Windows Defenderカーネルの分離とメモリの整合性

過去数年間で、サイバー攻撃は変化しました。ハッカーはあなたのコンピュータを乗っ取り、お金を払う気がないならあなたのファイルをブロックすることができます。これらのタイプの攻撃はランサムウェアと呼ばれ、カーネルレベルのエクスプロイトを使用して、WannaCryやPetyaランサムウェアなどの最高の権限でマルウェアを起動しようとします。これらのタイプの攻撃を軽減するために、マイクロソフトはコア分離メモリの整合性  を有効にしてこのような攻撃を防ぐ機能を導入しました  。

カーネルの分離  -オペレーティングシステムとデバイスからコンピュータープロセスを分離することにより、マルウェアやその他の攻撃に対する追加の保護を提供します。

メモリの整合性 -カーネル分離機能により、攻撃の際に悪意のあるコードが高セキュリティプロセスにアクセスするのを防ぐことができます。

Windows Defenderセキュリティセンターでは、この機能であるデバイスセキュリティを提供しています強化されたセキュリティを提供する機能を有効にするなど、デバイス組み込まれた  セキュリティ機能のステータスレポートと管理を提供します。ただし、プログラムでは機能しません。ハードウェアもそれをサポートする必要があります。ファームウェアは 、Windows 10 PCがシステムの他の部分にアクセスしないようにコンテナー内でアプリケーションを実行できる仮想化テクノロジーをサポートする必要   があります。

Defenderコアの分離とメモリの整合性を有効にする

重要: デバイスのセキュリティ設定で使用できるオプションは、ハードウェア構成によって異なります。私の場合、標準のハードウェアセキュリティはサポートされていないため、OSは仮想化ベースのセキュリティを使用しています。BIOSで「セーフブート」機能を有効にして、カーネル隔離機能を有効にできるようになりました。

ハードウェア要件

デバイスが標準のハードウェアセキュリティ要件を満たしている

これは、デバイスがメモリの整合性とカーネルの分離を維持し、次の機能も備えていることを意味します。

  • TPM 2.0(セキュリティプロセッサとも呼ばれる)
  • セキュアブートが有効
  • DEP
  • UEFI

デバイスが高度なハードウェアセキュリティ要件を満たしている

  • つまり、すべての標準ハードウェアセキュリティ要件に加えて、デバイスにはオンボードメモリも搭載されています。

標準のハードウェアセキュリティはサポートされていません

  • これは、デバイスが標準のハードウェアセキュリティ要件の少なくとも1つを満たしていないことを意味します。
  • 管理者としてログインし、Windows Defender セキュリティセンターを開いて、デバイスセキュリティオプションを探します。

Windows Defenderデバイスのセキュリティ

  • 次に、「カーネル分離情報」という単語をクリックし、「メモリの整合性」列でスライダーをオンにドラッグします。有効にすると、メモリの整合性を完全に有効にするためにコンピュータを再起動するように求められます。後でアプリケーションの互換性の問題が発生した場合は、これを無効にする必要がある場合があります。

メモリ整合性ディフェンダーウィンドウ10

ただし、PCハードウェアによっては、さらに2つのオプションが利用できる場合があります。

  1. セキュリティプロセッサ  は、PCで利用可能なTPMがある場合にのみ表示されます。これらは、OEMコンピュータのマザーボードにはんだ付けされたディスクリートチップです。TPMを最大限に活用するには、OEMはシステムのハードウェアとファームウェアをTPMと慎重に統合して、コマンドを送信し、その応答に応答する必要があります。新しいTPMは、システムハードウェア自体にセキュリティとプライバシーの利点を提供することもできます。したがって、新しいコンピュータを購入する場合は、必ずこれらすべてを確認してください。
  2. セーフブート(Secure the Boot)  は、OSをロードする前に悪意のあるコードを防ぎます。

スライダーを有効にしていて、「メモリの整合性を保証できません。互換性がない可能性があります」というエラーが表示される場合は、BIOSのセキュアブート機能、つまりブートモードを有効にします。つまり、「BIOSのセキュアブート」を有効にする必要があります。

メモリの整合性を保証できません。 非互換性の可能性

Defenderでメモリの整合性とカーネル分離を無効にする

記事を少し編集することにしました。実際には、カーネル機能は有効になっていますが、無効に戻すことはできません。どういうわけか、PointBlankゲームをインストールすることに決め、エラー1073が発生しました。カーネル分離が有効になっていて、Frostがアクセスできなかったことを思い出すまで、約1時間問題を探していました。それから私は質問をしました、なぜ地獄は「fogame」が私のカーネルにアクセスする必要があるのですか?私はゲームを一般に削除し、永遠に自分のために4gameをブラックリストに載せました。一般に、Windows 10 Defenderで「カーネル分離」機能が有効になっている場合、4game.ru(fogame)の単一のゲームは開始されません。有効になっている場合は、メモリの整合性を無効にする方法を分析します。

方法1。BIOS セキュアブート機能を有効に  している場合は、BIOS 移動して無効にします。BIOS、UEFIにはさまざまなバージョンがあります。その方法については説明しませんが、アドバイスを提供します。「BIOSでセキュアブートを無効にする(マザーボードの製造元を指定することもできます)」という検索で単語を入力して画像をクリックするだけで、画像が表示されます。BIOSでこの機能を無効にすると、Windows 10 Defenderに移動するとスライダーがアクティブになり、カーネルの分離とメモリの整合性をオフにできます。

方法2。次の方法は、レジストリのパラメータを編集することです。レジストリエディターを開き、次のパスに移動します。

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ DeviceGuard \ Scenarios \ HypervisorEnforcedCodeIntegrity

  • 右側で、[ 有効 ]パラメータをダブルクリックし、値を0に設定します。コンピューターを再起動し、Windows Defenderを開いてスライダーをアクティブにし、メモリの整合性とカーネルの分離を無効にします。

Windows 10 Defenderでメモリの整合性とカーネル分離を無効にする