Защита dma ядра отключена windows 10 что это
Перейти к содержимому

Защита dma ядра отключена windows 10 что это

  • автор:

Защита ядра DMA (защита доступа к памяти) для изготовителей оборудования

Защита DMA ядра (также известная как защита доступа к памяти) — это функция компьютера с Windows 10 защищенными ядрами, которая поддерживается на платформах Intel и AMD, начиная с Windows 10 версии 1803 и Windows 10, версия 1809.

С помощью этой функции ОС и встроенное ПО системы защищают систему от вредоносных и непреднамеренных атак с прямым доступом к памяти (DMA) для всех устройств с поддержкой DMA:

  • Во время процесса загрузки.
  • Защита от вредоносных DMA устройствами, подключенными к легкодоступным внешним/портам с поддержкой DMA, таким как слоты PCIe M.2 и Thunderbolt™3, во время выполнения ОС.
  • Встроенное ПО системы должно защищаться от атак DMA перед загрузкой, реализовав изоляцию DMA всех буферов ввода-вывода устройств с поддержкой DMA до ExitBootServices().
  • Встроенное ПО системы должно отключить бит включения шины (BME) для всех корневых портов PCI, которые не имеют дочерних устройств, необходимых для выполнения DMA между ExitBootServices() и драйвером устройства, запускаемым ОС.
  • В ExitBootServices() IOMMU должен быть восстановлен с помощью встроенного ПО системы в состояние включено.
  • Никакие устройства не могут выполнять DMA за пределами регионов RMRR (Intel) или блоков IVMD (AMD) после ExitBootServices() до тех пор, пока соответствующие драйверы ОС устройств не будут загружены и запущены PnP.
    • Выполнение DMA за пределами регионов RMRR или блоков IVMD после ExitBootServices() и до запуска драйвера устройства операционной системой приведет к сбою IOMMU и потенциально системной ошибке проверка (0xE6).
    • Встроенное ПО системы должно установить соответствующие флаги в таблицах ACPI, чтобы включить защиту DMA ядра в ОС:
      • Для платформ Intel встроенное ПО системы должно задать значение «DMA_CTRL_PLATFORM_OPT_IN_FLAG» в поле флагов таблицы DMAR (технология Виртуализации Intel для спецификации прямого ввода-вывода, ред. 2.5, раздел 8.1).
      • Для платформ AMD встроенное ПО системы должно задать бит «Поддержка повторного сопоставления DMA» в поле IVRS IVinfo (спецификация AMD IOMMU ред. 3.05, раздел 5.2.1).
      • Идентификация внешних корневых портов PCIe.
      • Определение внутренних портов PCIe, доступных пользователям и требующих защиты DMA.
      • При каждой загрузке, когда IOMMU (VT-D или AMD-Vi) или защита DMA ядра отключены, будут отключены или настроены на более низкое состояние безопасности, платформа ДОЛЖНА расширить событие EV_EFI_ACTION в PCR[7] перед включением DMA.
      • Строка события должна иметь значение «Защита DMA Disabled». Встроенное ПО платформы ДОЛЖНО записывать это измерение в журнал событий, используя строку «Защита DMA Disabled» для данных события.

      Проверка состояния защиты DMA ядра в системе Windows 10

      Состояние защиты DMA ядра можно проверить в заданной системе с помощью любого из следующих методов.

      1. Использование приложения Сведений о системе:
        • Запустите MSINFO32.exe.
        • Проверьте поле «Защита DMA ядра» на странице «Сводка системы».
      2. Использование Безопасность Windows приложения:
        • Запустите Безопасность Windows приложение из меню «Пуск» Windows.
        • Щелкните значок «Безопасность устройства».
        • Щелкните «Сведения об изоляции ядра».
        • «Защита доступа к памяти» будет указана в качестве доступной функции безопасности, если она включена.
          • Если параметр «Защита доступа к памяти» отсутствует в списке, эта функция не включена в системе.

      Как отключить изоляцию ядра в Windows 11 и Windows 10

      Как отключить изоляцию ядра

      Изоляция ядра — одна из функций защиты устройства Windows на основе виртуализации (Hypervisor-protected Code Integrity или HVCI), изолирующая сторонние процессы от процессов Windows, призванная повысить защиту от угроз, направленных на ядро Windows. Несмотря на пользу, в некоторых случаях её отключение может повысить производительность системы в играх и сторонних приложениях.

      В этой пошаговой инструкции подробно о способах отключить изоляцию ядра в Windows 11 и Windows 10, а также дополнительная информация на тему, которая может оказаться полезной.

      Отключение изоляции ядра в «Безопасность Windows»

      Базовый способ — использование соответствующей настройки в окне «Безопасность Windows». Шаги для отключения изоляции ядра будут следующими:

      1. Откройте окно «Безопасность Windows», используя значок в области уведомлений или поиск в панели задач.
      2. В открывшемся окне «Безопасность Windows» перейдите в раздел «Безопасность устройства». Открыть Безопасность устройства в Windows
      3. В пункте «Изоляция ядра» нажмите «Сведения об изоляции ядра». Открыть настройки изоляции ядра
      4. Отключите пункты «Целостность памяти». При появлении запроса контроля учетных записей подтвердите действие. Отключить изоляцию ядра в Безопасность Windows
      5. В случае, если отключение производится из-за невозможности работы какого-либо драйвера, также отключите пункт «Список заблокированных уязвимых драйверов».
      6. Появится уведомление о необходимости перезагрузки. Перезагрузите компьютер для применения сделанных настроек. Перезагрузить компьютер для применения настроек

      В результате изоляция ядра и основная её составляющая — «Целостность памяти» будут отключены.

      Примечание: открыть «Безопасность Windows» вы можете через «Параметры»:

      • В Windows 11 — Параметры — Конфиденциальность и защита — Безопасность Windows
      • В Windows 10 — Параметры — Обновление и безопасность — Безопасность Windows

      Отключение в редакторе реестра

      Вы можете полностью отключить функции изоляции ядра HVCI, используя редактор реестра. Для этого:

      1. Нажмите правой кнопкой мыши по кнопке «Пуск», выберите пункт «Выполнить», введите regedit и нажмите Enter.
      2. Перейдите к разделу реестра

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity

      Отключить изоляцию ядра в реестре

      При отсутствии такого раздела, создайте его.

    • В правой панели редактора реестра дважды нажмите по параметру DWORD с именем «Enabled» и измените его значение на 0.
    • Примените настройки и перезагрузите компьютер.
    • В результате изоляция ядра и сопутствующие функции HVCI будут отключены на компьютере.

      Вместо ручного редактирования реестра вы можете создать reg-файл со следующим содержимым:

      Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity] "Enabled"=dword:00000000

      Либо использовать команду в командной строке, запущенной от имени Администратора:

      reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 0 /f

      Настройка HVCI в редакторе локальной групповой политики

      Если на вашем компьютере установлена Windows 11/10 Pro или Enterprise, вы можете использовать редактор локальной групповой политики для отключения изоляции ядра и других функций HVCI:

      1. Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter.
      2. Перейдите в раздел Конфигурация компьютера — Административные шаблоны — Система — Device Guard.
      3. Дважды нажмите по политике «Включить средство обеспечения безопасности на основе виртуализации». Политики HVCI в редакторе локальной групповой политики
      4. Установите значение «Отключено». Отключить HVCI в редакторе локальной групповой политики
      5. Примените настройки и перезагрузите компьютер.

      В результате функции изоляции ядра Windows будут полностью отключены.

      Проверка статуса изоляции ядра

      Проверить текущий статус функций безопасности на основе виртуализации можно с помощью команды PowerShell (Терминала Windows):

      Get-CimInstance -ClassName Win32_DeviceGuard –Namespace root\Microsoft\Windows\DeviceGuard

      Проверка статуса изоляции ядра в PowerShell

      На скриншоте видно, что все функции HVCI отключены (SecurityServicesRunning и VirtualisationBasedSecurityStatus равны 0).

