Wenn Sie Windows 10 oder Windows 11 verwenden und sich Sorgen um die Sicherheit machen, haben Sie wahrscheinlich schon Folgendes gesehen: Windows-Sicherheit die Optionen von Kernisolierung y SpeicherintegritätViele Nutzer erhalten Warnungen wie „Die Speicherintegrität ist deaktiviert, Ihr Gerät ist möglicherweise angreifbar“, und es ist nicht immer klar, was das bedeutet oder wie man sie korrekt aktiviert, ohne Probleme zu verursachen. Wenn Sie mehr erfahren möchten, So sichern Sie Ihr Windows Sie können weitere Quellen konsultieren.
In diesem Leitfaden finden Sie eine sehr ausführliche, aber in klarer Sprache verfasste Erklärung dessen, was genau es ist. Kernisolation, wie es funktioniert SpeicherintegritätDieser Leitfaden erklärt die Voraussetzungen, die Aktivierung über die Windows-Grafikoptionen, die Befehlszeile oder erweiterte Richtlinien sowie das Vorgehen bei Fehlern, Bluescreens oder Leistungsproblemen nach der Aktivierung. Ziel ist es, Ihnen eine fundierte Entscheidung über die Aktivierung und vor allem eine sichere Konfiguration zu ermöglichen. Weitere Informationen finden Sie in unserer [Link zur relevanten Dokumentation/Anleitung/etc.]. vollständiger Leitfaden zu Sicherheit und Datenschutz.
Was ist Kernisolierung und welche Rolle spielt die Speicherintegrität?
Der Aufruf Kernisolierung Es handelt sich um eine fortschrittliche Sicherheitstechnologie, die in Windows integriert ist und auf Folgendem basiert: virtualisierungsbasierte Sicherheit (VBS)Im Prinzip erstellt Windows innerhalb des Systems selbst eine kleine, isolierte virtuelle Umgebung, die als Zone maximalen Vertrauens fungiert und von der aus die Vorgänge im System überwacht werden. Kern und in anderen kritischen Prozessen.
Innerhalb dieses geschützten Umfelds spielen folgende Faktoren eine Rolle: Speicherintegrität, Auch bekannt als HVCI (Hypervisor-Enforced Code Integrity)Diese Funktion erfordert, dass im Kernelmodus ausgeführter Code ordnungsgemäß signiert und verifiziert wird, und sie regelt streng, wie Ressourcen zugewiesen und verändert werden. Kernelspeicher, wodurch typische Versuche vieler Arten von Schadsoftware, sich in den Kern des Systems einzuschleusen, blockiert werden.
Wenn Sie die Kernisolierung und die Speicherintegrität aktivieren, errichtet Windows eine Art „virtuelle Mauer“ um den Kernel: der Windows-Hypervisor Es isoliert einen Speicherbereich, in dem Codeintegritätsprüfungen durchgeführt werden, und der Kernel selbst wird deutlich strenger kontrolliert. Dies erschwert es Angreifern erheblich, interne Systemstrukturen zu verändern oder schädliche Treiber zu laden.
All dies ist Teil einer Änderung des Windows-Sicherheitsmodells: Der Kernel wird nicht mehr als unantastbar betrachtet, sondern als angreifbar. Dies wird durch eine zusätzliche Schicht verstärkt, die auf diesem Kernel läuft. isolierte virtuelle UmgebungEs handelt sich um einen ähnlichen Ansatz wie die Verwendung eines „Mikrobetriebssystems“, das speziell für die Überwachung des Hauptsystems zuständig ist.
Funktionen und Vorteile der Speicherintegrität
Die Speicherintegrität ist nicht einfach nur „ein weiterer Schalter“ in der Windows-Sicherheit. Sie ist eine Schlüsselkomponente von VBS und bietet zahlreiche Vorteile. spezifische Schutzschichten gegen Angriffe auf den Kernel und die Treiber.
Einerseits schützt diese Funktion die Control Flow Guard (CFG) Bitmap Bei Kernel-Mode-Controllern ist CFG eine Technologie, die versucht zu verhindern, dass der Programmablauf in unerwartete Speicherbereiche umgeleitet wird.
