O que é o Core Isolation?
Na versão original do Windows 10, os recursos de segurança baseados na virtualização (VBS) estavam disponíveis apenas nas edições Enterprise do Windows 10 como parte do “Device Guard”. Com a Atualização de abril de 2018, o Core Isolation traz alguns recursos de segurança baseados em virtualização para todos edições do Windows 10.
Alguns recursos de isolamento de núcleo são habilitados por padrão em PCs com Windows 10 que atendem a determinados requisitos de hardware e firmware, incluindo um processador de 64 bits e um chip TPM 2.0. Ele também exige que seu computador suporte a tecnologia de virtualização Intel VT-x ou AMD-V e que ele esteja ativado nas configurações de UEFI do seu PC.
Quando esses recursos são ativados, o Windows usa recursos de virtualização de hardware para criar uma área segura de memória do sistema isolada do sistema operacional normal. O Windows pode executar processos do sistema e software de segurança nessa área segura. Isso evita que processos importantes do sistema operacional sejam adulterados por qualquer coisa que esteja fora da área segura.
Mesmo que um malware esteja sendo executado em seu PC e conheça uma exploração que deve permitir a quebra desses processos do Windows, a segurança baseada em virtualização é uma camada adicional de proteção que os isolará de ataques.
Qual é a integridade da memória?
O recurso conhecido como "Memória Integrada" na interface do Windows 10 também é conhecido como "Integridade de código protegido por hipervisor" (HVCI) na documentação da Microsoft.
A integridade da memória está desabilitada por padrão nos PCs que atualizaram para a Atualização de abril de 2018, mas você pode ativá-la. Será ativado por padrão em novas instalações do Windows 10 daqui para frente.
Esse recurso é um subconjunto do Core Isolation. O Windows normalmente requer assinaturas digitais para drivers de dispositivos e outros códigos que são executados no modo kernel de baixo nível do Windows. Isso garante que eles não tenham sido adulterados por malware. Quando a “Integridade da Memória” é ativada, o “serviço de integridade do código” no Windows é executado dentro do contêiner protegido pelo hypervisor criado pelo Isolamento do Núcleo. Isso deve tornar quase impossível para o malware adulterar as verificações de integridade de código e obter acesso ao kernel do Windows.
Problemas com máquinas virtuais
Você pode ver uma mensagem informando que o Intel VT-X ou AMD-V não está habilitado ou disponível se você instalar um programa de máquina virtual em um sistema com a integridade de memória ativada. No VirtualBox, você poderá ver a mensagem de erro “O modo não processado está indisponível por cortesia do Hyper-V” enquanto a Proteção de memória está ativada.
De qualquer forma, se você encontrar um problema com o software da máquina virtual, desative a Integridade da memória para usá-lo.
Por que está desativado por padrão?
O principal recurso de isolamento do núcleo não deve causar problemas. Ele está ativado em todos os PCs com Windows 10 que podem suportá-lo e não há interface para desativá-lo.
No entanto, a proteção contra integridade de memória pode causar problemas com alguns drivers de dispositivo ou outros aplicativos do Windows de baixo nível, e é por isso que ela é desabilitada por padrão nas atualizações. A Microsoft ainda está pressionando desenvolvedores e fabricantes de dispositivos a tornarem seus drivers e softwares compatíveis. Por isso, ela é ativada por padrão em novos PCs e novas instalações do Windows 10.
Se um dos drivers requeridos pelo seu PC para inicializar for incompatível com a Proteção de Memória, o Windows 10 desligará silenciosamente o Memory Protection para garantir que o seu PC possa inicializar e funcionar corretamente. Então, se você tentar ativá-lo e reinicializar apenas para descobrir que ele ainda está desativado, é por isso.
Se você encontrar problemas com outros dispositivos ou software com defeito depois de ativar a Proteção de memória, a Microsoft recomenda a verificação de atualizações com o aplicativo ou driver específico. Se nenhuma atualização estiver disponível, desative a Proteção da memória.
Como mencionamos acima, o Memory Integrity também será incompatível com alguns aplicativos que exigem acesso exclusivo ao hardware de virtualização do sistema, como programas de máquinas virtuais. Outras ferramentas, incluindo alguns depuradores, também exigem acesso exclusivo a esse hardware e não funcionam com a integridade da memória ativada.
Como ativar a integridade da memória de isolamento do núcleo
Você pode ver se o seu PC possui recursos de Isolamento do Núcleo habilitados e ativar ou desativar o Proteção de Memória no aplicativo Centro de Segurança do Windows Defender. (Esta ferramenta será renomeada para “Segurança do Windows” como parte da Atualização de outubro de 2018).
Para abri-lo, procure por “Windows Defender Security Center” no menu Iniciar ou vá até Configurações> Atualização e segurança> Segurança do Windows> Abrir o Windows Defender Security Center.
Para ativar (ou desativar) a Proteção de memória, clique no link "Detalhes do isolamento do núcleo".
Para ativar a integridade da memória, ative a chave para “Ativar”. Se você encontrar problemas no aplicativo ou no dispositivo e precisar desativar a integridade da memória, retorne aqui e abra a chave para “Desativar”.
Mais recursos do Windows Defender Exploit Guard
O Core Isolation e a Memory Integrity são alguns dos muitos recursos de segurança que a Microsoft adicionou como parte do Windows Defender Exploit Guard. Esta é uma coleção de recursos projetados para proteger o Windows contra ataques.
A proteção contra exploração, que protege seu sistema operacional e aplicativos de muitos tipos de explorações, é ativada por padrão. Isso substitui a antiga ferramenta EMET da Microsoft e inclui recursos antiexplosivos nos quais recomendamos a instalação do Malware Anti-Exploit. Todos os usuários do Windows 10 agora possuem proteção contra exploits.
Há também o Acesso à Pasta Controlada, que protege seus arquivos contra o ransomware. Não está ativado por padrão porque requer alguma configuração. Se você ativar esse recurso, terá que permitir o acesso de aplicativos antes que eles possam acessar os arquivos em suas pastas de arquivos pessoais.
A partir de agora, a integridade da memória será ativada por padrão em todos os novos PCs, fornecendo proteção adicional contra ataques. Somente usuários avançados que usam software de máquina virtual e outras ferramentas que exigem acesso ao hardware de virtualização do sistema terão que desativá-lo.
