Windows 11 поставляется со множеством функций безопасности, помогающих предотвратить серьезные проблемы на вашем ПК. Эти функции включают Secure Boot и, конечно же, Microsoft Defender, но есть еще одна, с которой вы, возможно, не слишком знакомы: изоляция ядра.
Вы могли видеть, что изоляция ядра упоминается в Windows раньше, но что именно она делает? Стоит ли держать ее включенной на вашем ПК? Короткий ответ — да, но давайте подробнее рассмотрим, почему.
Что делает изоляция ядра?
Он защищает основные системы от несанкционированного доступа.
Большинство пользователей, вероятно, знают об изоляции ядра начиная с Windows 10. Эта функция стала доступна для всех редакций Windows 10, начиная с версии 1803, еще в 2018 году, и с тех пор она существует. До этого эта функция была доступна только в редакциях Enterprise Windows 10.
Изоляция ядра использует то, что называется безопасностью на основе виртуализации, или VBS, чтобы помочь защитить ваш компьютер от угроз. По сути, VBS и изоляция ядра делают так, что жизненно важные системные и защитные процессы выполняются в виртуализированной среде, которая изолирована от остальной части системы. В некотором смысле, можно сказать, что эти процессы выполняются в виртуальной машине. Изолируя эти процессы с помощью уровня виртуализации, Windows может защитить их от вредоносного стороннего программного обеспечения, которое может угрожать их вмешательством.
Даже если ваш компьютер заражен вредоносным ПО, эти важные процессы остаются вне досягаемости, чтобы их нельзя было скомпрометировать. Это делает изоляцию ядра чрезвычайно важной функцией для безопасности, поэтому она включена по умолчанию, и у вас даже нет возможности полностью ее отключить.
Изоляция ядра требует специального оборудования, но любой ПК с Windows 11 должен иметь необходимые компоненты, включая поддержку TPM 2.0 и включение Secure Boot в BIOS. Однако некоторые машины с Windows 10 могут не соответствовать требованиям.
Что такое целостность памяти?
Дополнительный уровень защиты
Одной из основных возможностей изоляции ядра в Windows 10 и 11 является целостность памяти, и, как мы уже упоминали выше, ее иногда можно отключить на новых ПК, а также после обновлений. Целостность памяти, также известная как целостность кода, защищенного гипервизором (HVCI), предотвращает внедрение вредоносного кода в процессы с низкоуровневым доступом к ядру Windows, такие как драйверы устройств, что может серьезно скомпрометировать ваш ПК. Изолируя эти процессы, Windows делает их недоступными для злоумышленников.
Опять же, эта функция иногда может быть отключена, но вы можете убедиться, что она включена, открыв приложение Windows Security на вашем ПК и перейдя в раздел Device security, затем Core isolation details. Здесь есть специальный переключатель целостности памяти.
Каковы недостатки изоляции ядра и целостности памяти?
Могут быть проблемы с совместимостью
Одна из причин, по которой целостность памяти часто отключается в Windows 11, связана с совместимостью. Поскольку она опирается на возможности виртуализации Windows, она иногда может конфликтовать с определенными драйверами, которые также пытаются использовать HVCI, хотя разработчикам уже много лет предписано соблюдать новые требования соответствия HVCI. Некоторые старые драйверы могут по-прежнему препятствовать работе целостности памяти, или включение целостности памяти может нарушить определенную функциональность в некоторых драйверах. С большинством современных устройств это не должно быть проблемой, но старые драйверы могут вызывать проблемы.
Целостность памяти также может не работать с определенным программным обеспечением виртуализации для запуска виртуальных машин. Как правило, только одна программа может использовать аппаратное обеспечение виртуализации вашего компьютера в любой момент времени, поэтому целостность памяти блокирует возможность других приложений делать это. Конечно, виртуальные машины обычно могут работать, но без включенной аппаратной виртуализации.
В этих случаях, если вы заметили отсутствие некоторых функций, вам, возможно, придется отключить целостность памяти в настройках изоляции ядра.
У вас должны быть включены изоляция ядра и целостность памяти.
Несмотря на некоторые потенциальные проблемы совместимости, которые могут возникнуть из-за включенной целостности памяти, мы рекомендуем включить эту функцию, если у вас не было особых проблем с ее включением. Любая функция, которая повышает безопасность вашего ПК, может быть только хорошей вещью, особенно когда бывает трудно самостоятельно идентифицировать вредоносное ПО.
