Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Integritas memori adalah fitur keamanan berbasis virtualisasi (VBS) yang tersedia di Windows 10, Windows 11, dan Windows Server 2016 atau yang lebih tinggi. Integritas memori dan VBS meningkatkan model ancaman Windows dan memberikan perlindungan yang lebih kuat terhadap malware yang mencoba mengeksploitasi kernel Windows. VBS menggunakan hypervisor Windows untuk membuat lingkungan virtual terisolasi yang menjadi akar kepercayaan OS yang mengasumsikan kernel dapat disusupi. Integritas memori adalah komponen penting yang melindungi dan mengeraskan Windows dengan menjalankan integritas kode mode kernel dalam lingkungan virtual VBS yang terisolasi. Integritas memori juga membatasi alokasi memori kernel yang dapat digunakan untuk membahayakan sistem, memastikan bahwa halaman memori kernel hanya dibuat dapat dieksekusi setelah melewati pemeriksaan integritas kode di dalam lingkungan runtime aman, dan halaman yang dapat dieksekusi sendiri tidak pernah dapat ditulis.
Catatan
Integritas memori terkadang disebut sebagai integritas kode yang dilindungi hypervisor (HVCI) atau integritas kode yang diberlakukan hypervisor, dan awalnya dirilis sebagai bagian dari Device Guard. Device Guard tidak lagi digunakan kecuali untuk menemukan integritas memori dan pengaturan VBS dalam Kebijakan Grup atau registri Windows.
Lihat Perlindungan Sumber Daya Sistem Keamanan Berbasis Virtualisasi untuk detail selengkapnya tentang perlindungan ini.
Pengaktifan default
Integritas memori diaktifkan secara default pada penginstalan windows 11 yang bersih, dan sebelumnya hanya pada instalasi bersih Windows 10 dalam mode S, pada perangkat keras yang kompatibel seperti yang dijelaskan dalam artikel ini. Ini juga diaktifkan secara default pada semua PC Secured-core. Pada sistem lain yang tidak memenuhi persyaratan pengaktifan otomatis integritas memori, pelanggan dapat memilih menggunakan salah satu metode yang dijelaskan dalam cara mengaktifkan integritas memori. Pro IT dan pengguna akhir selalu memiliki kontrol akhir tentang apakah integritas memori diaktifkan.
Fitur perangkat keras untuk pengaktifan otomatis
Integritas memori diaktifkan secara default saat PC memenuhi fitur perangkat keras minimum berikut:
Komponen | Detail |
---|---|
Pemroses |
|
RAM | Minimum 8GB (Hanya berlaku untuk prosesor x64) |
Penyimpanan | SSD dengan ukuran minimum 64GB |
Driver | Driver yang kompatibel dengan integritas memori harus diinstal. Lihat Kompatibilitas driver dengan integritas memori untuk informasi selengkapnya tentang driver. |
BIOS | Virtualisasi harus diaktifkan |
Jika Anda membangun gambar yang tidak akan mengaktifkan integritas memori secara otomatis, Anda masih dapat mengonfigurasi gambar sehingga gambar diaktifkan secara default.
Catatan
Pengaktifan otomatis hanya berkaitan dengan penginstalan yang bersih, bukan peningkatan perangkat yang ada.
Catatan
Prosesor desktop Core generasi ke-11 Intel tidak disertakan dalam logika pengaktifan default saat ini. Namun, mereka adalah platform yang direkomendasikan untuk integritas memori dan dapat diaktifkan oleh OEM.
Integritas memori dan kontrol VBS
Bagian ini menghitung bagaimana produsen perangkat dan pengguna akhir dapat berinteraksi dengan integritas memori dan VBS. Untuk mempelajari tentang cara mengontrol status integritas memori sebagai administrator, lihat Cara mengaktifkan integritas memori.
Mengaktifkan integritas memori
Meskipun Windows akan mengaktifkan integritas memori secara default untuk sebagian besar sistem, ada beberapa alasan yang dapat mencegah hal itu terjadi. Sebagai OEM, Anda dapat memastikan bahwa integritas memori diaktifkan untuk perangkat Anda dengan mengonfigurasi kunci registri dalam gambar OS.
Konfigurasi yang disarankan
Atur dua kunci registri berikut dalam gambar Anda untuk memastikan integritas memori diaktifkan.
Kunci Registri | Nilai |
---|---|
HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity | Diaktifkan=1 |
HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity | WasEnabledBy=1 |
HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity | EnabledBootId=<Current BootId> |
BootId adalah penghitung yang meningkat pada setiap boot yang berhasil dan dapat ditemukan di kunci registri: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters\BootId Kunci registri WasEnabledBy dan EnabledBootId mengontrol pengaturan yang melindungi dari memiliki perangkat yang tidak dapat diboot. Ketika diatur, perangkat akan secara otomatis mematikan integritas memori jika sistem mengalami crash selama boot, berpotensi disebabkan oleh integritas memori yang memblokir driver boot-critical yang tidak kompatibel. Fitur penonaktifan otomatis ini hanya tersedia sementara BootId kurang dari EnabledBootId + 3. Di beberapa versi Windows, fungsionalitas nonaktifkan otomatis dirancang untuk kembali jika kegagalan boot berlanjut bahkan setelah integritas memori dimatikan, menunjukkan bahwa integritas memori bukan akar penyebab kegagalan.