      Еще один способ проверить, включена ли изоляция ядра — в редакторе реестра открыть раздел

      HKLM\System\CurrentControlSet\Control\CI\State

      Статус HVCI в редакторе реестра

      Если раздел отсутствует или параметр HVCIEnabled в нём равен 0, изоляция ядра отключена. При значении HVCIEnabled равном 1 — включена.

      Дополнительная информация

      После отключения изоляции ядра безопасность Windows будет сигнализировать о проблемах в части «Безопасность устройства», а на значке в области уведомлений будет отображаться восклицательный знак. Чтобы этого не происходило, зайдите в раздел «Безопасность устройства» и нажмите «Закрыть» или «Закрыть все».

      Закрыть предупреждения об отключенной изоляции ядра

      Учитывайте, что не на всех устройствах изоляция ядра включена по умолчанию. Если она отключена, чаще всего причина — в неподдерживаемых драйверах устройств, список которых будет отображаться в «Безопасность Windows». Вторая возможная причина — отсутствие необходимых для работы HVCI функций виртуализации.

      А вдруг и это будет интересно:

      • Лучшие бесплатные программы для Windows
      • Компьютер не включается или черный экран после установки оперативной памяти
      • Автоматическая установка нескольких программ в Windows 11 и 10
      • Как удалить Microsoft Edge в Windows 11
      • Как исправить ошибку 0x800F0922 при установке обновления KB5034765
      • При подключении файла ISO возникла проблема — как исправить?
      • Windows 11
      • Windows 10
      • Android
      • Загрузочная флешка
      • Лечение вирусов
      • Восстановление данных
      • Установка с флешки
      • Настройка роутера
      • Всё про Windows
      • В контакте
      • Одноклассники

        Yehejo 25.02.2023 в 10:23

      • Dmitry 25.02.2023 в 12:01

      Изоляция ядра и целостность памяти в Windows 10

      #ОкейГик

      Компания Microsoft в операционной системе Windows 10 уделяет большое внимание безопасности. Одним из важных элементов системы является “Защитник Windows”, но способен он справиться не со всеми угрозами. В частности, в последнее время набирают особую распространенность вирусы Ransomware, самыми известными реинкарнациями которых являются вредоносные программы Petya и WannaCry. Компания Microsoft внедрила в Windows 10 функции изоляции ядра и целостность памяти, которые направлены на борьбу с вирусами Ransomware. По умолчанию они отключены.

      Оглавление: 1. Что такое изоляция ядра и целостность памяти 2. Как включить изоляцию ядра и целостность памяти 3. Как отключить изоляцию ядра и целостность памяти 

      Что такое изоляция ядра и целостность памяти

      Изоляция ядра — это процесс дополнительный защиты, который обеспечивается методом ограждения процессов компьютера от операционной системы и устройства. За счет данных действий удается избежать подрыва работы операционной системы при попадании на компьютер вирусов.

      Целостность памяти — это сопутствующая изоляции ядра защитная функция, которая направлена на ограничение доступа со стороны неизвестных потенциально опасных программ к процессам с высоким уровнем безопасности.

      Важно: Функция изоляции ядра может работать только в том случае, если имеются достаточные для этого условия со стороны аппаратных данных компьютера. В настройках BIOS должна быть активна технология виртуализации, за счет которой компьютер под управлением Windows 10 может запускать различные приложения в виртуальном контейнере, ограничивая для них доступ от ключевых компонентов системы.

