在过去的几年中,网络攻击不断发展。除非您愿意付钱给他们,否则恶意黑客现在可以控制您的 PC 并锁定文件。勒索软件是这些攻击的术语,它利用内核级漏洞尝试以最高权限运行恶意软件,例如 WannaCry 和 Petya 勒索软件。
为了解决这个问题,Microsoft 发布了一个工具,让您可以打开核心隔离和内存完整性来阻止这些类型的攻击以减轻它们。
注意:核心隔离将内存中的核心程序隔离开来,使其免受恶意应用程序的侵害。它通过在虚拟化环境中执行这些基本操作来实现这一点。
内存完整性,有时称为受管理程序保护的代码完整性 (HVCI),是一种 Windows 安全功能,可使恶意软件更难以通过低级驱动程序控制您的计算机。它旨在阻止恶意代码在攻击期间被插入到高安全性进程中。
此功能在Windows Defender 安全中心可用。设备安全提供对设备固有安全功能的管理,包括启用功能以提供增强保护的能力。
一、符合要求
此安全功能有一些要求。硬件也必须支持它;它不能仅在软件级别运行。您的固件需要处理虚拟化,使 Windows 11/10 PC 能够在容器中执行应用程序,而无需授予它们访问其他系统组件的权限。
此外,您的设备必须符合硬件安全标准,包括:
- UEFI MAT(统一可扩展固件接口内存内存属性表)
- 需要启用安全启动。
- DEP(数据执行保护)
- 需要启用 TPM 2.0。
- 需要启用 CPU 虚拟化。
如果您的系统配置相当新(不到 7 年),则应该支持 UEFI MAT和DEP 。
但是,在我们探索可让您在 Windows 11 计算机上启用核心隔离和内存完整性的可用选项之前,您需要确保已启用 CPU 虚拟化、TPM 2.0 和安全启动。
1.1. 启用 CPU 虚拟化
所有现代 AMD 和 Intel CPU 都具有称为 CPU 虚拟化的硬件功能,使单个处理器能够像多个独立的 CPU 一样运行。这使得 Windows 可以更有效地使用计算机的 CPU 能力,从而提高性能。
注意:此功能对于许多虚拟机程序(如“Hyper-V”)也是必需的,并且必须启用它们才能正常运行,甚至根本无法运行。
由于 CPU 虚拟化,您的计算机还能够模仿不同的操作系统,例如 Linux 或 Android。启用虚拟化后,您可以访问更多程序以在您的 PC 上使用和安装。
在我们的特定案例中,需要 CPU 隔离来促进核心隔离内存完整性功能在 Windows 11 上的平稳运行。
请按照以下说明获取有关如何在系统上启用 CPU 虚拟化的具体说明:
- 启动 PC,当您看到初始屏幕时,按专用键进入 UEFI BIOS 设置。它应该显示在屏幕上。
注意:如果您没有看到 POST 屏幕,或者它滚动得太快而您无法查看,请查看制造商的网站以获取更多说明。您可能需要阅读手册或访问制造商的网站以获得准确的说明,因为您按下的键取决于制造商。Esc、Delete、F1、F2、F10、F11 或 F12是常用键。音量增大和音量减小按钮在平板电脑上很常见。 - 进入UEFI 设置后,单击“高级”选项卡,然后从可用的子设置中 单击“CPU 配置” 。
- 根据您使用的是 Intel 还是AMD CPU,执行以下步骤之一:
- 如果您有AMD CPU,请从高级设置菜单中启用SVM 模式。
- 如果您有Intel CPU,请启用Intel (VMX) 虚拟化技术。
- 强制执行此更改后,点击或单击“退出”选项卡,然后保存您的更改并让您的 PC 正常启动。
- 在您的 PC 重新启动后,向下移动到下面的下一步以启用安全启动。
1.2. 启用安全启动
内存核心隔离将需要一台支持安全启动的计算机,正如我们在上面所演示的那样。
但是,有时某些功能受支持但被 BIOS 或 UEFI 设置禁用。在这些情况下, PC 健康检查等工具可能无法区分支持和禁用的功能。
为确保计算机仅运行原始设备制造商批准的软件, PC 行业中最大的公司已同意一项称为安全启动 (OEM) 的行业标准。