Catatan
Untuk sistem keamanan tinggi, WasEnabledBy dan EnabledBootId TIDAK boleh diatur.
Pemecahan Masalah
Mengidentifikasi status integritas memori
Regkey volatil berikut mencerminkan status integritas memori:
Kunci Registri | Nilai |
---|---|
HKLM\System\CurrentControlSet\Control\CI\State | HVCIEnabled |
Cara lain untuk memeriksa status integritas memori adalah dengan melihat MsInfo32 di bawah Layanan Keamanan berbasis Virtualisasi yang Berjalan atau merujuk ke halaman Pengaturan isolasi inti di aplikasi Keamanan Windows untuk melihat nilai integritas Memori. Ada juga antarmuka WMI untuk memeriksa menggunakan alat manajemen, lihat Memvalidasi fitur integritas VBS dan memori yang diaktifkan.
Masalah Driver Penelusuran Kesalahan
Periksa log Integritas Kode untuk melihat apakah ada driver yang diblokir agar tidak dimuat sebagai akibat dari integritas memori. Ini ada di Pemantau Peristiwa di bawah jalur berikut:
Applications and Service Logs\Microsoft\Windows\CodeIntegrity\Operational
Umumnya, peristiwa kompatibilitas integritas memori memiliki EventID=3087
Periksa hasil pengaktifan default integritas memori
Untuk melihat detail tentang hasil pengaktifan default integritas memori, periksa setupact.log dan cari HVCI
. Anda akan melihat salah satu log hasil berikut, serta pemeriksaan yang berhasil/gagal yang mengarah ke keputusan pengaktifan:
Integritas memori diaktifkan: SYSPRP HVCI: Enabling HVCI
Integritas memori tidak diaktifkan: SYSPRP HVCI: OS does not meet HVCI auto-enablement requirements. Exiting now.
Jika perangkat ditolak dari pengaktifan integritas memori melalui metode regkey yang dirinci sebelumnya, maka ini akan menjadi satu-satunya log dari sysprep integritas memori. Jika perangkat mengalami masalah kompatibilitas, perangkat harus diidentifikasi dalam log sebelumnya dengan pesan kesalahan:
SYSPRP HVCI: Compatibility did not pass. VBS_COMPAT_ISSUES 0xXXXXXXXX
Berikut ini adalah enumerasi potensi VBS atau Masalah Kompat integritas memori. Setiap masalah diwakili oleh indeks tunggal dalam array bit, dan pesan kesalahan menghasilkan nilai hex yang dihasilkan dari setiap bit kesalahan yang ada.
Indeks Bit | Masalah Kompat | Nilai Hex | Sistem |
---|---|---|---|
0 | Arsitektur yang tidak didukung (misalnya x86) | 0x00000001 | |
1 | SLAT diperlukan | 0x00000002 | x64 |
2 | Kemampuan Boot Aman diperlukan | 0x00000004 | x64 |
3 | IOMMU diperlukan | 0x00000008 | x64 |
4 | Diperlukan MBEC/GMET | 0x00000010 | x64 |
5 | Diperlukan UEFI | 0x00000020 | x64 |
6 | Tabel Atribut Memori WX UEFI diperlukan | 0x00000040 | x64 |
7 | Tabel ACPI WSMT diperlukan | 0x00000080 | x64 |
8 | UEFI MOR Lock diperlukan | 0x00000100 | x64 |
9 | Tidak digunakan lagi | ||
10 | Virtualisasi perangkat keras diperlukan | 0x00000400 | x64 |
11 | Peluncuran Aman diperlukan | 0x00000800 | ARM64 |
12 | Tidak digunakan lagi | ||
13 | Perangkat gagal memenuhi ukuran volume minimum 64GB yang diperlukan | 0x00002000 | x64, ARM64 |
14 | SSD drive sistem diperlukan | 0x00004000 | x64, ARM64 |
15 | Intel CET Diperlukan (Hanya berlaku pada W11 21H2) | 0x00008000 | x64 |
16 | ARM SoC tidak kompatibel dengan VBS | 0x00010000 | ARM64 |
17 | RAM 8GB diperlukan | 0x00020000 | x64 |
Contoh kode kesalahan dan identifikasi kesalahan: VBS_COMPAT_ISSUES 0x000000C0
0x000000C0 -> 0x00000040 DAN 0x00000080 -> Tabel Atribut Memori WX UEFI diperlukan, tabel ACPI WSMT diperlukan