Защита ядра DMA (защита доступа к памяти) для изготовителей оборудования
Защита DMA ядра (также известная как защита доступа к памяти) — это функция компьютера с Windows 10 защищенными ядрами, которая поддерживается на платформах Intel и AMD, начиная с Windows 10 версии 1803 и Windows 10, версия 1809.
С помощью этой функции ОС и встроенное ПО системы защищают систему от вредоносных и непреднамеренных атак с прямым доступом к памяти (DMA) для всех устройств с поддержкой DMA:
- Во время процесса загрузки.
- Защита от вредоносных DMA устройствами, подключенными к легкодоступным внешним/портам с поддержкой DMA, таким как слоты PCIe M.2 и Thunderbolt™3, во время выполнения ОС.
- Встроенное ПО системы должно защищаться от атак DMA перед загрузкой, реализовав изоляцию DMA всех буферов ввода-вывода устройств с поддержкой DMA до ExitBootServices().
- Встроенное ПО системы должно отключить бит включения шины (BME) для всех корневых портов PCI, которые не имеют дочерних устройств, необходимых для выполнения DMA между ExitBootServices() и драйвером устройства, запускаемым ОС.
- В ExitBootServices() IOMMU должен быть восстановлен с помощью встроенного ПО системы в состояние включено.
- Никакие устройства не могут выполнять DMA за пределами регионов RMRR (Intel) или блоков IVMD (AMD) после ExitBootServices() до тех пор, пока соответствующие драйверы ОС устройств не будут загружены и запущены PnP.
- Выполнение DMA за пределами регионов RMRR или блоков IVMD после ExitBootServices() и до запуска драйвера устройства операционной системой приведет к сбою IOMMU и потенциально системной ошибке проверка (0xE6).
- Встроенное ПО системы должно установить соответствующие флаги в таблицах ACPI, чтобы включить защиту DMA ядра в ОС:
- Для платформ Intel встроенное ПО системы должно задать значение «DMA_CTRL_PLATFORM_OPT_IN_FLAG» в поле флагов таблицы DMAR (технология Виртуализации Intel для спецификации прямого ввода-вывода, ред. 2.5, раздел 8.1).
- Для платформ AMD встроенное ПО системы должно задать бит «Поддержка повторного сопоставления DMA» в поле IVRS IVinfo (спецификация AMD IOMMU ред. 3.05, раздел 5.2.1).
- Идентификация внешних корневых портов PCIe.
- Определение внутренних портов PCIe, доступных пользователям и требующих защиты DMA.
- При каждой загрузке, когда IOMMU (VT-D или AMD-Vi) или защита DMA ядра отключены, будут отключены или настроены на более низкое состояние безопасности, платформа ДОЛЖНА расширить событие EV_EFI_ACTION в PCR[7] перед включением DMA.
- Строка события должна иметь значение «Защита DMA Disabled». Встроенное ПО платформы ДОЛЖНО записывать это измерение в журнал событий, используя строку «Защита DMA Disabled» для данных события.
Проверка состояния защиты DMA ядра в системе Windows 10
Состояние защиты DMA ядра можно проверить в заданной системе с помощью любого из следующих методов.
- Использование приложения Сведений о системе:
- Запустите MSINFO32.exe.
- Проверьте поле «Защита DMA ядра» на странице «Сводка системы».
- Использование Безопасность Windows приложения:
- Запустите Безопасность Windows приложение из меню «Пуск» Windows.
- Щелкните значок «Безопасность устройства».
- Щелкните «Сведения об изоляции ядра».
- «Защита доступа к памяти» будет указана в качестве доступной функции безопасности, если она включена.
- Если параметр «Защита доступа к памяти» отсутствует в списке, эта функция не включена в системе.
Защита устройства в разделе «Безопасность Windows»
Приложение «Безопасность Windows» предоставляет встроенные функции безопасности, чтобы защитить ваше устройство от атак вредоносных программ.
Чтобы получить доступ к описанным ниже функциям, нажмите в Windows кнопку Пуск, введите текст безопасность windows, выберите это приложение в списке результатов, затем выберите Безопасность устройства.
Примечания: Элементы, отображаемые на странице Безопасность устройства, зависят от того, что поддерживается вашим оборудованием.
- Дополнительные сведения о системе «Безопасность Windows» см. в разделе Защита с помощью панели «Безопасность Windows».
- Для получения дополнительной информации о брандмауэре Microsoft Defender см. раздел Включение и отключение брандмауэра Защитника Windows.
- Инструкции по работе с паролем см. в разделе Изменение или сброс пароля для Windows.
Изоляция ядра
Изоляция ядра обеспечивает дополнительную защиту от вредоносных программ и других атак, изолируя процессы компьютера от операционной системы и устройства. Выберите ссылку Сведения об изоляции ядра, чтобы включить, отключить или изменить параметры изоляции ядра.
