 biedt de beveiligingsfuncties “Core Isolation” en “Memory Integrity” voor iedereen. Deze maken gebruik van op virtualisatie gebaseerde beveiliging om uw kernprocessen van het besturingssysteem te beschermen tegen manipulatie, maar geheugenbeveiliging is standaard uitgeschakeld voor mensen die upgraden.
Wat is kernisolatie?
In de oorspronkelijke release van Windows 10 waren op virtualisatie gebaseerde beveiligingsfuncties (VBS) alleen beschikbaar in Enterprise-edities van Windows 10 als onderdeel van “Device Guard”. Met de update van april 2018 brengt Core Isolation enkele op virtualisatie gebaseerde beveiligingsfuncties naar alle edities van Windows 10.
Sommige Core Isolation-functies zijn standaard ingeschakeld op Windows 10-pc’s die voldoen aan bepaalde hardware- en firmwarevereisten, waaronder een 64-bits CPU en TPM 2.0-chip. Het vereist ook dat uw pc de Intel VT-x- of AMD-V-virtualisatietechnologie ondersteunt en dat deze is ingeschakeld in de UEFI-instellingen van uw pc.
Wanneer deze functies zijn ingeschakeld, gebruikt Windows hardwarevirtualisatiefuncties om een beveiligd gebied van het systeemgeheugen te creëren dat geïsoleerd is van het normale besturingssysteem. Windows kan systeemprocessen en beveiligingssoftware uitvoeren in dit beveiligde gebied. Dit beschermt belangrijke besturingssysteemprocessen tegen manipulatie door iets dat buiten het beveiligde gebied wordt uitgevoerd.
Zelfs als er malware op uw pc draait en een exploit kent die deze Windows-processen zou moeten kraken, is de op virtualisatie gebaseerde beveiliging een extra beschermingslaag die ze tegen aanvallen beschermt.
VERWANT: Alles nieuw in de update van april 2018 van Windows 10, nu beschikbaar
Wat is geheugenintegriteit?
De functie die in de interface van Windows 10 bekend staat als ‘Geheugenintegriteit’ wordt in de documentatie van Microsoft ook wel ‘Hypervisor beschermde code-integriteit’ (HVCI) genoemd.
Geheugenintegriteit is standaard uitgeschakeld op pc’s die zijn geüpgraded naar de update van april 2018, maar u kunt deze inschakelen. Het wordt in de toekomst standaard ingeschakeld bij nieuwe installaties van Windows 10.
Deze functie is een subset van Core Isolation. Windows vereist normaal gesproken digitale handtekeningen voor apparaatstuurprogramma’s en andere code die in de Windows-kernelmodus op laag niveau wordt uitgevoerd. Dit zorgt ervoor dat er niet met malware is geknoeid. Wanneer “Geheugenintegriteit” is ingeschakeld, wordt de “code-integriteitsservice” in Windows uitgevoerd in de hypervisor-beveiligde container die is gemaakt door Core Isolation. Dit zou het voor malware bijna onmogelijk moeten maken om te knoeien met de code-integriteitscontroles en toegang te krijgen tot de Windows-kernel.
Problemen met virtuele machines
Omdat Memory Integrity de virtualisatiehardware van het systeem gebruikt, is het incompatibel met virtuele machineprogramma’s zoals VirtualBox of VMware. Slechts één applicatie kan deze hardware tegelijk gebruiken.
Mogelijk ziet u een bericht dat Intel VT-X of AMD-V niet is ingeschakeld of beschikbaar is als u een virtueel machineprogramma installeert op een systeem waarop geheugenintegriteit is ingeschakeld. In VirtualBox ziet u mogelijk de foutmelding “Raw-mode is niet beschikbaar dankzij Hyper-V” terwijl Memory Protection is ingeschakeld.
Hoe dan ook, als u een probleem ondervindt met uw virtuele machinesoftware, moet u de geheugenintegriteit uitschakelen om deze te gebruiken.
Waarom is het standaard uitgeschakeld?
De belangrijkste Core Isolation-functie zou geen problemen moeten veroorzaken. Het is ingeschakeld op alle Windows 10-pc’s die het kunnen ondersteunen, en er is geen interface om het uit te schakelen.