Des Weiteren die Integrität des Speichers schützt den Prozess selbst, die Codeintegrität im KernelmodusDiese Instanz ist dafür verantwortlich, zu überprüfen, ob vertrauenswürdige Prozesse und Controller über gültige Zertifikate verfügen und nicht manipuliert wurden. Dadurch werden nicht nur andere überwacht, sondern auch die Überwacher selbst, wodurch das Risiko einer Sabotage des Sicherheitsmechanismus verringert wird.
Ein weiterer wichtiger Beitrag besteht darin, dass es die Kernel-SpeicherzuweisungenViele Techniken zur Rechteausweitung oder Rootkits bestehen genau darin, das System dazu zu bringen, Speicher auf eine bestimmte Weise zu reservieren, um bösartigen Code einzuschleusen.
In der Praxis führt all dies zu einer spürbaren Verbesserung in Windows-BedrohungsmodellDer Kernel, der für bestimmte Familien hochentwickelter Malware ein relativ leichtes Ziel darstellt, wird deutlich besser geschützt, insbesondere in Kombination mit anderen Funktionen wie Credential Guard oder anderen hardwarebasierten Schutzmechanismen. ASR unter Windows.
In der Praxis führt all dies zu einer deutlichen Verbesserung des Windows-Bedrohungsmodells: Der Kernel wird von einem relativ leicht zugänglichen Ziel für bestimmte Familien ausgeklügelter Malware zu einem wesentlich besser geschützten System, insbesondere in Kombination mit anderen Funktionen wie Credential Guard oder anderen hardwarebasierten Schutzmechanismen.
Was genau schützt die Kernisolierung auf Ihrem PC?
Um die Leistungsfähigkeit dieser Funktion vollständig zu verstehen, ist es hilfreich, zwischen folgenden Punkten zu unterscheiden: primäre Hardware y PeripheriegeräteBei der Kernisolation und der Speicherintegrität liegt der Fokus primär auf dem Schutz des Pfades, der das System mit der primären Hardware (Motherboard, CPU, GPU, RAM, Hauptspeichereinheit…) verbindet, wo die heikelsten Vorgänge stattfinden.
In der Zwischenzeit ist alles, was damit verbunden ist, USB- oder andere Anschlüsse Externe Speichergeräte (wie Mäuse, Tastaturen, Drucker und Mobiltelefone) zählen zur Peripheriehardware. Obwohl diese Geräte nicht zum Kern des Computers gehören, stellen sie ein wichtiges Einfallstor für Schadsoftware dar. Die Integrität des Arbeitsspeichers erschwert es Schadsoftware, den Kernel direkt anzugreifen, selbst wenn eines dieser Geräte kompromittiert ist oder einen anfälligen Treiber verwendet.
Es ist erwähnenswert, dass diese Funktion Es ersetzt keine Antivirensoftware.Windows Defender (oder Microsoft Defender) ist weiterhin unerlässlich für die Analyse von Dateien, Prozessen und Netzwerkverkehr und ist Teil der Strategie für Schützen Sie Ihren PC vor Hacks und AngriffenKernel-Isolation und Speicherintegrität ergänzen sich auf niedriger Ebene und greifen ein, wenn ein Angriff direkt auf das Betriebssystem abzielt. Die Kombination beider stärkt die Gesamtsicherheit erheblich.
Dieser zusätzliche Schutz hat jedoch auch seine Nachteile. Kosten in RessourcenGenauso wie ein Zugangskontrollsystem mit mehr Schritten länger braucht, um Ihnen Einlass in Ihr Haus zu gewähren, verbraucht Windows umso mehr Zeit und Rechenleistung, je mehr Prüfungen es am in den Kernel geladenen Code durchführt. Dies kann sich auf sehr leistungsschwachen Systemen oder in Situationen wie anspruchsvollen Spielen bemerkbar machen.
Vor- und Nachteile: Sicherheit vs. Leistung
Die Aktivierung der Kernisolierung und der Speicherintegrität erhöht eindeutig die SystemsicherheitDoch es ist nicht alles Gold, was glänzt. Viele Nutzer haben festgestellt, dass nach der Aktivierung dieser Optionen … Die Bildrate (FPS) in Spielen wird reduziert oder dass sich das System etwas schwerer anfühlt, insbesondere auf Computern, die bereits an der Hardwaregrenze arbeiten.