Целостность памяти
Целостность памяти — это функция изоляции ядра. Включив параметр Целостность памяти, вы сможете запретить вредоносному коду доступ к процессам с высоким уровнем безопасности в случае атаки.
Дополнительные сведения об изоляции ядра и целостности памяти см. в статье Изоляция ядра.
Обработчик безопасности
Обработчик безопасности реализует дополнительное шифрование для вашего устройства.
Сведения об обработчике безопасности
Здесь вы найдете сведения о производителе и номерах версий обработчика безопасности, а также информацию о состоянии обработчика безопасности. Выберите ссылку Устранение неполадок обработчика безопасности для получения дополнительных сведений и параметров.
Примечание. Если на этом экране не отображается запись «Обработчик безопасности», скорее всего, у вашего устройства нет необходимого оборудования TPM (доверенный платформенный модуль) для этой функции или оно не включено в UEFI (единый интерфейс EFI). Обратитесь к производителю устройства, чтобы узнать, поддерживает ли ваше устройство TPM (доверенный платформенный модуль), и, если да, то как включить его.
Если обработчик безопасности работает неправильно, перейдите по ссылке Устранение неполадок обработчика безопасности, чтобы увидеть сообщения об ошибках и получить доступ к расширенным параметрам. Дополнительные сведения см. в следующем разделе: Устранение неполадок обработчика безопасности.
Безопасная загрузка
Безопасная загрузка предотвращает загрузку сложного и опасного типа вредоносных программ, rootkit, при запуске устройства. Пакеты программ rootkit используют такие же разрешения, как и операционная система, и запускаются раньше нее, что позволяет им полностью скрыть себя. Зачастую программы rootkit входят в набор вредоносных программ, которые могут обходить процедуры входа, записывать пароли и нажатые клавиши, перемещать конфиденциальные файлы и получать криптографические данные.
Может потребоваться отключить безопасную загрузку для работы некоторых графических плат, оборудования или операционных систем ПК, например Linux или предыдущих версий Windows. Дополнительные сведения см. в разделе Отключение и повторное включение безопасной загрузки.
Аппаратные возможности обеспечения безопасности
В нижней части экрана «Безопасность устройства» отображается одно из следующих сообщений с указанием возможностей защиты вашего устройства.
Устройство соответствует требованиям для стандартной безопасности оборудования
Это означает, что устройство поддерживает целостности памяти и изоляцию ядра, а также:
- TPM 2.0 (или обработчик безопасности);
- включена безопасная загрузка;
- DEP;
- UEFI MAT.
Устройство соответствует требованиям для усиленной безопасности оборудования
Это означает, что в дополнение к стандартным требованиям к безопасности оборудования, на устройстве также включена функция целостности памяти.
На вашем устройстве включены все функции защищенного компьютера
Примечание: До Windows 20H2 в этом сообщении говорилось: «Ваше устройство превышает требования к усиленной аппаратной безопасности».
Это означает, что в дополнение к обеспечению соответствия требованиям к усиленной безопасности оборудования, на устройстве также включена функция защиты режима управления системой (SMM).
Стандартная безопасность оборудования не поддерживается
Это означает, что устройство не соответствует по крайней мере одному из стандартных требований к безопасности оборудования.
Улучшенная аппаратная безопасность
Если уровень системы безопасности устройства вас не устраивает, может потребоваться включить определенные аппаратные функции (такие как безопасная загрузка, если она поддерживается) или изменить параметры в BIOS вашей системы. Обратитесь к изготовителю оборудования, чтобы узнать, какие функции поддерживаются вашим оборудованием и как их активировать.
Как отключить изоляцию ядра в Windows 11 и Windows 10
Изоляция ядра — одна из функций защиты устройства Windows на основе виртуализации (Hypervisor-protected Code Integrity или HVCI), изолирующая сторонние процессы от процессов Windows, призванная повысить защиту от угроз, направленных на ядро Windows. Несмотря на пользу, в некоторых случаях её отключение может повысить производительность системы в играх и сторонних приложениях.
В этой пошаговой инструкции подробно о способах отключить изоляцию ядра в Windows 11 и Windows 10, а также дополнительная информация на тему, которая может оказаться полезной.
Отключение изоляции ядра в «Безопасность Windows»
Базовый способ — использование соответствующей настройки в окне «Безопасность Windows». Шаги для отключения изоляции ядра будут следующими:
- Откройте окно «Безопасность Windows», используя значок в области уведомлений или поиск в панели задач.
- В открывшемся окне «Безопасность Windows» перейдите в раздел «Безопасность устройства».
- В пункте «Изоляция ядра» нажмите «Сведения об изоляции ядра».
- Отключите пункты «Целостность памяти». При появлении запроса контроля учетных записей подтвердите действие.
- В случае, если отключение производится из-за невозможности работы какого-либо драйвера, также отключите пункт «Список заблокированных уязвимых драйверов».