Geheugenintegriteitsbescherming kan echter problemen veroorzaken met sommige apparaatstuurprogramma’s of andere Windows-toepassingen op laag niveau, en daarom wordt deze standaard uitgeschakeld bij upgrades. Microsoft dringt er nog steeds op aan dat ontwikkelaars en apparaatfabrikanten hun stuurprogramma’s en software compatibel maken, daarom is dit standaard ingeschakeld op nieuwe pc’s en nieuwe installaties van Windows 10.
Als een van de stuurprogramma’s die uw pc nodig heeft om op te starten, niet compatibel is met Geheugenbeveiliging, schakelt Windows 10 Geheugenbeveiliging stil uit om ervoor te zorgen dat uw pc kan opstarten en correct werkt. Dus als u probeert het in te schakelen en alleen opnieuw op te starten om te ontdekken dat het nog steeds is uitgeschakeld, is dat waarom.
Als u problemen ondervindt met andere apparaten of slecht werkende software nadat u geheugenbescherming hebt ingeschakeld, raadt Microsoft aan om te controleren op updates met de specifieke toepassing of het specifieke stuurprogramma. Schakel Geheugenbeveiliging uit als er geen updates beschikbaar zijn.
Zoals we hierboven vermeldden, zal Memory Integrity ook incompatibel zijn met sommige applicaties die exclusieve toegang tot de virtualisatiehardware van het systeem vereisen, zoals virtuele machineprogramma’s. Andere tools, waaronder enkele debuggers, vereisen ook exclusieve toegang tot deze hardware en werken niet als Memory Integrity is ingeschakeld.
Hoe Core Isolation Memory Integrity in te schakelen
U kunt zien of op uw pc Core Isolation-functies zijn ingeschakeld en u kunt Geheugenbescherming in- of uitschakelen vanuit de Windows Defender Security Center-toepassing. (Deze tool krijgt de nieuwe naam ‘Windows-beveiliging’ als onderdeel van de update van oktober 2018.)
Om het te openen, zoekt u naar “Windows Defender-beveiligingscentrum” in uw Start-menu of gaat u naar Instellingen> Update en beveiliging> Windows-beveiliging> Open Windows Defender-beveiligingscentrum.
Klik op het pictogram “Apparaatbeveiliging” in het Beveiligingscentrum.
Als Core Isolation is ingeschakeld op de hardware van uw pc, ziet u hier het bericht “Op virtualisatie gebaseerde beveiliging wordt uitgevoerd om de kernonderdelen van uw apparaat te beschermen”.
Om geheugenbescherming in of uit te schakelen, klikt u op de link “Core Isolation Details”.
Dit scherm laat zien of geheugenintegriteit is ingeschakeld of niet. Dat is voorlopig de enige optie hier.
Zet de schakelaar op “Aan” om Geheugenintegriteit in te schakelen. Als u applicatie- of apparaatproblemen ondervindt en de geheugenintegriteit moet uitschakelen, keer dan hier terug en zet de schakelaar op “Uit”.
U wordt gevraagd uw computer opnieuw op te starten en de wijziging wordt pas van kracht als u dat eenmaal hebt gedaan.
Meer Windows Defender Exploit Guard-functies
Kernisolatie en geheugenintegriteit zijn enkele van de vele nieuwe beveiligingsfuncties die Microsoft heeft toegevoegd als onderdeel van Windows Defender Exploit Guard. Dit is een verzameling functies die zijn ontworpen om Windows te beveiligen tegen aanvallen.
Exploit-bescherming, die uw besturingssysteem en applicaties beschermt tegen vele soorten exploits, is standaard ingeschakeld. Dit vervangt de oude EMET-tool van Microsoft en bevat anti-exploit-functies waarvoor we eerder hebben aanbevolen Malware Anti-Exploit te installeren. Alle Windows 10-gebruikers hebben nu bescherming tegen misbruik.
Er is ook gecontroleerde toegang tot mappen, die uw bestanden beschermt tegen ransomware. Het is niet standaard ingeschakeld omdat het enige configuratie vereist. Als u deze functie inschakelt, moet u applicaties toegang verlenen voordat ze toegang hebben tot bestanden in uw persoonlijke bestandsmappen.
VERWANT: Hoe de nieuwe exploitbeveiliging van Windows Defender werkt (en hoe deze te configureren)
Voortaan wordt geheugenintegriteit standaard ingeschakeld op alle nieuwe pc’s, wat extra bescherming biedt tegen aanvallen. Alleen geavanceerde gebruikers die virtuele machinesoftware en andere tools gebruiken die toegang tot de hardware voor systeemvirtualisatie nodig hebben, zullen deze moeten uitschakelen.