      Как включить изоляцию ядра и целостность памяти

      Параметры операционной системы Windows 10 позволяют управлять функциями безопасности на компьютере в полной мере. Через настройки Windows 10 можно включить изоляцию ядра и целостность памяти следующим образом:

        Нажмите на клавиатуре сочетание клавиш Win+I или нажмите на шестеренку в меню “Пуск”, чтобы открыть параметры Windows. Далее в списке доступных параметров выберите вариант “Обновление и безопасность”;

      В левой части открывшегося окна переключитесь на подраздел “Безопасность WIndows” и выберите пункт “Открыть центр безопасности защитника Windows”;

      Откроется отдельное окно, в котором настраиваются параметры безопасности операционной системы. В левой части этого окна нажмите на три горизонтальные палочки, чтобы раскрыть полный список разделов безопасности. И далее выберите среди доступных вариантов “Безопасность устройства”;

      В разделе “Изоляция ядра” можно видеть активную ссылку — “Сведения об изоляции ядра”. Нажмите на нее, чтобы раскрыть данный подраздел;

      Откроется раздел с информацией об изоляции ядра и целостности памяти. Здесь нужно перевести переключатель в активное положение. После этого потребуется перезагрузить компьютер, чтобы настройки вступили в силу.

      Как отмечалось выше, если аппаратная составляющая компьютера не поддерживает возможность виртуализации, данная функция не будет работать. При включении пользователь увидит в нижнем правом углу сообщение “Не удается обеспечить целостность памяти. Возможна несовместимость”. Если это сообщение появилось, рекомендуется перейти в BIOS и посмотреть включена ли функция Secure Boot (Boot Mode).

      Как отключить изоляцию ядра и целостность памяти

      Новые функции в операционной системе, которые серьезно влияют на ее работу, всегда рискуют стать причиной возникновения проблем при работе компьютера. Не исключение и функция изоляции ядра. Пользователи, которые уже ее опробовали, отмечают на форумах Microsoft, что сталкиваются с проблемами при запуске ряда игр и программ. Единственный способ, как решить данную проблему, это отключить функцию изоляции ядра и целостность памяти. Возможно, в будущих обновлениях разработчики приложения или Microsoft поправит данную несовместимость.

      Есть 3 способа, как отключить изоляцию ядра и целостность памяти:

      • 1 способ — через параметры Windows. Способ идентичен рассмотренному выше варианту включения данной функциональности. Нужно перейти в указанный раздел и перевести переключатель в положение “Выключен”. Стоит отметить, что не всегда есть такая возможность после включения функции изоляции ядра. Если переключатель не активен, используйте один из приведенных ниже способов, чтобы отключить данную функциональность.
      • 2 способ — через Secure Boot. Как было сказано выше, без функции Secure Boot, включенной в BIOS, работать функция изоляции ядра и целостность памяти не будет. Соответственно, если отключить в BIOS (или UEFI) данную функцию, отключится и сам защитник в операционной системе. В зависимости от версии BIOS (UEFI) может отличаться способ отключения данной функциональности. После того как Secure Boot будет отключен через BIOS, перейдите к способу 1 и отключите через параметры Windows 10 данную функцию — ползунок станет активным.

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity

      Здесь нужно нажать дважды левой кнопкой мыши на параметр Enable и поменять его значение на 0.

      Как включить защиту DMA ядра,безопасность на основе виртуализации?

      в сведениях о системе указано,что отключена защита ядра,безопасность на основе виртуализации,включен Hyper-V.

      в биос включил виртуализацию по совету из интерета для того,чтобы якобы включить защиту ядра. сведения о системе по прежнему показывают,что защита отключена.

      Hyper-V в биос отключен, а в системе мной отключены все службы,которые с ним связаны (но в сведениях о системе всё равно указано,что они включены)
      Изоляцию ядра включить через *обновления и безопасность — безопасность устройства — изоляция ядра — включить — перезагрузить систему* НЕ ПОЛУЧАЕТСЯ. При перезагрузке выскакивает ошибка на голубом экране,система перезагружается и изоляция ядра остаётся выключенной

      62216acbb618f818171145.jpeg
      622170842c9f7248719675.jpeg

      • Вопрос задан более года назад
      • 1797 просмотров

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *