Сајбер-напади су се променили у последњих неколико година. Лажни хакери сада могу преузети ваш рачунар и закључати датотеке осим ако нисте спремни да им платите новац. Ове врсте напада се називају Рансомваре^(Ransomware) и користе експлоатације на нивоу кернела које покушавају да покрену малвер са највишим привилегијама, нпр. ВаннаЦри^(WannaCry) и Петиа^(Petya) рансомваре. Да би ублажио ове врсте напада, Мицрософт^(Microsoft) је увео функцију која вам омогућава да омогућите изолацију језгра и интегритет меморије^{(Core Isolation and Memory Integrity)} да бисте спречили такве нападе.

Виндовс Дефендер Сецурити Центер^{(Defender Security Center)} нуди ову функцију. Назван Девице Сецурити ,^{(Device Security, )} нуди извештавање о статусу и управљање безбедносним функцијама уграђеним у ваше уређаје – укључујући укључивање функција за пружање побољшане заштите. Међутим, не ради на софтверском нивоу; хардвер такође треба да га подржава. Ваш фирмвер треба да подржава  виртуелизацију,^{(Virtualization,)} која омогућава рачунару са Windows 11/10 да покреће апликације у контејнеру, тако да не добија приступ другим деловима система.

Ваш уређај мора да испуњава захтеве за стандардну хардверску безбедност То значи да ваш уређај треба да подржава интегритет меморије и изолацију језгра, као и да има:

• ТПМ 2.0 (који се такође назива ваш безбедносни процесор)
• Омогућено безбедно покретање
• ДЕП
• УЕФИ МАТ

Омогућите изолацију језгра^{(Core Isolation)} и интегритет меморије^{(Memory Integrity)} у оперативном систему Виндовс 11^{(Windows 11)}

То је вероватно најлакши начин да омогућите или онемогућите безбедност^(Security) засновану на виртуелизацији у оперативном систему Виндовс 11^{(Windows 11)} . Другим речима, потребно је да омогућите изолацију језгра^{(enable Core isolation)} да бисте то урадили. За то урадите следеће:

• Потражите  Виндовс безбедност ^{(windows security )} у пољу за претрагу на траци задатака.
• Кликните^(Click) на појединачни резултат претраге.
• Пређите на  картицу Безбедност уређаја^{(Device security)}  .
• Кликните на  опцију Детаљи изолације језгра .^{(Core isolation details )}
• Укључите  дугме за интегритет меморије ^{(Memory integrity )} да бисте га укључили.
• Поново покрените рачунар.

Омогућите изолацију језгра^{(Core Isolation)} и интегритет меморије^{(Memory Integrity)} у Windows 11/10

1. Пријавите се као администратор и отворите безбедносни центар Виндовс Дефендер-а^{(Windows Defender Security Center)}
2. Потражите опцију Девице Сецурити .^{(Device Security)}
3. Овде треба да проверите да ли је изолација језгра^{(Core Isolation)} у оквиру виртуелизације^{(Virtualization)} омогућена на вашем рачунару.
4. Изолација језгра ^{(Core isolation)}обезбеђује^(y) безбедносне функције засноване на виртуелизацији за заштиту кључних делова вашег уређаја.
5. Кликните^(Click) на детаље о изолацији језгра^(Core) и биће вам понуђено да омогућите интегритет меморије^{(Memory Integrity)} .

Интегритет меморије^{(Memory integrity)} (интегритет кода заштићеног хипервизором) је безбедносна карактеристика изолације језгра^(Core) која спречава нападе од убацивања злонамерног кода у процесе високе безбедности. Пребаците^(Toggle) да бисте га укључили.

Када се омогући, од вас ће се тражити да поново покренете рачунар да бисте у потпуности омогућили интегритет меморије^{(Memory Integrity)} .

Ако се касније суочите са проблемима са компатибилношћу апликација, можда ћете морати да искључите ово.

Повезано^(Related) : Интегритет меморије је засивљен или се не укључује/искључује .

Омогућите или онемогућите изолацију језгра^{(Core Isolation)} и интегритет меморије^{(Memory Integrity)} помоћу Регистра

Такође можете да користите регистар^(Registry) да бисте омогућили или онемогућили интегритет меморије^(Memory) изолације језгра помоћу ^(Core)уређивача регистра^{(Registry Editor)} , пратите ове кораке:

1. Притисните Win+R да отворите дијалог Покрени.
2. Унесите регедит^(regedit) и притисните дугме Ентер^(Enter) .
3. Кликните на опцију Да .^(Yes)
4. Идите до сценарија^(Scenarios) у ХКЕИ_ЛОЦАЛ_МАЦХИНЕ^{(HKEY_LOCAL_MACHINE)} .
5. Кликните десним тастером миша на Scenarios > New > Key .
6. Именујте га као ХипервисорЕнфорцедЦодеИнтегрити^{(HypervisorEnforcedCodeIntegrity)} .
7. Кликните десним тастером миша на њега > New > DWORD (32-bit) Value .
8. Именујте га као Омогућено^(Enabled) .
9. Двапут кликните на њега да бисте поставили податке о вредности^(Value) као 1 да бисте омогућили и 0 да бисте онемогућили.
10. Кликните на дугме ОК^(OK) .
11. Поново покрените рачунар.