如果您的主板是相对较新的,则很有可能已经在您的主板上支持安全启动。在这种情况下,您需要做的就是打开 BIOS 设置。
以下是在 Windows 11 计算机上启用安全启动所需执行的操作:
- 照常打开计算机,并在整个启动过程中多次按设置(启动)键。通常,您可以将它放在屏幕底部的任何位置。
注意:完成此操作的具体步骤因主板制造商而异。您的设置键(BIOS 键)通常是以下键之一:F1、F2、F4、F8、F12、Esc 或 Del。
重要提示:如果您的 PC 默认使用 UEFI,则强制机器进入恢复菜单,在初始登录屏幕上按下Restart按钮的同时按住SHIFT键。然后可以通过选择故障排除 > 高级选项 > UEFI 固件设置来访问 UEFI 菜单。 - 进入BIOS或UEFI菜单后,寻找安全启动选项并将其打开。
注意:根据您的主板制造商,实际名称和位置会发生变化。通常,您可以在“安全”选项卡下找到它。 - 打开安全启动后,保存您的修改并像往常一样重新启动计算机。
- 在您的计算机重新启动后,向下移动到下面的下一个方法以确保启用 TPM 2.0。
1.3. 启用可信平台模块 2.0
对 TPM 2.0 的支持是 Windows 11 中内存核心分离的独特要求之一。在您的情况下,如果禁用 TPM 2.0,则以下情况之一适用:
- TPM(可信平台模块)您的硬件不支持 2.0。
- 您计算机上的 BIOS 或 UEFI 设置已禁用 TPM 2.0。
执行以下操作以查看您的系统是否支持 TPM 以及它是打开还是关闭:
- 要调出“运行”对话框,请按Windows 键 + R。之后,在文本字段中输入“tpm.msc”并按Enter以启动 Windows 11 的可信平台模块 (TPM)管理窗格。
- 进入 TPM 模块后,从TPM菜单的右侧区域中选择 Status。
• 如果TPM 状态显示“ TPM 已准备好使用”,则TPM 2.0 已激活,无需进一步操作。
• 如果TPM 状态显示“ TPM 不受支持”,则您的主板与该技术不兼容。在这种情况下,您将无法安装 Windows 11。
• 如果消息“找不到兼容的TPM ”出现在TPM 状态旁边,表示TPM 受支持但未在您的BIOS 或UEFI 设置中激活。
如果消息显示为“找不到兼容的 TPM ”,请按照以下说明在您的 BIOS 或 UEFI 设置中启用 TPM 2.0:
- 一旦您在 PC 上看到第一个屏幕(或者如果它已经打开则重新启动它),请单击设置键(BIOS 键)。
注意:启动键通常在屏幕的左下角或右下角区域可见。 - 当您在BIOS主菜单中时,从顶部功能区栏上的选项列表中选择安全选项卡。
- 找到 Trusted Platform Module 的项目后,确保将其设置为Enabled。
信息:您的主板制造商将确定此安全功能的精确位置。例如,您可以在 Intel 硬件上找到此选项作为Intel Platform Trust Technology。 - 确保启用 TPM 后,通常启动您的计算机并继续执行之后的部分以在 Windows 11 上启用核心隔离功能。
2. 在 Windows 11 上启用核心隔离和内存完整性
现在所有要求都已满足,是时候探索所有可用的方法,这些方法将允许您在 Windows 11 上启用核心隔离和内存完整性。
重要提示:要激活或停用核心隔离内存完整性,您必须以管理员身份登录。此外,必须启用 CPU 虚拟化以实现核心隔离内存完整性。
在 Windows 11 上启用核心隔离和内存完整性时,实际上有两种不同的方法可以让您做到这一点:
- 从 Windows 安全启用核心隔离内存完整性。
- 通过注册表编辑器启用核心隔离内存完整性。
这两种方法都可以让您实现相同的目标,但实现目标的方式不同。如果您更喜欢使用 Windows 11 GUI,请选择第一个选项。另一方面,如果您习惯使用注册表编辑器,请选择第二个选项。
2.1. 通过 Windows 安全启用核心隔离内存完整性
在 Windows 11 中,这种方法可以说是打开或关闭基于虚拟化的安全性的最简单方法。换句话说,你必须激活核心隔离。