Es gibt auch Fälle, in denen bei aktivierter Kernisolierung Folgendes auftritt Bluescreens des Todes (BSOD) oder ungewöhnliche Verstopfungen. In den meisten dieser Fälle ist die Ursache in der Regel dieselbe: inkompatible Controller oder schlecht konzipiert sind und die strengsten Codeintegritätsregeln von HVCI nicht erfüllen.
Wenn Sie Ihren Computer hingegen eher konservativ nutzen (Sie laden keine ungewöhnliche Software herunter, besuchen vertrauenswürdige Websites, halten Ihr System auf dem neuesten Stand und lassen Microsoft Defender aktiviert), werden Sie beim Aktivieren der Kernisolierung möglicherweise keinen großen Unterschied in der Sicherheit feststellen, dafür aber einen Leistungsverlust, insbesondere bei Spielen oder sehr rechenintensiven Anwendungen.
Die vernünftige Empfehlung lautet in der Regel folgende: Wenn Ihre Ausrüstung relativ modern ist, Es erfüllt die VirtualisierungsanforderungenWenn beim Aktivieren der Funktion keine Fehler auftreten und keine nennenswerten Leistungseinbußen festgestellt werden, empfiehlt es sich, die Kernisolierung aktiviert zu lassen. Sollten jedoch erhebliche Leistungseinbrüche oder Instabilität auftreten, sollten Sie die Funktion deaktivieren oder nur zu bestimmten Zeiten verwenden.
In jedem Fall, selbst wenn all diese Funktionen aktiviert sind, bleibt der Benutzer der entscheidende Faktor: Vermeiden Sie verdächtige DownloadsDas Nicht-Öffnen verdächtiger Anhänge, das Meiden unseriöser Webseiten und das regelmäßige Aktualisieren aller Systeme sind nach wie vor der beste Schutz. Technologie ist hilfreich, aber sie kann keine Wunder vollbringen, wenn man beim Surfen nicht vorsichtig ist.
So aktivieren Sie die Kernisolierung und die Speicherintegrität in der Windows-Sicherheit
Der direkteste und anschaulichste Weg, Kernisolierung und Speicherintegrität zu aktivieren, ist durch … Windows-SicherheitsanwendungDiese Funktion ist sowohl in Windows 10 als auch in Windows 11 integriert. Die Schritte sind in beiden Systemen sehr ähnlich, obwohl sich der Menüname leicht ändert.
Unter Windows 11 können Sie die Anwendung durch Drücken der entsprechenden Taste öffnen. Windows + I zu den Einstellungen gehen und dann eingeben Datenschutz und Sicherheit > Windows-SicherheitDort finden Sie eine Schaltfläche zum Öffnen. Alternativ können Sie im Startmenü nach „Windows-Sicherheit“ suchen oder auf das blaue Schildsymbol klicken, das normalerweise in der Taskleiste angezeigt wird.
Sobald Sie sich in Windows Security befinden, gehen Sie zum Abschnitt GerätesicherheitDort finden Sie den Abschnitt mit dem Namen KernisolierungSie werden wahrscheinlich eine Meldung sehen, die darauf hinweist, dass die Speicherintegrität ist deaktiviert und dass Ihr Gerät möglicherweise angreifbar ist, wenn Sie diese Funktion nicht aktivieren.
Klicken Sie auf Details zur KernisolierungEs öffnet sich ein Bildschirm mit verschiedenen erweiterten Optionen. Die wichtigste ist der Schalter. SpeicherintegritätDurch die Aktivierung dieser Funktion beginnt Windows, diese verstärkten Codeintegritätsrichtlinien auf den Kernel anzuwenden und so das Laden potenziell schädlicher Treiber oder Codes zu verhindern.
Im selben Abschnitt finden Sie je nach Ihrer Windows-Version auch die Option Microsoft-Sperrliste anfälliger TreiberDiese Funktion, die üblicherweise standardmäßig aktiviert ist, verhindert das Laden bestimmter Treiber mit bekannten schwerwiegenden Sicherheitslücken. In Kombination mit der Speicherintegrität bietet sie eine zusätzliche Sicherheitsebene gegen problematische Treiber.
Wie man Speicherintegrität und VBS mithilfe von Befehlen und der Registrierung aktiviert
Wenn Sie mehrere Computer verwalten oder eine feinere Steuerung wünschen, ist das ebenfalls möglich. Aktivieren Sie die Kernisolierung und Speicherintegrität über die Befehlszeile.Dabei werden bestimmte Schlüssel in der Windows-Registrierung direkt geändert. Dies ist besonders nützlich in Unternehmensumgebungen oder wenn die Konfiguration automatisiert werden soll.