Да бисте сазнали више о овим корацима, наставите да читате.

Мера опреза:^{(Precaution: )} Пре него што кренете на кораке РЕГЕДИТ^(REGEDIT) , не заборавите да креирате тачку за враћање система .

Да бисте започели, притисните Win+R да отворите дијалог Покрени^(Run) , откуцајте регедит и притисните дугме Ентер^{(Enter )} . Ако се УАЦ^(UAC) промпт појави на вашем екрану, кликните на опцију Да да бисте ^{(Yes )}отворили уређивач регистра .

Затим идите на следећу путању:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios

Кликните десним тастером миша на тастер Сценариос > ^{(Scenarios )}New > Key и назовите га као ХипервисорЕнфорцедЦодеИнтегрити^{(HypervisorEnforcedCodeIntegrity)} .

Затим морате да креирате РЕГ_ДВОРД^(REG_DWORD) вредност. За то кликните десним тастером миша на HypervisorEnforcedCodeIntegrity > New > DWORD (32-bit) Value и назовите га као Енаблед^(Enabled) .

Подразумевано долази са подацима о вредности^(Value) од 0 , што значи да је онемогућено. Међутим, ако желите да омогућите ову функцију, двапут кликните на њу да бисте поставили податке о вредности^(Value) као 1 .

Кликните на дугме ОК^{(OK )} и поново покрените рачунар.

Међутим, постоје још две опције које могу бити доступне у зависности од хардвера вашег рачунара.

1. Безбедносни процесор^{(Security Processor)} се појављује само ако имате ТПМ^(TPM) доступан са хардвером рачунара. То су дискретни чипови залемљени на матичну плочу рачунара од стране ОЕМ^(OEM) -а . Да би извукао максимум из ТПМ^(TPM) -а , ОЕМ^(OEM) мора пажљиво да интегрише системски хардвер и фирмвер са ТПМ^(TPM) -ом да би му слао команде и реаговао на његове одговоре. Новији ТПМ-ови^(TPMs) такође могу да обезбеде предности безбедности и приватности самом хардверу система. Зато обавезно проверите све ово ако купујете нови рачунар.
2. Сецуре Боот^{(Secure Boot)} спречава да се злонамерни код учита пре вашег ОС. Тешко их је разбити, али са сигурним покретањем то је решено.

Виндовс 11/10 такође нуди интегритет кода заштићеног^{(Hypervisor Protected Code Integrity)} хипервизором ( ХВЦИ^(HVCI) ) када почнете са чистим инсталацијама. Они који користе стари хардвер, имаће могућност да се пријаве за надоградњу користећи кориснички интерфејс у ​​Виндовс Дефендер Сецурити Центер^{(Windows Defender Security Center)} ( ВДСЦ^(WDSC) ). Ово побољшање ће осигурати да процес кернела који верификује интегритет кода ради у безбедном окружењу за извршавање.

Прочитајте^(Read) : Безбедност заснована на виртуелизацији није омогућена у оперативном систему Виндовс 11^{(Virtualization-based Security not enabled in Windows 11)} .

Enable or Disable Core Isolation and Memory Integrity in Windows 11/10

Cyber-attacks have changed ovеr the past few years. Rogue hackеrs can now take over your PC and lock down fіles unless you arе ready to pay them money. These tуpes of attacks are called Ransomware, and they use kernel-level exploits that attempt to run malware with the highest privileges, e.g., WannaCry and Petya ransomware. In order to mitigate these types of attacks, Microsoft has rolled out a feature that allows you to enable Core Isolation and Memory Integrity to prevent such attacks.

Windows Defender Security Center offers this feature. Called Device Security, it offers status reporting and management of security features built into your devices – including toggling features on to provide enhanced protection. However, It doesn’t work on a software level; the hardware needs to support it as well. Your firmware should support Virtualization, which enables the Windows 11/10 PC to run applications in a container, so they don’t get access to other parts of the system.

Your device must meet the requirements for standard hardware security This means your device should support memory integrity and core isolation and also have:

• TPM 2.0 (also referred to as your security processor)
• Secure boot enabled
• DEP
• UEFI MAT

Enable Core Isolation & Memory Integrity in Windows 11

It is probably the easiest way to enable or disable Virtualization-based Security in Windows 11. In other words, you need to enable Core isolation to get it done. For that, do the following:

• Search for windows security in the Taskbar search box.
• Click on the individual search result.
• Switch to the Device security tab.
• Click on the Core isolation details option.
• Toggle the Memory integrity button to turn it on.
• Restart your computer.

