🔒 Защита целостности кода с помощью гипервизора (HVCI)
В #Windows10 1709 для изданий Pro и выше (включая S mode) можно укрепить #безопасность, включив защиту процессов режима ядра от инъекций и выполнения вредоносного или непроверенного кода.
Проверка целостности кода выполняется в защищенной среде, а разрешения страниц для режима ядра задаются и обслуживаются гипервизором Hyper-V. Защита работает на основе политик аудита WDAC (Windows Defender Application Control).
ℹ️ Достаточно скачать файл политик в CAB-архиве, распаковать его в System32\CodeIntegrity и убедиться, что включен гипервизор. После перезагрузки все должно работать, проверяется в msinfo32.
Документация с картинками, файл политики: https://goo.gl/oZ66mi
Статья в тему "Windows 10 Device Guard and Credential Guard Demystified": https://goo.gl/NWFxjZ
⚠️ После включения политики возможны конфликты с драйверами, BSODы, вплоть до невозможности загрузиться в ОС. В случае проблем просто удалите файл политик.
#HVCI будет включаться автоматически при чистой установке 1803 на поддерживаемое железо - седьмое поколение процессоров Intel и AMD с поддержкой MBEC ✌️
В #Windows10 1709 для изданий Pro и выше (включая S mode) можно укрепить #безопасность, включив защиту процессов режима ядра от инъекций и выполнения вредоносного или непроверенного кода.
Проверка целостности кода выполняется в защищенной среде, а разрешения страниц для режима ядра задаются и обслуживаются гипервизором Hyper-V. Защита работает на основе политик аудита WDAC (Windows Defender Application Control).
ℹ️ Достаточно скачать файл политик в CAB-архиве, распаковать его в System32\CodeIntegrity и убедиться, что включен гипервизор. После перезагрузки все должно работать, проверяется в msinfo32.
Документация с картинками, файл политики: https://goo.gl/oZ66mi
Статья в тему "Windows 10 Device Guard and Credential Guard Demystified": https://goo.gl/NWFxjZ
⚠️ После включения политики возможны конфликты с драйверами, BSODы, вплоть до невозможности загрузиться в ОС. В случае проблем просто удалите файл политик.
#HVCI будет включаться автоматически при чистой установке 1803 на поддерживаемое железо - седьмое поколение процессоров Intel и AMD с поддержкой MBEC ✌️
🔒 HVCI в #Windows10 1803
Вчера я рассказал, как включить защиту целостности кода с помощью гипервизора в сборке 1709 путем размещения файла политики в системной папке. В 1803 это уже можно сделать в графическом интерфейсе центра безопасности защитника Windows.
Там появился новый раздел
👍 Радует, что Microsoft не только укрепляет #безопасность, но и упрощает настройку защитных параметров Windows.
Вчера я рассказал, как включить защиту целостности кода с помощью гипервизора в сборке 1709 путем размещения файла политики в системной папке. В 1803 это уже можно сделать в графическом интерфейсе центра безопасности защитника Windows.
Там появился новый раздел
Безопасность устройства, где в категории Изоляция ядра в присутствует единственная настройка Целостность памяти. Это и есть #HVCI, в чем опять же помогает убедиться msinfo32 (на сей раз скриншот на русском из инсайдерской сборки). 👍 Радует, что Microsoft не только укрепляет #безопасность, но и упрощает настройку защитных параметров Windows.
⚙️ Как отключить защиту целостности памяти в #Windows10 1803
Я уже дважды писал о том, как включить #HVCI:
• файлом политики https://t.iss.one/sterkin_ru/580
• в графическом интерфейсе версии 1803 https://t.iss.one/sterkin_ru/581
Для отключения в первом случае достаточно удалить файл политики. Во втором случае, как выяснилось, в GUI можно только включить, но не отключить :)
Для этого придется в разделе реестра
установить для параметра
В #feedbackhub уже есть отзыв https://aka.ms/AA1ar48, можете поддержать.
Я уже дважды писал о том, как включить #HVCI:
• файлом политики https://t.iss.one/sterkin_ru/580
• в графическом интерфейсе версии 1803 https://t.iss.one/sterkin_ru/581
Для отключения в первом случае достаточно удалить файл политики. Во втором случае, как выяснилось, в GUI можно только включить, но не отключить :)
Для этого придется в разделе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrityустановить для параметра
Enabled значение 0 и перезагрузиться.В #feedbackhub уже есть отзыв https://aka.ms/AA1ar48, можете поддержать.
