Startseite » wie man » Was sind Core Isolation und Memory Integrity in Windows 10?

    Was sind Core Isolation und Memory Integrity in Windows 10?

    Das Update für Windows 10 vom April 2018 bietet allen Sicherheitsfunktionen „Core Isolation“ und „Memory Integrity“. Diese verwenden virtualisierungsbasierte Sicherheit, um die Kernprozesse des Betriebssystems vor Manipulationen zu schützen. