Найти тему
Windows 11, 10, etc

Защита целостности кода с помощью гипервизора (HVCI) в Windows 10

Оглавление

Начиная с Windows 10 1709 для изданий Pro и выше (включая S mode) можно укрепить безопасность, включив защиту процессов режима ядра от инъекций и выполнения вредоносного или непроверенного кода.

Проверка целостности кода выполняется в защищенной среде, а разрешения страниц для режима ядра задаются и обслуживаются гипервизором Hyper-V. Защита работает на основе политик аудита WDAC (Windows Defender Application Control).

-2

⚠️ После включения политики возможны конфликты с драйверами, BSODы, вплоть до невозможности загрузиться в ОС.

Версия 1709

Достаточно скачать файл политик в CAB-архиве, распаковать его в System32\CodeIntegrity и убедиться, что включен гипервизор. После перезагрузки все должно работать, проверяется в msinfo32.

• Документация с картинками, файл политики: https://goo.gl/oZ66mi

• Статья в тему "Windows 10 Device Guard and Credential Guard Demystified": https://goo.gl/NWFxjZ

В случае проблем просто удалите файл политик.

Версия 1803

HVCI будет включаться автоматически при чистой установке 1803 на поддерживаемое железо - седьмое поколение процессоров Intel и AMD с поддержкой MBEC. Кроме того В 1803 HVCI можно включить в графическом интерфейсе центра безопасности защитника Windows.

Там появился новый раздел Безопасность устройства, где в категории Изоляция ядра в присутствует единственная настройка Целостность памяти. Это и есть HVCI, в чем опять же помогает убедиться msinfo32.

-3

Но, как выяснилось, в GUI можно только включить HVCI, но не отключить :) Это известный баг, который должны скоро исправить.

А пока для отключения придется в разделе реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity

установить для параметра Enabled значение 0 и перезагрузиться.