Enable Core Isolation & Memory Integrity in Windows 11/10

1. Sign in as an administrator and open Windows Defender Security Center
2. Look for Device Security option.
3. Here you should check if Core Isolation under Virtualization is enabled on your PC.
4. Core isolation provides virtualization-based security features to protect core parts of your device.
5. Click on Core isolation details, and you will be offered to enable Memory Integrity.

Memory integrity (hypervisor-protected code integrity) is a security feature of Core isolation that prevents attacks from inserting malicious code into high-security processes. Toggle to turn it On.

Once enabled, it will ask you to restart the PC to completely enable Memory Integrity.

If later on, you face application compatibility issues, you may need to turn this off.

Related: Memory Integrity greyed out or won’t Turn On/Off.

Enable or Disable Core Isolation and Memory Integrity using Registry

You can also use the Registry, to enable or disable Core isolation Memory integrity using Registry Editor, follow these steps:

1. Press Win+R to open the Run dialog.
2. Type regedit and hit the Enter button.
3. Click on the Yes option.
4. Navigate to Scenarios in HKEY_LOCAL_MACHINE.
5. Right-click on Scenarios > New > Key.
6. Name it as HypervisorEnforcedCodeIntegrity.
7. Right-click on it > New > DWORD (32-bit) Value.
8. Name it as Enabled.
9. Double-click on it to set the Value data as 1 to enable and 0 to disable.
10. Click the OK button.
11. Restart your computer.

To learn more about these steps, keep reading.

Precaution: Before heading to the REGEDIT steps, don’t forget to create a System Restore point.

To get started, press Win+R to open the Run dialog, type regedit, and hit the Enter button. If the UAC prompt appears on your screen, click on the Yes option to open the Registry Editor.

Next, navigate to the following path:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios

Right-click on the Scenarios key > New > Key, and name it as HypervisorEnforcedCodeIntegrity.

Then, you have to create a REG_DWORD value. For that, right-click on HypervisorEnforcedCodeIntegrity > New > DWORD (32-bit) Value, and name it as Enabled.

By default, it comes with a Value data of 0, meaning it is disabled. However, if you want to enable this functionality, double-click on it to set the Value data as 1.

Click the OK button and restart your computer.

That said, there are two more options that might be available depending on the hardware of your PC.

1. Security Processor only shows up if you have TPM available with your PC hardware. They are discrete chips soldered to a computer’s motherboard by the OEM. To get the most out of TPM, OEM must carefully integrate system hardware and firmware with the TPM to send it commands and react to its responses. The newer TPMs can also provide security and privacy benefits to the system hardware itself. So make sure to check for all of these if you are buying a new PC.
2. Secure Boot prevents malicious code to load up before your OS. They are hard to crack but with secure boot it’s taken care of.

Windows 11/10 also offers Hypervisor Protected Code Integrity (HVCI)  when you start with clean installs. Those who are on old hardware, will have the ability to opt-in post the upgrade using the UI in Windows Defender Security Center (WDSC). This enhancement will ensure that the kernel process that verifies code integrity runs in a secure runtime environment.

Read: Virtualization-based Security not enabled in Windows 11.

Related posts

• Омогућите заштиту потенцијално нежељених апликација у оперативном систему Виндовс 11/10

• Како искључити фасциклу из скенирања Виндовс Дефендер-а у оперативном систему Виндовс 11/10

• Не могу да укључим Виндовс Дефендер у оперативном систему Виндовс 11/10

• Како отворити Виндовс центар за безбедност у оперативном систему Виндовс 11/10

• Извршите ванмрежно скенирање Виндовс Дефендер-а при покретању система Виндовс 11/10

• Мицрософт Интуне се не синхронизује? Присилите Интуне да се синхронизује у оперативном систему Виндовс 11/10

• Виндовс Дефендер се не ажурира аутоматски у оперативном систему Виндовс 11/10

• Поправите високу употребу ЦПУ-а, меморије или диска у Цхроме-у у оперативном систему Виндовс 11/10

• ХДМИ уређај за репродукцију се не приказује у оперативном систему Виндовс 11/10

• Како проверити евиденцију о искључивању и покретању у оперативном систему Виндовс 11/10

• Шта је датотека Виндовс.едб у оперативном систему Виндовс 11/10

• Направите резервну копију, преместите или избришите ПагеФиле.сис при гашењу у оперативном систему Виндовс 11/10

• Како додати уређивач групних политика у Виндовс 11/10 Хоме Едитион

• Како омогућити периодично скенирање програма Виндовс Дефендер у оперативном систему Виндовс 11/10

• Најбољи бесплатни софтвер за распоред за Виндовс 11/10

• Шта је ППС датотека? Како претворити ППС у ПДФ у оперативном систему Виндовс 11/10?

• Омогућите мрежне везе док сте у модерном стању приправности на Виндовс 11/10

• Шта је ВДАГУтилитиАццоунт у оперативном систему Виндовс 11/10? Да ли да га избришем?

• Укључите или ИСКЉУЧИТЕ поставке заштите засноване на репутацији у оперативном систему Виндовс 11/10

• Како очистити кеш меморију у оперативном систему Виндовс 11/10