Öffnen Sie zunächst die Eingabeaufforderung als AdministratorDrücken Sie Windows + S, geben Sie „cmd“ ein, klicken Sie mit der rechten Maustaste auf „Eingabeaufforderung“ und wählen Sie „Als Administrator ausführen“. Bestätigen Sie die Benutzerkontensteuerung, falls diese angezeigt wird.
Der Hauptschlüssel zur Speicherintegrität liegt in HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrityInnerhalb dieses Zweigs, der Wert Nutzer der Smart‑Spaces‑App mit Google Wallet erhalten berührungslosen Mobile‑Zutritt an jedem NFC‑fähigen HID® Signo™‑Leser. Hiermit wird gesteuert, ob HCVI aktiviert (1) oder deaktiviert (0) ist. Sie können es mit einem Befehl wie diesem aktivieren:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v Enabled /t REG_DWORD /d 1 /f
Die Kernisolierung hängt von der virtualisierungsbasierte Sicherheit (VBS) ist aktiviert. Das wird über den Schlüssel gesteuert. HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuardDort finden Sie mehrere wichtige Werte: zum Beispiel, VirtualizationBasedSecurity aktivieren (um die VBS einzuschalten), RequirePlatformSecurityFeatures (um Secure Boot und DMA-Schutz mit unterschiedlichen Werten zu erzwingen) und Gesperrt (um anzuzeigen, ob die UEFI-Sperre eingerichtet ist oder nicht).
Ein typischer Befehlssatz zur Konfiguration von VBS und HVCI, ohne die Firmware dauerhaft zu sperren, könnte etwa so aussehen und wird stets in einer Konsole mit erhöhten Rechten ausgeführt:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f
Verwendung von App Control for Business und PowerShell
In Organisationen, die Sicherheitsrichtlinien auf vielen Computern einsetzen, bietet Microsoft eine weitere Möglichkeit zur Gewährleistung der Speicherintegrität: App-Steuerung für Unternehmen, Nachfolger der Windows Defender Application Control. Von dort aus kann HVCI als Teil einer zentralen Richtlinie eingebunden werden.
Eine gängige Methode ist die Verwendung von AnwendungskontrollassistentDieser Assistent führt Sie durch die Erstellung oder Änderung der Richtlinie. Auf der Seite „Richtlinienregeln“ können Sie innerhalb dieses Assistenten die entsprechende Option auswählen. Die Codeintegrität wird durch den Hypervisor geschützt.Dies bedeutet, dass Sie die Speicherintegrität auf allen Geräten aktivieren möchten, die diese Richtlinie anwenden.
Eine weitere Alternative ist die Verwendung des PowerShell-Cmdlets. Set-HVCIOptionsDies ermöglicht die Konfiguration verschiedener HVCI-Betriebsmodi, wie z. B. Überwachung, erzwungener Betrieb usw. Dies ist sehr nützlich, wenn Sie die Kompatibilität Ihrer Controller im Überwachungsmodus testen möchten, bevor Sie in einen strikt erzwungenen Modus wechseln.
Schließlich kann jeder mit Erfahrung in XML die Datei direkt bearbeiten. App Control-Richtliniendatei und den Wert des Elements ändern <HVCIOptions>Dies ermöglicht eine recht detaillierte Kontrolle darüber, wie die Speicherintegrität in einer Umgebung angewendet wird, in der viele Computer gleichzeitig verwaltet werden.
Dieser gesamte Ansatz ist eher auf Unternehmen ausgerichtet, aber es ist gut zu wissen, dass die Speicherintegrität je nach den Bedürfnissen der jeweiligen Umgebung sowohl über die Benutzeroberfläche als auch über Richtlinienverwaltungstools und Skripte gesteuert werden kann.
Wie man überprüft, ob VBS und Speicherintegrität tatsächlich aktiv sind
Sobald VBS und Speicherintegrität aktiviert sind, stellt sich logischerweise die Frage, ob Sie arbeiten wirklich. oder ob etwas unvollendet geblieben ist. Windows bietet verschiedene Möglichkeiten, dies zu überprüfen, sowohl grafisch als auch über Befehle.