🔐 Про CPU в системных требованиях #Windows11
В прошлый раз было про TPM. Туда я чуть позже добавил PDF от Microsoft с разбором минимальных требований и отсылкой к спискам поддерживаемых процессоров.
Вчера Проничкин ретвитнул команду #PowerShell, которая конкретизирует аппаратное требование к CPU и раскрывает его связь с уровнем обеспечения безопасности Windows.
Этот класс WMI содержит сведения о возможностях и текущих параметрах Device Guard, #классика блога про его настройку в помощь. В документации сказано, что этот класс есть только в корпоративном издании, но у меня сработало и в Pro.
Конкретнее, нужно смотреть параметр
👉 Выводится столбик цифр от 0 до 8. Каждая соответствует свойству безопасности Device Guard. Если в списке есть цифра
ℹ️ Это - аппаратная технология процессоров Mode Based Execution Control (MBEC). На нее опирается программная защита целостности кода с помощью гипервизора, HVCI. Я показывал, как включить ее файлом политики в 1709 и посредством GUI в 1803. И даже как отключить, если это не работает в графическом интерфейсе.
#HVCI может работать и без MBEC - с помощью эмуляции под названием Restricted User Mode. Но тогда за #безопасность приходится расплачиваться производительностью.
В моем понимании, сейчас HVCI включается по умолчанию при чистой установке #Windows10 1803+, если процессор поддерживает MBEC (например, изначально заявляли процессоры Intel седьмого поколения). По замыслу безопасников Microsoft, HVCI должна работать из коробки на всех ПК с #Windows11 без исключения и без компромиссов с производительностью.
📢 Читайте продолжение на эту тему https://t.iss.one/sterkin_ru/1155
Однако, как и в случае с TPM, компания в любой момент может ослабить требования, либо предоставить официальный обходной путь, чтобы не провоцировать сообщество на негатив и вандализм ОС ✌️
В прошлый раз было про TPM. Туда я чуть позже добавил PDF от Microsoft с разбором минимальных требований и отсылкой к спискам поддерживаемых процессоров.
Вчера Проничкин ретвитнул команду #PowerShell, которая конкретизирует аппаратное требование к CPU и раскрывает его связь с уровнем обеспечения безопасности Windows.
Get-CimInstance -Namespace ROOT\Microsoft\Windows\DeviceGuard -ClassName Win32_DeviceGuardЭтот класс WMI содержит сведения о возможностях и текущих параметрах Device Guard, #классика блога про его настройку в помощь. В документации сказано, что этот класс есть только в корпоративном издании, но у меня сработало и в Pro.
Конкретнее, нужно смотреть параметр
AvailableSecurityProperties, например, так:(Get-CimInstance -Namespace ROOT\Microsoft\Windows\DeviceGuard -ClassName Win32_DeviceGuard).AvailableSecurityProperties👉 Выводится столбик цифр от 0 до 8. Каждая соответствует свойству безопасности Device Guard. Если в списке есть цифра
7, ваш ЦП поддерживается. ℹ️ Это - аппаратная технология процессоров Mode Based Execution Control (MBEC). На нее опирается программная защита целостности кода с помощью гипервизора, HVCI. Я показывал, как включить ее файлом политики в 1709 и посредством GUI в 1803. И даже как отключить, если это не работает в графическом интерфейсе.
#HVCI может работать и без MBEC - с помощью эмуляции под названием Restricted User Mode. Но тогда за #безопасность приходится расплачиваться производительностью.
В моем понимании, сейчас HVCI включается по умолчанию при чистой установке #Windows10 1803+, если процессор поддерживает MBEC (например, изначально заявляли процессоры Intel седьмого поколения). По замыслу безопасников Microsoft, HVCI должна работать из коробки на всех ПК с #Windows11 без исключения и без компромиссов с производительностью.
📢 Читайте продолжение на эту тему https://t.iss.one/sterkin_ru/1155
Однако, как и в случае с TPM, компания в любой момент может ослабить требования, либо предоставить официальный обходной путь, чтобы не провоцировать сообщество на негатив и вандализм ОС ✌️
⚙️ О включении HVCI из коробки в #Windows11
Позавчера я выразил мнение, что Microsoft хочет включать защиту целостности памяти на всех ПК, которые поддерживаются новой ОС. Это в идеале, конечно. И уже на следующий день мне попался документ, проливающий свет на реальное состояние дел: Hypervisor-protected Code Integrity enablement.
📃 Список исключений большой. #HVCI из коробки НЕ включается при таких раскладах:
🔹 Вы обновились с Windows 10, где защита целостности кода была выключена. Это действует и сейчас при обновлениях с 1803 и новее.
🔹 Версии Windows 11 для Китая и Кореи во избежание конфликтов с популярными системами анти-чита.
🔹 На ПК с менее чем 8GB RAM и без SSD. П - производительность!
🔹 На ПК с процессором старше, чем Intel 11-го поколения или AMD Ryzen 3000. С Intel странно. В #Windows10 1803 заявляли автоматическое включение с седьмого поколения, и MBEC реализован в Kaby Lake. Однако это поколение в список поддерживаемых ЦП не попало, а Microsoft сослалась на ограниченную поддержку (limited support) непонятно чего - журналисты уточнить не догадались. Похоже MBEC дебютировал в Kaby Lake с изъянами.
🔹 Десктопные ЦП Intel 11-го поколения. Причины не раскрываются, но ОЕМам рекомендуют включить.
И, конечно, ОЕМы сами принимают решение о включении HVCI в своих ПК, потому что технология требовательна к производительности. В документе в качестве примера, где HVCI могут не включать, приводятся игровые системы.
Параметра файла ответов для блокировки автоматического включения не предусмотрено, но есть параметр реестра. Предполагается его внесение на этапе подготовки образа, до sysprep. Но может сработать импорт из setupcomplete.cmd, надо тестировать ✌️
Позавчера я выразил мнение, что Microsoft хочет включать защиту целостности памяти на всех ПК, которые поддерживаются новой ОС. Это в идеале, конечно. И уже на следующий день мне попался документ, проливающий свет на реальное состояние дел: Hypervisor-protected Code Integrity enablement.
📃 Список исключений большой. #HVCI из коробки НЕ включается при таких раскладах:
🔹 Вы обновились с Windows 10, где защита целостности кода была выключена. Это действует и сейчас при обновлениях с 1803 и новее.
🔹 Версии Windows 11 для Китая и Кореи во избежание конфликтов с популярными системами анти-чита.
🔹 На ПК с менее чем 8GB RAM и без SSD. П - производительность!
🔹 На ПК с процессором старше, чем Intel 11-го поколения или AMD Ryzen 3000. С Intel странно. В #Windows10 1803 заявляли автоматическое включение с седьмого поколения, и MBEC реализован в Kaby Lake. Однако это поколение в список поддерживаемых ЦП не попало, а Microsoft сослалась на ограниченную поддержку (limited support) непонятно чего - журналисты уточнить не догадались. Похоже MBEC дебютировал в Kaby Lake с изъянами.
🔹 Десктопные ЦП Intel 11-го поколения. Причины не раскрываются, но ОЕМам рекомендуют включить.
И, конечно, ОЕМы сами принимают решение о включении HVCI в своих ПК, потому что технология требовательна к производительности. В документе в качестве примера, где HVCI могут не включать, приводятся игровые системы.
Параметра файла ответов для блокировки автоматического включения не предусмотрено, но есть параметр реестра. Предполагается его внесение на этапе подготовки образа, до sysprep. Но может сработать импорт из setupcomplete.cmd, надо тестировать ✌️
Telegram
Windows 11, 10, etc - Вадим Стеркин
🔐 Про CPU в системных требованиях #Windows11
В прошлый раз было про TPM. Туда я чуть позже добавил PDF от Microsoft с разбором минимальных требований и отсылкой к спискам поддерживаемых процессоров.
Вчера Проничкин ретвитнул команду #PowerShell, которая…
В прошлый раз было про TPM. Туда я чуть позже добавил PDF от Microsoft с разбором минимальных требований и отсылкой к спискам поддерживаемых процессоров.
Вчера Проничкин ретвитнул команду #PowerShell, которая…
🧠 Помогает ли отключение брандмауэра Windows 10 зайти на "вирусный" сайт
Неделю назад, увидев себя в телевизоре в сюжете про обход блокировок РКН установкой Windows 7, все та же девушка снова набросила↓ На сей раз мне в личку.
- Г-сборка?
- Возможно. Десятка с запрещенными обновлениями.
- 🤦♂️
Нет, я конечно люблю развлечь читателей интересной историей. Но это не значит, что я буду каждую неделю разбирать такую дичь и ересь
💡 Я давно и последовательно проповедую эффективное и грамотное использование устройств, ОС и приложений. Владельцы г-сборок с отключенными обновлениями и брандмауэрами - не моя целевая аудитория. Им тяжело меня читать - сложно и подгорает постоянно. Например, когда заходит речь о роли головного мозга в защите операционной системы.
✅ 8 лет назад я провел границу между наличием и отсутствием мозга по рекомендуемому уровню в центре безопасности Windows. На смену ему пришло приложение "Безопасность Windows", но суть осталась прежней.
Да, там есть спорные моменты вроде проталкивания #OneDrive в качестве защиты от вымогателей путем желтых предупреждений ⚠️ Но представьте радость человека, уже отчаявшегося спасти ценные файлы. Да и не жесткое это требование, как и контролируемый доступ к папкам.
В приложении можно также настроить куда более серьезные средства:
🔹 #HVCI потихоньку включают по дефолту в чистых установках #Windows11
🔹 защита от эксплойтов aka #EMET встроена уже 5 лет
🔹 теперь еще и Smart App Control на основе WDAC
👉 Резюме
Мои рекомендации по защите устройств и ОС неизменны много лет. Для начала обеспечьте рекомендуемую вендором защиту, а затем укрепляйте ее в меру своих знаний и целесообразности закручивания гаек. С отключением обновлений и брандмауэров - в другой чат ✌️
Неделю назад, увидев себя в телевизоре в сюжете про обход блокировок РКН установкой Windows 7, все та же девушка снова набросила↓ На сей раз мне в личку.
- Г-сборка?
- Возможно. Десятка с запрещенными обновлениями.
- 🤦♂️
Нет, я конечно люблю развлечь читателей интересной историей. Но это не значит, что я буду каждую неделю разбирать такую дичь и ересь
💡 Я давно и последовательно проповедую эффективное и грамотное использование устройств, ОС и приложений. Владельцы г-сборок с отключенными обновлениями и брандмауэрами - не моя целевая аудитория. Им тяжело меня читать - сложно и подгорает постоянно. Например, когда заходит речь о роли головного мозга в защите операционной системы.
✅ 8 лет назад я провел границу между наличием и отсутствием мозга по рекомендуемому уровню в центре безопасности Windows. На смену ему пришло приложение "Безопасность Windows", но суть осталась прежней.
Да, там есть спорные моменты вроде проталкивания #OneDrive в качестве защиты от вымогателей путем желтых предупреждений ⚠️ Но представьте радость человека, уже отчаявшегося спасти ценные файлы. Да и не жесткое это требование, как и контролируемый доступ к папкам.
В приложении можно также настроить куда более серьезные средства:
🔹 #HVCI потихоньку включают по дефолту в чистых установках #Windows11
🔹 защита от эксплойтов aka #EMET встроена уже 5 лет
🔹 теперь еще и Smart App Control на основе WDAC
👉 Резюме
Мои рекомендации по защите устройств и ОС неизменны много лет. Для начала обеспечьте рекомендуемую вендором защиту, а затем укрепляйте ее в меру своих знаний и целесообразности закручивания гаек. С отключением обновлений и брандмауэров - в другой чат ✌️
😎 Эта нерекомендуемая функция находится в процессе нерекомендуемой, хотя в настоящее время это рекомендуемая конфигурация.
Зачетный #автоперевод :) Но тут есть и объективные факторы.
1. Оригинал в документации #HVCI сам по себе прекрасен!
This autodisable functionality is in the process of being deprecated, though it is currently the recommended configuration.
Смысл слова
2. Для этого слова в русском языке нет хорошего эквивалента. В чате предложили
Поиск по терминам выдает два варианта:
Зачетный #автоперевод :) Но тут есть и объективные факторы.
1. Оригинал в документации #HVCI сам по себе прекрасен!
This autodisable functionality is in the process of being deprecated, though it is currently the recommended configuration.
Смысл слова
deprecated я уже объяснял в канале. В данном случае разработчики рекомендует фичу, которую заморозили и не развивают. Но ничего лучше сейчас предложить не могут 🤷♂️2. Для этого слова в русском языке нет хорошего эквивалента. В чате предложили
выходящее из употребления, что вполне пригодно 👌 Но при переводе нередко требуется найти одно слово. Например, для терминологии. Ведь краткость - не только сестра таланта, но и любимая жена переводчика элементов интерфейса.Поиск по терминам выдает два варианта:
устаревший и нерекомендуемый. В яблочко не попадает ни один, но таковы уж издержки перевода ✌️