为此,您需要访问 Device Security 菜单(位于 Windows Security 下)并从专用的 Core isolation details 选项启用内存完整性功能。
注意:我们的建议是在按照以下说明操作之前花时间安装任何待处理的 Windows 更新(累积更新、功能更新和安全更新)。
以下是完成此操作需要执行的操作:
- 按Windows 键 + R打开“运行”对话框。接下来,在运行对话框中键入“windowsdefender:” ,然后按Ctrl + Shift + Enter打开具有管理员权限的 Windows Defender屏幕。
- 用户帐户控制 (UAC)提示您后,点击“是”以授予管理员访问权限。
- 进入“Windows 安全”选项卡后,单击与“设备安全”相关联的“转到设置”按钮。
- 在下一个屏幕中,单击核心隔离详细信息(在核心隔离下)。
- 进入核心隔离设置后,进入内存完整性并启用相关的切换。
注意:如果内存完整性无法打开,您会被告知您已经有一个不兼容的设备驱动程序。联系设备制造商,了解他们是否有更新的驱动程序。如果没有合适的可用驱动程序,您可以卸载使用不兼容驱动程序的设备或程序。否则,您可以删除任何不兼容的驱动程序。注意 2:如果您在打开内存完整性后尝试安装具有不兼容驱动程序的设备,可能会出现类似的错误。如果是这样,同样的建议仍然适用:要么等到合适的驱动程序发布,要么与设备制造商联系,看看他们是否有可以下载的更新驱动程序。 - 在用户帐户控制 (UAC) 中,单击是以授予管理员访问权限。
- 重新启动您的 PC,看看问题现在是否已解决。
2.1. 通过注册表编辑器启用核心隔离内存完整性
如果您习惯于使用注册表编辑器来完成工作,您还可以选择通过修改 Windows 11 注册表来启用核心隔离内存完整性。
此方法涉及在场景下创建一个名为HypervisorEnforcedCodeIntegrity 的新注册表值,并在重新启动 PC 之前将值数据设置为。
注意:我们的建议是在按照以下说明操作之前花时间提前备份您的注册表数据。如果在此过程中出现问题,这将允许您快速恢复这些更改。
按照以下说明通过注册表编辑器启用核心隔离内存完整性:
- 按Windows 键 + R打开“运行”对话框。
- 接下来,键入“regedit”并按Ctrl + Shift + Enter打开具有管理员权限的注册表编辑器。
- 如果用户帐户控制提示您,请单击“是”以授予管理员访问权限。
- 最终进入注册表编辑器后,使用左侧的菜单导航至以下位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios
注意:您可以手动导航到此位置,也可以将上面的路径直接粘贴到导航栏(顶部)中,然后按 Enter 立即到达那里。
- 到达正确位置后,右键单击Scenarios键并从刚刚出现的上下文菜单中 选择新建 > 键。
- 将新创建的密钥精确命名为HypervisorEnforcedCodeIntegrity 并保存更改。
- 一旦创建了HypervisorEnforcedCodeIntegrity 密钥,下一步就是创建将实际启用此功能的 DWORD。为此,请右键单击新创建的HypervisorEnforcedCodeIntegrity 项并选择新建 > DWORD(32 位) 值。
- 创建新的DWORD 键后,将其命名为Enabled。
- 双击新创建的Enabled Dword,将Base设置为Hexadecimal,将Value 数据设置为1,然后单击Ok保存更改。
- 关闭注册表编辑器并重新启动您的 PC 以使更改生效。
本站所有文章资讯、展示的图片素材等内容均为注册用户上传(部分报媒/平媒内容转载自网络合作媒体),仅供学习参考。 用户通过本站上传、发布的任何内容的知识产权归属用户或原始著作权人所有。如有侵犯您的版权,请联系我们反馈本站将在三个工作日内改正。