- Появится уведомление о необходимости перезагрузки. Перезагрузите компьютер для применения сделанных настроек.
В результате изоляция ядра и основная её составляющая — «Целостность памяти» будут отключены.
Примечание: открыть «Безопасность Windows» вы можете через «Параметры»:
- В Windows 11 — Параметры — Конфиденциальность и защита — Безопасность Windows
- В Windows 10 — Параметры — Обновление и безопасность — Безопасность Windows
Отключение в редакторе реестра
Вы можете полностью отключить функции изоляции ядра HVCI, используя редактор реестра. Для этого:
- Нажмите правой кнопкой мыши по кнопке «Пуск», выберите пункт «Выполнить», введите regedit и нажмите Enter.
- Перейдите к разделу реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity
При отсутствии такого раздела, создайте его.
- В правой панели редактора реестра дважды нажмите по параметру DWORD с именем «Enabled» и измените его значение на 0.
- Примените настройки и перезагрузите компьютер.
В результате изоляция ядра и сопутствующие функции HVCI будут отключены на компьютере.
Вместо ручного редактирования реестра вы можете создать reg-файл со следующим содержимым:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity] "Enabled"=dword:00000000
Либо использовать команду в командной строке, запущенной от имени Администратора:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 0 /f
Настройка HVCI в редакторе локальной групповой политики
Если на вашем компьютере установлена Windows 11/10 Pro или Enterprise, вы можете использовать редактор локальной групповой политики для отключения изоляции ядра и других функций HVCI:
- Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter.
- Перейдите в раздел Конфигурация компьютера — Административные шаблоны — Система — Device Guard.
- Дважды нажмите по политике «Включить средство обеспечения безопасности на основе виртуализации».
- Установите значение «Отключено».
- Примените настройки и перезагрузите компьютер.
В результате функции изоляции ядра Windows будут полностью отключены.
Проверка статуса изоляции ядра
Проверить текущий статус функций безопасности на основе виртуализации можно с помощью команды PowerShell (Терминала Windows):
Get-CimInstance -ClassName Win32_DeviceGuard –Namespace root\Microsoft\Windows\DeviceGuard
На скриншоте видно, что все функции HVCI отключены (SecurityServicesRunning и VirtualisationBasedSecurityStatus равны 0).
Еще один способ проверить, включена ли изоляция ядра — в редакторе реестра открыть раздел
HKLM\System\CurrentControlSet\Control\CI\State
Если раздел отсутствует или параметр HVCIEnabled в нём равен 0, изоляция ядра отключена. При значении HVCIEnabled равном 1 — включена.
Дополнительная информация
После отключения изоляции ядра безопасность Windows будет сигнализировать о проблемах в части «Безопасность устройства», а на значке в области уведомлений будет отображаться восклицательный знак. Чтобы этого не происходило, зайдите в раздел «Безопасность устройства» и нажмите «Закрыть» или «Закрыть все».
Учитывайте, что не на всех устройствах изоляция ядра включена по умолчанию. Если она отключена, чаще всего причина — в неподдерживаемых драйверах устройств, список которых будет отображаться в «Безопасность Windows». Вторая возможная причина — отсутствие необходимых для работы HVCI функций виртуализации.
А вдруг и это будет интересно:
- Лучшие бесплатные программы для Windows
- Как разрешить обычному пользователю запускать программу от имени Администратора без ввода пароля
- Как выйти из полноэкранного режима в Windows
- Как включить компактный вид панели быстрых настроек Windows 11
- Шрифты в интерфейсе Chrome стали более жирными и размытыми — как исправить?
- Msftconnecttest.com — что это и как исправить возможные ошибки
- Windows 11
- Windows 10
- Android
- Загрузочная флешка
- Лечение вирусов
- Восстановление данных
- Установка с флешки
- Настройка роутера
- Всё про Windows
- В контакте
- Одноклассники
-
Yehejo 25.02.2023 в 10:23
- Dmitry 25.02.2023 в 12:01
Как включить защиту DMA ядра,безопасность на основе виртуализации?
в сведениях о системе указано,что отключена защита ядра,безопасность на основе виртуализации,включен Hyper-V.
в биос включил виртуализацию по совету из интерета для того,чтобы якобы включить защиту ядра. сведения о системе по прежнему показывают,что защита отключена.
Hyper-V в биос отключен, а в системе мной отключены все службы,которые с ним связаны (но в сведениях о системе всё равно указано,что они включены)
Изоляцию ядра включить через *обновления и безопасность — безопасность устройства — изоляция ядра — включить — перезагрузить систему* НЕ ПОЛУЧАЕТСЯ. При перезагрузке выскакивает ошибка на голубом экране,система перезагружается и изоляция ядра остаётся выключенной
- Вопрос задан более двух лет назад
- 1988 просмотров