Windows 10에서 핵심 격리및 메모리 무결성이란 무엇입니까?
Windows 10의 2018 년 4 월 업데이트는 모든 사람에게 "핵심 격리"및 "메모리 무결성"보안 기능을 제공합니다. 가상화 기반 보안을 사용하여 핵심 운영 체제 프로세스를 무단으로 변경하지 못하도록하지만, 메모리 보호는 기본적으로 업그레이드하는 사용자를 위해 해제됩니다.
코어 격리 란 무엇입니까??
Windows 10의 최초 릴리스에서 가상화 기반 보안 (VBS) 기능은 Windows 10 Enterprise 에디션에서만 "Device Guard"의 일부로 사용할 수있었습니다. 2018 년 4 월 업데이트로 Core Isolation은 모든 가상화 기반 보안 기능을 제공합니다 Windows 10 에디션.
일부 코어 격리 기능은 64 비트 CPU 및 TPM 2.0 칩을 포함하여 특정 하드웨어 및 펌웨어 요구 사항을 충족하는 Windows 10 PC에서 기본적으로 활성화됩니다. 또한 PC가 Intel VT-x 또는 AMD-V 가상화 기술을 지원하고 PC의 UEFI 설정에서 활성화되어 있어야합니다.
이러한 기능을 사용하면 Windows는 하드웨어 가상화 기능을 사용하여 정상 운영 체제와 격리 된 안전한 시스템 메모리 영역을 만듭니다. Windows는이 보안 영역에서 시스템 프로세스 및 보안 소프트웨어를 실행할 수 있습니다. 이렇게하면 보안 영역 외부에서 실행되는 중요한 운영 체제 프로세스가 변조되는 것을 방지 할 수 있습니다..
PC에서 맬웨어가 실행 중이고 이러한 Windows 프로세스를 해킹 할 수있는 악용 사례를 알고 있더라도 가상화 기반 보안은 공격으로부터 격리시키는 추가 보호 계층입니다.
메모리 무결성이란 무엇입니까??
Windows 10의 인터페이스에서 "메모리 무결성"이라고 알려진 기능은 Microsoft 설명서에서 "HVCI (Hypervisor protected Code Integrity)"라고도 알려져 있습니다..
메모리 무결성은 2018 년 4 월 업데이트로 업그레이드 된 PC에서는 기본적으로 비활성화되지만 활성화 할 수 있습니다. Windows 10을 새로 설치하면 기본적으로 활성화됩니다..
이 기능은 핵심 격리의 하위 집합입니다. Windows는 일반적으로 장치 드라이버 및 저수준 Windows 커널 모드로 실행되는 다른 코드에 디지털 서명이 필요합니다. 이렇게하면 악성 코드가 훼손되지 않도록 할 수 있습니다. "메모리 무결성"을 사용하면 Windows의 "코드 무결성 서비스"가 코어 격리로 만든 하이퍼 바이저 보호 컨테이너에서 실행됩니다. 이렇게하면 멀웨어가 코드 무결성 검사를 무단으로 변경하고 Windows 커널에 액세스 할 수 없게됩니다..
가상 컴퓨터 문제
메모리 무결성은 시스템의 가상화 하드웨어를 사용하기 때문에 VirtualBox 또는 VMware와 같은 가상 시스템 프로그램과 호환되지 않습니다. 한 번에 하나의 응용 프로그램 만이 하드웨어를 사용할 수 있습니다..
메모리 무결성이 활성화 된 시스템에 가상 시스템 프로그램을 설치 한 경우 Intel VT-X 또는 AMD-V가 활성화되어 있지 않거나 사용 가능하지 않다는 메시지가 표시 될 수 있습니다. VirtualBox에서 메모리 보호가 활성화되어있는 동안 "원시 모드를 사용할 수 없으며 Hyper-V를 사용할 수 없음"이라는 오류 메시지가 나타날 수 있습니다..
어느 쪽이든, 가상 시스템 소프트웨어에 문제가 발생하면이를 사용하기 위해 메모리 무결성을 비활성화해야합니다.
기본적으로 비활성화되어있는 이유?
주요 코어 격리 기능은 문제를 일으키지 않습니다. 지원할 수있는 모든 Windows 10 PC에서 사용할 수 있으며 사용하지 않도록 설정할 수있는 인터페이스가 없습니다..
그러나 메모리 무결성 보호는 일부 장치 드라이버 또는 다른 저수준 Windows 응용 프로그램에서 문제를 일으킬 수 있습니다. 이는 업그레이드시 기본적으로 비활성화되어 있기 때문입니다. Microsoft는 개발자와 장치 제조업체가 드라이버와 소프트웨어를 호환 가능하도록 만들기 위해 노력하고 있습니다. 따라서 새로운 PC와 새로운 Windows 10 설치에서 기본적으로 활성화되어 있습니다.
PC를 부팅하는 데 필요한 드라이버 중 하나가 메모리 보호 기능과 호환되지 않는 경우 Windows 10은 자동으로 메모리 보호 기능을 해제하여 PC가 부팅되어 제대로 작동하도록합니다. 따라서 사용하도록 설정하고 다시 부팅해야만 여전히 사용 중지 된 것으로 확인되면 그 이유가됩니다..
메모리 보호를 설정 한 후 다른 장치 또는 오작동 소프트웨어에 문제가 발생하면 특정 응용 프로그램 또는 드라이버의 업데이트를 확인하는 것이 좋습니다. 사용할 수있는 업데이트가 없으면 메모리 보호 기능을 해제하십시오..
위에서 언급했듯이 메모리 무결성은 가상 시스템 프로그램과 같이 시스템의 가상화 하드웨어에 독점적으로 액세스해야하는 일부 응용 프로그램과 호환되지 않습니다. 일부 디버거를 비롯한 다른 도구에서도이 하드웨어에 독점적으로 액세스해야하며 메모리 무결성을 사용하는 경우에는 작동하지 않습니다..
코어 격리 메모리 무결성을 사용하는 방법
PC에 핵심 격리 기능이 활성화되어 있는지 여부를 확인하고 Windows Defender 보안 센터 응용 프로그램에서 메모리 보호를 설정하거나 해제 할 수 있습니다. 이 도구는 2018 년 10 월 업데이트의 일부로 "Windows 보안"으로 이름이 바뀝니다.
그것을 열려면 시작 메뉴에서 "Windows Defender 보안 센터"를 검색하거나 설정> 업데이트 및 보안> Windows 보안> Windows Defender 보안 센터 열기로 이동하십시오..
보안 센터에서 "장치 보안"아이콘을 클릭하십시오..
PC의 하드웨어에서 Core Isolation이 활성화되어 있으면 "여기에 장치의 핵심 부분을 보호하기 위해 가상화 기반 보안이 실행 중입니다"라는 메시지가 표시됩니다.
메모리 보호를 활성화 (또는 비활성화)하려면 "Core Isolation Details"링크를 클릭하십시오..
이 화면에는 메모리 무결성이 활성화되었는지 여부가 표시됩니다. 그게 지금은 유일한 옵션입니다..
메모리 무결성을 활성화하려면 스위치를 "켜짐"으로 전환하십시오. 응용 프로그램 또는 장치 문제가 발생하여 메모리 무결성을 비활성화해야하는 경우 여기로 돌아와 스위치를 "끔"으로 전환하십시오.
컴퓨터를 다시 시작하라는 메시지가 나타나면 변경 사항은.
Windows Defender 악용 보호 기능 추가
핵심 격리 및 메모리 무결성은 Microsoft가 Windows Defender Exploit Guard의 일부로 추가 한 여러 가지 새로운 보안 기능 중 일부입니다. 이것은 공격으로부터 Windows를 보호하기 위해 고안된 기능 모음입니다..
다양한 유형의 공격으로부터 운영 체제 및 응용 프로그램을 보호하는 취약성 공격 (Exploit Protection)은 기본적으로 활성화되어 있습니다. 이 도구는 Microsoft의 기존 EMET 도구를 대체하며 이전에 Malware Anti-Exploit을 설치하기를 권장했던 anti-exploit 기능을 포함합니다. 모든 Windows 10 사용자는 이제 악용 보호 기능을 가지고 있습니다..
또한, ransomware에서 파일을 보호하는 Controlled Folder Access가 있습니다. 구성이 필요하기 때문에 기본적으로 활성화되지 않습니다. 이 기능을 사용하면 개인 파일 폴더의 파일에 액세스하기 전에 응용 프로그램 액세스를 허용해야합니다.
앞으로는 모든 새로운 PC에서 기본적으로 메모리 무결성이 활성화되어 공격에 대한 추가 보호 기능을 제공합니다. 가상 컴퓨터 소프트웨어를 사용하는 고급 사용자와 시스템 가상화 하드웨어에 대한 액세스가 필요한 다른 도구에서만이 기능을 해제해야합니다..