Bagikan melalui


Integritas memori dan pengaktifan VBS

Integritas memori adalah fitur keamanan berbasis virtualisasi (VBS) yang tersedia di Windows 10, Windows 11, dan Windows Server 2016 atau yang lebih tinggi. Integritas memori dan VBS meningkatkan model ancaman Windows dan memberikan perlindungan yang lebih kuat terhadap malware yang mencoba mengeksploitasi kernel Windows. VBS menggunakan hypervisor Windows untuk membuat lingkungan virtual terisolasi yang menjadi akar kepercayaan OS yang mengasumsikan kernel dapat disusupi. Integritas memori adalah komponen penting yang melindungi dan mengeraskan Windows dengan menjalankan integritas kode mode kernel dalam lingkungan virtual VBS yang terisolasi. Integritas memori juga membatasi alokasi memori kernel yang dapat digunakan untuk membahayakan sistem, memastikan bahwa halaman memori kernel hanya dibuat dapat dieksekusi setelah melewati pemeriksaan integritas kode di dalam lingkungan runtime aman, dan halaman yang dapat dieksekusi sendiri tidak pernah dapat ditulis.

Catatan

Integritas memori terkadang disebut sebagai integritas kode yang dilindungi hypervisor (HVCI) atau integritas kode yang diberlakukan hypervisor, dan awalnya dirilis sebagai bagian dari Device Guard. Device Guard tidak lagi digunakan kecuali untuk menemukan integritas memori dan pengaturan VBS dalam Kebijakan Grup atau registri Windows.

Lihat Perlindungan Sumber Daya Sistem Keamanan Berbasis Virtualisasi untuk detail selengkapnya tentang perlindungan ini.

Pengaktifan default

Integritas memori diaktifkan secara default pada penginstalan windows 11 yang bersih, dan sebelumnya hanya pada instalasi bersih Windows 10 dalam mode S, pada perangkat keras yang kompatibel seperti yang dijelaskan dalam artikel ini. Ini juga diaktifkan secara default pada semua PC Secured-core. Pada sistem lain yang tidak memenuhi persyaratan pengaktifan otomatis integritas memori, pelanggan dapat memilih menggunakan salah satu metode yang dijelaskan dalam cara mengaktifkan integritas memori. Pro IT dan pengguna akhir selalu memiliki kontrol akhir tentang apakah integritas memori diaktifkan.

Fitur perangkat keras untuk pengaktifan otomatis

Integritas memori diaktifkan secara default saat PC memenuhi fitur perangkat keras minimum berikut:

Komponen Detail
Pemroses
  • Intel generasi ke-8 atau yang lebih baru dimulai dengan Windows 11, versi 22H2 (prosesor Core generasi ke-11 dan yang lebih baru hanya untuk Windows 11, versi 21H2)
  • Arsitektur AMD Zen 2 dan yang lebih baru
  • Qualcomm Snapdragon 8180 dan yang lebih baru
RAM Minimum 8GB (Hanya berlaku untuk prosesor x64)
Penyimpanan SSD dengan ukuran minimum 64GB
Driver Driver yang kompatibel dengan integritas memori harus diinstal. Lihat Kompatibilitas driver dengan integritas memori untuk informasi selengkapnya tentang driver.
BIOS Virtualisasi harus diaktifkan

Jika Anda membangun gambar yang tidak akan mengaktifkan integritas memori secara otomatis, Anda masih dapat mengonfigurasi gambar sehingga gambar diaktifkan secara default.

Catatan

Pengaktifan otomatis hanya berkaitan dengan penginstalan yang bersih, bukan peningkatan perangkat yang ada.

Catatan

Prosesor desktop Core generasi ke-11 Intel tidak disertakan dalam logika pengaktifan default saat ini. Namun, mereka adalah platform yang direkomendasikan untuk integritas memori dan dapat diaktifkan oleh OEM.

Integritas memori dan kontrol VBS

Bagian ini menghitung bagaimana produsen perangkat dan pengguna akhir dapat berinteraksi dengan integritas memori dan VBS. Untuk mempelajari tentang cara mengontrol status integritas memori sebagai administrator, lihat Cara mengaktifkan integritas memori.

Mengaktifkan integritas memori

Meskipun Windows akan mengaktifkan integritas memori secara default untuk sebagian besar sistem, ada beberapa alasan yang dapat mencegah hal itu terjadi. Sebagai OEM, Anda dapat memastikan bahwa integritas memori diaktifkan untuk perangkat Anda dengan mengonfigurasi kunci registri dalam gambar OS.

Atur dua kunci registri berikut dalam gambar Anda untuk memastikan integritas memori diaktifkan.

Kunci Registri Nilai
HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity Diaktifkan=1
HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity WasEnabledBy=1
HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity EnabledBootId=<Current BootId>

BootId adalah penghitung yang meningkat pada setiap boot yang berhasil dan dapat ditemukan di kunci registri: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters\BootId Kunci registri WasEnabledBy dan EnabledBootId mengontrol pengaturan yang melindungi dari memiliki perangkat yang tidak dapat diboot. Ketika diatur, perangkat akan secara otomatis mematikan integritas memori jika sistem mengalami crash selama boot, berpotensi disebabkan oleh integritas memori yang memblokir driver boot-critical yang tidak kompatibel. Fitur penonaktifan otomatis ini hanya tersedia sementara BootId kurang dari EnabledBootId + 3. Di beberapa versi Windows, fungsionalitas nonaktifkan otomatis dirancang untuk kembali jika kegagalan boot berlanjut bahkan setelah integritas memori dimatikan, menunjukkan bahwa integritas memori bukan akar penyebab kegagalan.

Catatan

Untuk sistem keamanan tinggi, WasEnabledBy dan EnabledBootId TIDAK boleh diatur.

Pemecahan Masalah

Mengidentifikasi status integritas memori

Regkey volatil berikut mencerminkan status integritas memori:

Kunci Registri Nilai
HKLM\System\CurrentControlSet\Control\CI\State HVCIEnabled

Cara lain untuk memeriksa status integritas memori adalah dengan melihat MsInfo32 di bawah Layanan Keamanan berbasis Virtualisasi yang Berjalan atau merujuk ke halaman Pengaturan isolasi inti di aplikasi Keamanan Windows untuk melihat nilai integritas Memori. Ada juga antarmuka WMI untuk memeriksa menggunakan alat manajemen, lihat Memvalidasi fitur integritas VBS dan memori yang diaktifkan.

Masalah Driver Penelusuran Kesalahan

Periksa log Integritas Kode untuk melihat apakah ada driver yang diblokir agar tidak dimuat sebagai akibat dari integritas memori. Ini ada di Pemantau Peristiwa di bawah jalur berikut:

Applications and Service Logs\Microsoft\Windows\CodeIntegrity\Operational

Umumnya, peristiwa kompatibilitas integritas memori memiliki EventID=3087

Periksa hasil pengaktifan default integritas memori

Untuk melihat detail tentang hasil pengaktifan default integritas memori, periksa setupact.log dan cari HVCI. Anda akan melihat salah satu log hasil berikut, serta pemeriksaan yang berhasil/gagal yang mengarah ke keputusan pengaktifan:

Integritas memori diaktifkan: SYSPRP HVCI: Enabling HVCI

Integritas memori tidak diaktifkan: SYSPRP HVCI: OS does not meet HVCI auto-enablement requirements. Exiting now.

Jika perangkat ditolak dari pengaktifan integritas memori melalui metode regkey yang dirinci sebelumnya, maka ini akan menjadi satu-satunya log dari sysprep integritas memori. Jika perangkat mengalami masalah kompatibilitas, perangkat harus diidentifikasi dalam log sebelumnya dengan pesan kesalahan:

SYSPRP HVCI: Compatibility did not pass. VBS_COMPAT_ISSUES 0xXXXXXXXX

Berikut ini adalah enumerasi potensi VBS atau Masalah Kompat integritas memori. Setiap masalah diwakili oleh indeks tunggal dalam array bit, dan pesan kesalahan menghasilkan nilai hex yang dihasilkan dari setiap bit kesalahan yang ada.

Indeks Bit Masalah Kompat Nilai Hex Sistem
0 Arsitektur yang tidak didukung (misalnya x86) 0x00000001
1 SLAT diperlukan 0x00000002 x64
2 Kemampuan Boot Aman diperlukan 0x00000004 x64
3 IOMMU diperlukan 0x00000008 x64
4 Diperlukan MBEC/GMET 0x00000010 x64
5 Diperlukan UEFI 0x00000020 x64
6 Tabel Atribut Memori WX UEFI diperlukan 0x00000040 x64
7 Tabel ACPI WSMT diperlukan 0x00000080 x64
8 UEFI MOR Lock diperlukan 0x00000100 x64
9 Tidak digunakan lagi
10 Virtualisasi perangkat keras diperlukan 0x00000400 x64
11 Peluncuran Aman diperlukan 0x00000800 ARM64
12 Tidak digunakan lagi
13 Perangkat gagal memenuhi ukuran volume minimum 64GB yang diperlukan 0x00002000 x64, ARM64
14 SSD drive sistem diperlukan 0x00004000 x64, ARM64
15 Intel CET Diperlukan (Hanya berlaku pada W11 21H2) 0x00008000 x64
16 ARM SoC tidak kompatibel dengan VBS 0x00010000 ARM64
17 RAM 8GB diperlukan 0x00020000 x64

Contoh kode kesalahan dan identifikasi kesalahan: VBS_COMPAT_ISSUES 0x000000C0

0x000000C0 -> 0x00000040 DAN 0x00000080 -> Tabel Atribut Memori WX UEFI diperlukan, tabel ACPI WSMT diperlukan