Eine der umfassendsten Möglichkeiten ist die Verwendung der WMI-Klasse. Win32_DeviceGuardDies ist über eine PowerShell-Sitzung mit Administratorrechten zugänglich. Die Ausführung eines Befehls wie diesem kann einen recht detaillierten Bericht generieren:
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard
Die Ausgabe dieses Befehls enthält Felder wie beispielsweise Verfügbare Sicherheitseigenschaftenwelche hardwarebasierten Sicherheitsfunktionen vorhanden sind (Hypervisor-Unterstützung, Secure Boot, DMA-Schutz, NX-Schutz, SMM-Abwehrmaßnahmen, MBEC/GMET, APIC-Virtualisierung usw.), und Erforderliche Sicherheitseigenschaften, was angibt, welche Eigenschaften notwendig sind, damit VBS korrekt aktiviert werden kann.
Sie werden auch Felder wie diese sehen: Sicherheitsdienste konfiguriert y Sicherheitsdienste werden ausgeführtdie zeigen, ob Dienste wie Credential Guard oder Speicherintegrität Sie werden konfiguriert und es wird angezeigt, ob sie tatsächlich ausgeführt werden. Beispielsweise deutet ein Wert, der „2“ enthält, in der Regel darauf hin, dass die Speicherintegrität entweder konfiguriert ist bzw. ausgeführt wird.
Ein weiteres wichtiges Feld ist Virtualisierungsbasierter SicherheitsstatusHier wird angezeigt, ob der VBS deaktiviert (0), aktiviert, aber nicht ausgeführt (1) oder aktiviert und voll funktionsfähig (2) ist. Für eine korrekte Funktion der Kernisolierung sollte dieser Wert idealerweise 2 betragen.
Wenn Sie etwas Visuelleres und weniger Technisches bevorzugen, können Sie sich an msinfo32.exeFühren Sie dieses Programm (z. B. durch Eingabe von „msinfo32“ in die Windows-Suchleiste) in einer Sitzung mit erhöhten Rechten aus. Am unteren Rand der Systemübersicht Sie sehen einen Block, der den VBS-Funktionen gewidmet ist und angibt, ob diese aktiviert sind und welche zugehörigen Schutzmechanismen aktiv sind.
Speicherintegrität in Hyper-V-VMs
Speicherintegrität und Kernisolation betreffen nicht nur die physische Hardware. Sie können auch innerhalb einer... aktiviert werden. Hyper-V virtuelle MaschineVorausgesetzt, bestimmte Voraussetzungen sind erfüllt. In diesem Fall genießt die VM denselben Schutz wie ein physischer PC vor Schadsoftware, die versucht, den Kernel der Gastmaschine anzugreifen.
Dafür ist die Hyper-V-Host Es muss mindestens Windows Server 2016 oder Windows 10 Version 1607 ausführen, und die virtuelle Maschine muss folgende Voraussetzungen erfüllen: Generation 2 und eine kompatible Windows-Version ausführen. Innerhalb der VM sind die Schritte zum Aktivieren der Kernisolierung die gleichen wie auf einem normalen Computer.
Es ist wichtig, die Speicherintegrität in der virtuellen Maschine zu verstehen. Schütze den Gast, nicht den Gastgeber.Der Host-Administrator hat weiterhin die Möglichkeit, die Konfiguration der VM zu steuern und kann die Teilnahme dieser virtuellen Maschine am VBS mit Befehlen wie den folgenden deaktivieren:
Set-VMSecurity -VMName <NombreVM> -VirtualizationBasedSecurityOptOut $true
Kernisolierung und Speicherintegrität sind zwei Schlüsselkomponenten der Windows-Sicherheitsverstärkung: Durch die Nutzung von Hardwarevirtualisierung fügen sie eine sehr tiefe Schutzebene über dem Kernel und den Treibern hinzu, die in der Lage ist, ausgeklügelte Angriffe zu stoppen, die zuvor ungehindert agieren konnten; ihre Aktivierung erfordert jedoch die Erfüllung bestimmter Hardwareanforderungen und die Akzeptanz, dass es auf einigen Systemen oder bei sehr anspruchsvollen Anwendungen zu Leistungseinbußen oder Treiberkompatibilität kommen kann. Daher ist es ratsam, ihren Einsatz sorgfältig abzuwägen und beim Durchsuchen und Installieren von Software stets auf bewährte Sicherheitspraktiken zu achten.
