Windows 10: włączamy zabezpieczenia z Windows 11 (część 2)

Większość nowych ustawień zabezpieczeń znajduje się na karcie Zabezpieczenia urządzenia w oknie konfiguracji Defendera. Ale większość użytkowników zobaczy tam tylko jeden przełącznik - opcję "Izolacja rdzenia". Posiadacze starszego lub niezgodnego sprzętu nie będą mogli nawet jej włączyć ze względu na jej wysokie wymagania. Ustawień ochrony opartej o wirtualizacje jest jednak więcej, o czym możemy się przekonać zaglądając do Szablonów Administracyjnych.

Zobaczymy tam, że funkcja "Izolacja rdzenia" w szablonach administracyjnych nazywa się "zabezpieczenia oparte na wirtualizacji". A to, co Defender nazywa "integralnością pamięci", w szablonach nazywa się integralnością… kodu. To znacznie lepsza, ale wciąż myląca nazwa. Mniej jednak kojarzy się z weryfikacją poprawności stanu pamięci i wspomaganą ochroną stosu, co jest zupełnie innym, niepowiązanym mechanizmem. Szablon znajduje się w sekcji System\Device Guard obszaru Ustawienia Komputera.

Zasady grupy dla HVCI skrywają w sobie dodatkowe przełączniki, nieobecne w Defenderze. Zdążyliśmy już wspomnieć o jednym z nich: włączeniu izolacji ze wspomaganiem UEFI. Dodatkowo wspomaganie to możemy wzmocnić wymuszaniem działania tylko na zgodnych implementacjach UEFI, o przewidywalnych tablicach zmiennych (stuprocentowa zgodność z rozszerzoną specyfikacją). Wbrew pozorom jest to dobra opcja za każdym razem.

Dalsza część artykułu pod materiałem wideo

Bez niej bowiem, włączenie wymuszania HVCI przez UEFI może się okazać kolejnym przykładem "one click disaster", w którym firmware komputera zaczyna zachowywać się bardzo nieprawidłowo, ze względu na błędy. Warto mieć na uwadze, że wiele implementacji UEFI, także na komputerach znanych firm, jest niskiej jakości i zawiera wiele bugów.

Dodatkowym ustawieniem HVCI jest oczekiwanie ochrony DMA. To kolejna zaskakująca opcja, ponieważ również tutaj jej działanie jest niezgodne z intuicją. Domyślny stan ochrony nie zawiera ochrony DMA, a włączenie jej wymaga zgodnego sprzętu - ale gdy włączymy ją na sprzęcie niezgodnym (nie ma o tym informacji), HVCI zostanie w ogóle wyłączone, o czym łatwo się nie dowiemy i co przy okazji popsuje inne rzeczy.

Ustawienie związane z ochroną DMA często w dodatku sprawia problemy i nie chce się poprawnie nałożyć. Czasem trzeba pomagać mu, by zadziałało, a sam Microsoft łagodnie sugeruje, by nie dotykać tego przełącznika i pozostać na domyślnym trybie ze zwykłym Secure Boot. Choć ewidentnie mamy tu do czynienia z niekompletną implementacją, niemałą część winy ponoszą producenci sterowników i UEFI. Mimo upływu lat ciągle są z nimi problemy, a aktualizacja firmware'u wciąż jest zaskakująco ryzykowna.

Z DMA historia jest niestety dłuższa. Ochrona DMA na poziomie jądra jest niekonfigurowalna, zarówno w Windows 10, jak i Windows 11. W interfejsie Defendera, w przeciwieństwie do przełącznika "integralność pamięci" (który jest obecny zawsze, nawet gdy nie działa), sekcja "Ochrona dostępu do pamięci" pojawia się tylko wtedy, gdy system potrafi zapewnić taką ochronę. W przeciwieństwie do HVCI jest ona opcjonalna także w Windows 11.

Pozostając jeszcze w Zasadzie Grupy "Włącz zabezpieczenia oparte na wirtualizacji", dostrzeżemy jeszcze trzy inne opcje. To, dlaczego Microsoft zagregował je wszystkie w jedną Zasadę, zamiast stworzyć sześć oddzielnych, zapewne na zawsze będzie zagadką. Są to Credential Guard (dla domeny), "Bezpieczne uruchomienie" (nie jest to Secure Boot, a Secure… Launch, czyli coś innego) oraz wspomagana sprzętowo ochrona stosu.

Żadna z tych funkcji nie jest domyślnie włączona w Windows 11 i każda jest dostępna w Windows 10. Wymagają one odpowiednio siódmej, ósmej i jedenastej (!) generacji procesorów Intela. Bardzo wysokie wymagania sprzętowe i wąski zakres scenariuszy, w których niniejsze funkcje działają, czyni je zagadnieniem wykraczającym poza temat naszych rozważań.

• Windows 10 i Windows 11 zawierają zbliżone mechanizmy zabezpieczeń.
• Opcjonalną funkcją z Dziesiątki, która stała się obowiązkowa w Jedenastce, jest HVCI.
• Włączenie HVCI wymaga zgodnych sterowników, co jest powodem zmiany wymagań sprzętowych Windows 11.
• W obu systemach, działanie HVCI da się wzmocnić forsowaniem go z pomocą UEFI.
• Jeżeli sprzęt poprawnie obsługuje ochronę DMA, mechanizm HVCI można wzmocnić jeszcze bardziej, stosując ochronę HVCI przed atakami DMA.
• Siódma generacja procesorów Intela pozwala włączyć ochronę jeszcze zanim HVCI wystartuje, stosując Secure Launch.
• Jedenasta generacja pozwala w jeszcze większym stopniu wzmocnić HVCI, stosując ochronę stosu.
• Żadne ze "wzmocnień HVCI" nie jest domyślnie włączone w Windows 11.

Teoretycznie, włączenie zabezpieczeń Windows 11 w Dziesiątce sprowadza się do przesunięcia jednego suwaka w ustawieniach Defendera. W praktyce, "pod spodem" dzieje się znacznie, znacznie więcej, a mechanizmy bezpieczeństwa HVCI są szalenie skomplikowane.

Czy to oznacza, że Jedenastka nie zawiera żadnych zabezpieczeń, których nie byłoby w Windows 10? Nie! Dobrym przykładem jest Inteligentna Kontrola Aplikacji, która działa tylko w Windows 11. Tylko w... nowym Windows 11. Świeżo zainstalowanym. Z włączoną maksymalną telemetrią. I na komputerze wybranym przez Microsoft jako właściwy kandydat do uruchomienia owej funkcji (naprawdę). Więc może bez tego akurat użytkownicy Dziesiątki dadzą sobie radę…