O que são “Isolamento de núcleo” e “Integridade de memória” no Windows 10?

A atualização de abril de 2018 do Windows 10 traz os recursos de segurança “Isolamento de núcleo” e “Integridade de memória” para todos. Eles usam segurança baseada em virtualização para proteger os principais processos do sistema operacional contra violação, mas a Proteção de Memória está desativada por padrão para as pessoas que fazem upgrade.

O que é isolamento de núcleo?

Na versão original do Windows 10, os recursos de segurança baseada em virtualização (VBS) estavam disponíveis apenas nas edições Enterprise do Windows 10 como parte do “Device Guard”. Com a atualização de abril de 2018, o Core Isolation traz alguns recursos de segurança baseados em virtualização para todas as edições do Windows 10.

Alguns recursos de isolamento de núcleo são habilitados por padrão em PCs com Windows 10 que atendem a determinados requisitos de hardware e firmware , incluindo CPU de 64 bits e chip TPM 2.0 . Também requer que o seu PC suporte a tecnologia de virtualização Intel VT-x ou AMD-V e que esteja habilitado nas configurações UEFI do seu PC .

Quando esses recursos estão ativados, o Windows usa recursos de virtualização de hardware para criar uma área segura de memória do sistema que é isolada do sistema operacional normal. O Windows pode executar processos do sistema e software de segurança nesta área segura. Isso protege processos importantes do sistema operacional de serem adulterados por qualquer coisa em execução fora da área segura.

Mesmo que o malware esteja sendo executado no seu PC e conheça um exploit que deve permitir que ele crack esses processos do Windows, a segurança baseada em virtualização é uma camada adicional de proteção que irá isolá-los de ataques.

Recomendado:  Como ver o que está ocupando espaço no seu Chromebook

O que é integridade de memória?

O recurso conhecido como “Integridade de memória” na interface do Windows 10 também é conhecido como “Integridade de código protegida por hipervisor” (HVCI) na documentação da Microsoft.

A integridade da memória é desabilitada por padrão em PCs que foram atualizados para a atualização de abril de 2018, mas você pode habilitá-la. Ele será ativado por padrão em novas instalações do Windows 10 daqui para frente.

Este recurso é um subconjunto do Isolamento do núcleo. O Windows normalmente requer assinaturas digitais para drivers de dispositivo e outros códigos executados no modo kernel do Windows de baixo nível. Isso garante que eles não tenham sido violados por malware. Quando “Integridade de memória” está habilitada, o “serviço de integridade de código” no Windows é executado dentro do contêiner protegido por hipervisor criado pelo Isolamento de núcleo. Isso deve tornar quase impossível para o malware adulterar as verificações de integridade do código e obter acesso ao kernel do Windows.

Problemas de máquina virtual

Como o Memory Integrity usa o hardware de virtualização do sistema, ele é incompatível com programas de máquina virtual como VirtualBox ou VMware. Apenas um aplicativo pode usar este hardware por vez.

Você pode ver uma mensagem dizendo que Intel VT-X ou AMD-V não está habilitado ou disponível se você instalar um programa de máquina virtual em um sistema com Integridade de Memória habilitada. No VirtualBox, você pode ver a mensagem de erro “O modo Raw não está disponível, cortesia do Hyper-V” enquanto a Proteção de Memória está habilitada.

De qualquer forma, se você encontrar um problema com o software da máquina virtual, deve desativar a integridade da memória para usá-lo.

Recomendado:  Como se conectar a um servidor SSH a partir do Windows, macOS ou Linux

Por que está desativado por padrão?

O principal recurso de isolamento de núcleo não deve causar problemas. Ele está habilitado em todos os PCs com Windows 10 que podem suportá-lo e não há interface para desabilitá-lo.

No entanto, a proteção de integridade de memória pode causar problemas com alguns drivers de dispositivo ou outros aplicativos Windows de baixo nível, razão pela qual é desabilitada por padrão nas atualizações. A Microsoft ainda está pressionando os desenvolvedores e fabricantes de dispositivos a tornar seus drivers e software compatíveis, e é por isso que é habilitado por padrão em novos PCs e novas instalações do Windows 10.

Se um dos drivers que seu PC requer para inicializar for incompatível com a Proteção de Memória, o Windows 10 irá silenciosamente desativar a Proteção de Memória para garantir que seu PC possa inicializar e funcionar corretamente. Então, se você tentar habilitá-lo e reiniciar apenas para descobrir que ele ainda está desabilitado, é por isso.

Se você encontrar problemas com outros dispositivos ou software com defeito após ativar a Proteção de memória, a Microsoft recomenda verificar se há atualizações com o aplicativo ou driver específico. Se nenhuma atualização estiver disponível, desative a Proteção de memória.

Como mencionamos acima, a integridade da memória também será incompatível com alguns aplicativos que requerem acesso exclusivo ao hardware de virtualização do sistema, como programas de máquina virtual. Outras ferramentas, incluindo alguns depuradores, também requerem acesso exclusivo a este hardware e não funcionam com a integridade da memória ativada.

Como habilitar integridade de memória de isolamento de núcleo

Você pode ver se o seu PC tem recursos de Isolamento de Núcleo habilitados e ativar ou desativar a Proteção de Memória no aplicativo Central de Segurança do Windows Defender. (Esta ferramenta será renomeada como “Segurança do Windows” como parte da atualização de outubro de 2018. )

Recomendado:  Como alternar entre dois diretórios na linha de comando do Linux

Para abri-lo, pesquise “Central de Segurança do Windows Defender” no menu Iniciar ou vá para Configurações> Atualização e Segurança> Segurança do Windows> Abrir Central de Segurança do Windows Defender.

Clique no ícone “Segurança do dispositivo” na Central de segurança.

Se o isolamento de núcleo estiver habilitado no hardware do seu PC, você verá a mensagem “Segurança baseada em virtualização está sendo executada para proteger as partes principais do seu dispositivo” aqui.

Para habilitar (ou desabilitar) a Proteção de Memória, clique no link “Core Isolation Details”.

Esta tela mostra se a integridade da memória está habilitada ou não. Essa é a única opção aqui por enquanto.

Para habilitar a integridade da memória, mude a chave para “Ligado”. Se você encontrar problemas de aplicativo ou dispositivo e precisar desativar a integridade da memória, volte aqui e mude a chave para “Desligado”.

Você será solicitado a reiniciar o computador, e a alteração só terá efeito depois que você fizer isso.

Mais recursos do Windows Defender Exploit Guard

Isolamento de núcleo e integridade de memória são alguns dos muitos novos recursos de segurança que a Microsoft adicionou como parte do Windows Defender Exploit Guard. Esta é uma coleção de recursos projetados para proteger o Windows contra ataques.

A proteção de exploração , que protege seu sistema operacional e aplicativos de muitos tipos de exploração, é habilitada por padrão. Isso substitui a antiga ferramenta EMET da Microsoft e inclui recursos anti-exploit para os quais recomendamos instalar o Malware Anti-Exploit . Todos os usuários do Windows 10 agora têm proteção contra exploits.

Também existe o Acesso controlado à pasta , que protege seus arquivos contra ransomware. Não está habilitado por padrão porque requer alguma configuração. Se você habilitar este recurso, terá que permitir o acesso dos aplicativos antes que eles possam acessar os arquivos em suas pastas de arquivos pessoais.


Going forward, Memory Integrity will be enabled by default on all new PCs, providing additional protection against attacks. Only advanced users who use virtual machine software and other tools that require access to the system virtualization hardware will have to disable it.