«ایزولاسیون هسته» و «یکپارچهسازی حافظه» در ویندوز ۱۰ به چه معنا هستند؟


بهروزرسانی آوریل 2018 ویندوز 10 ویژگیهای «ایزولاسیون هسته» و «یکپارچهسازی حافظه» را برای همه کاربران این سیستمعامل عرضه کرده است. این ویژگیها از امنیت مبتنی بر مجازیسازی برای حفاظت از دستکاری پردازشهای سیستمعامل استفاده میکنند؛ اما حفاظت از حافظه به طور پیشفرض برای کسانی که ویندوز را بهروزرسانی میکنند، غیرفعال است.
ایزولاسیون هسته به چه معنی است؟
در انتشار اولیه ویندوز 10، ویژگی امنیت بر مبنای مجازیسازی (VBS) تنها در نسخههای انترپرایز ویندوز 10 به عنوان بخشی از «Device Guard» در دسترس است. در بهروزرسانی آوریل 2018، ایزولاسیون هسته ویژگیهای امنیتی مبتنی بر مجازیسازی به همه نسخههای ویندوز 10 آمده است. برخی ویژگیهای ایزولاسیون هسته به طور پیشفرض در رایانههای ویندوز 10 که برخی نیازمندیهای سختافزاری و یا فیرمویر (firmware) از جمله سیپییو 64 بیتی و تراشه TPM 2.0 دارند فعال شده است. این ویژگی همچنین نیازمند آن است که رایانه از فناوریهای مجازیسازی Intel VT-x یا AND-V پشتیبانی کند و این که در تنظیمات UEFI رایانه فعال شده باشد.
وقتی این ویژگیها فعال میشوند، ویندوز از ویژگیهای مجازیسازی سختافزاری برای ایجاد ناحیه امن روی حافظه سیستم بهره میگیرد که آن را از سیستمعامل نرمال جدا میکند. ویندوز میتواند پردازشهای سیستم و نرمافزارهای امنیتی را از دستکاری با هر پردازش خارج از ناحیه امنیتی باز دارد. حتی اگر بدافزار بر روی رایانه اجرا شود و بتواند از یک اکسپلویت برای بررسی این پردازشهای ویندوز استفاده کند، امنیت مبتنی بر مجازیسازی لایهای اضافی است که آنها را از حمله جدا میکند.
یکپارچهسازی حافظه چیست؟
این ویژگی که در رابط ویندوز 10 به نام «یکپارچهسازی حافظه» نامیده میشود از سوی مستندات مایکروسافت به نام «یکپارچهسازی کد حفاظت شده هایپرویزور» (HVCI) نیز نامیده شده است. یکپارچهسازی حافظه به طور پیشفرض بر روی رایانههایی که در بهروزرسانی آوریل 2018 ارتقا یافتهاند غیرفعال است؛ اما میتوانید آن را فعال کنید. هر چند این ویژگی در نصب نسخههای جدید ویندوز 10 به طور پیشفرض فعال خواهد بود.
این امکان زیرمجموعه ایزولاسیون هسته است. ویندوز ارائه امضاهای دیجیتال برای درایورهای دستگاهها و دیگر کدهایی که در سطح پایین و کرنل ویندوز فعالیت میکنند را الزام میکند. این الزام تضمین میکند که این کدها از سوی بدافزارها دستکاری نشدهاند. وقتی «یکپارچهسازی حافظه» فعال شده باشد، «خدمات یکپارچهسازی کد» در ویندوز درون محفظه حفاظت شده از سوی هایپرویزور که توسط ایزولاسیون هسته ایجاد شده است فعالیت میکند. بدین ترتیب امکان دستکاری از سوی بدافزار تقریباً ناممکن میشود، چون یکپارچگی کد دسترسی به کرنل ویندوز را بررسی میکند.
مشکلات ماشین مجازی
یکپارچهسازی حافظه از سختافزار مجازیسازی سیستم استفاده میکند که با برنامههای ماشین مجازی همچون ویرچوالباکس یا VMware ناسازگار است. هر زمان تنها یک برنامه میتواند از این سختافزار استفاده کند.
احتمالاً هنگام نصب یک برنامه ماشین مجازی بر روی سیستمی که حالت یکپارچهسازی حافظه در آن فعال شده است، با پیامی مواجه شدهاید که بیان میکند VT-X یا ADM-V فعال نشده است و یا در دسترس نیست. در ویرچوالباکس وقتی حفاظت از حافظه فعال شده باشد، پیام خطایی به صورت «Raw-mode is unavailable courtesy of Hyper-V» مشاهده میشود. در هر حال اگر با مشکلی در زمینه سختافزار ماشین مجازی مواجه شدید، میبایست برای استفاده از آن یکپارچگی حافظه را غیرفعال کنید.
چرا این ویژگی به طور پیشفرض غیرفعال شده است؟
ویژگی اصلی ایزولاسیون هسته هیچ مشکلی ایجاد نمیکند. این ویژگی بر روی همه رایانههای دارای ویندوز 10 که از آن پشتیبانی میکنند، فعال شده است و روشی برای غیرفعال کردنش وجود ندارد.
با این وجود حفاظت یکپارچهسازی حافظه میتواند باعث بروز مشکلاتی در درایور برخی دستگاهها یا دیگر برنامههای ویندوزی سطح پایین شود و به همین دلیل است که به طور پیشفرض در بهروزرسانیها غیرفعال شده است. مایکروسافت همچنان توسعهدهندگان و سازندگان سختافزارها را مجبور میکند که درایورها و برنامههای خود را با این فناوری سازگار کنند. به همین دلیل در نصب نسخههای جدید ویندوز 10 به طور پیشفرض فعال است.
اگر یکی از درایورها رایانه شما که نیازمند بوت است با حفاظت از حافظه ناسازگار باشد، ویندوز 10 به طور خاموش حفاظت از حافظه را غیرفعال میکند تا مطمئن شود که رایانه میتواند به طور درستی بوت شده و کار کند. بنابراین اگر سعی کنید تا آن را فعال کنید و رایانه را مجدداً بوت کنید، متوجه خواهید شد که مجدداً غیرفعال شده است.
اگر پس از فعال ساختن حفاظت از حافظه با درایورها یا برخی برنامههای دیگر دچارمشکل شدید، مایکروسافت توصیه میکند که آن درایو یا برنامه خاص را بهروزرسانی کنید. اگر بهروزرسانی وجود نداشت، حفاظت از حافظه را غیرفعال کنید.
همان طور که قبلاً اشاره کردیم، یکپارچگی حافظه نیز با برخی از برنامههایی مانند برنامههای ماشین مجازی که نیازمند دسترسی به سختافزار مجازیسازی سیستم هستند، ناسازگار است. ابزارهای دیگر شامل برخی دیباگرها نیز نیازمند دسترسی انحصاری به این سختافزار هستند و با فعالسازی یکپارچهسازی حافظه از کار میافتند.
چگونه یکپارچگی حافظه ایزولاسیون هسته را فعال کنیم؟
شما میتوانید در برنامه Windows Defender Security Center ببینید که آیا ویژگیهای ایزولاسیون هسته یا حفاظت از حافظه فعال شده یا نه و آنها را روشن یا خاموش کنید. این ابزار به عنوان بخشی از بهروزرسانی Redstone 5 که در پاییز 2018 ارائه خواهد شد، به صورت «Windows Security» تغییر نام داده است.
برای باز کردن این برنامه در منوی استارت به دنبال عبارت «Windows Defender Security Center» جستجو کنید یا به مسیر Settings > Update & Security > Windows Security > Open Windows Defender Security Center مراجعه کنید.
بر روی آیکون «Device Security» در مرکز امنیت کلیک کنید.
اگر ایزولاسیون هسته بر روی سختافزار رایانه فعال شده اشد، پیامی به صورت «Virtualization-based security is running to protect the core parts of your device» در این بخش مشاهده میکنید؛ یعنی امنیت مبتنی بر مجازیسازی برای حفاظت از اجزای هسته دستگاه شما فعال شده است.
در این صفحه مشخص شده است که آیا یکپارچگی حافظه فعال شده است یا نه. این تنها گزینهای است که فعلاً در این صفحه وجود دارد. برای فعالسازی یکپارچگی حافظه سوییچ مربوطه را در وضعیت «On» قرار دهید. اگر با هر گونه مشکلی در سختافزارها یا برنامهها مواجه شدید و نیاز داشتید که یکپارچگی حافظه را غیرفعال کنید به این صفحه بازگشته و سوئیچ را در وضعیت «Off» قرار دهید.
از شما خواسته میشود که رایانه خود را ریاستارت کنید تا تغییر مربوطه اعمال شود.
ویژگیهای دفاعی دیگر
ویژگیهای دفاعی دیگر Windows Defender Exploit، ایزولاسیون هسته و یکپارچگی حافظه برخی از ویژگیهای زیاد امنیتی جدید مایکروسافت هستند که به عنوان بخشی از Windows Defender Exploit به ویندوز اضافه شدهاند. اینها مجموعهای از ویژگیهایی هستند که برای امنتر ساختن ویندوز در برابر حملهها طراحی شدهاند.
حفاظت از اکسپلویت که از سیستمعامل شما و برنامهها در برابر انواع اکسپلویتها حفاظت میکند به طور پیشفرض فعال شده است. این بخش جایگزین ابزار قدیمی EMET مایکروسافت شده است و شامل ویژگیهای ضد اکسپلویت است و بدین ترتیب اینک همه کاربران ویندوز 10 مجهز به حفاظت در برابر اکسپلویت هستند.
همچنین بخشی به نام دسترسی حفاظت شده به پوشه (Controlled Folder Access) اضافه شده است که از فایلها در برابر باجافزارها محافظت میکند. اگر این ویژگی به طور پیشفرض فعال نشده باشد دلیل آن این است که به مقداری پیکربندی نیاز دارد. اگر این ویژگی را فعال کنید، باید این دسترسی را به برنامههای مختلف پیش از امکان دسترسی به پوشههای فایل شخصی ارائه کنید.
اگر این نوشته مورد توجه قرار گرفته است، پیشنهاد میکنیم موارد زیر را نیز ملاحظه نمایید:
- آموزش نسخههای مختلف ویندوز
- ۱۰ دلیل برای استفاده از ویندوز ۱۰ — هر آنچه باید در این مورد بدانید
- آموزش نصب درایور در ویندوز ۱۰
- ۷ روش برای جلوگیری از بروزرسانی ویندوز ۱۰
- آموزش های ویژه علاقهمندان به کامپیوتر
- آموزش ویندوز ۱۰ (Windows 10)
==
غیرفغالش کردم حالا م خطا میزنه میگه نمی شه فعالش کرد اسکن میزنم باز خطا میاره
چیکارکنم؟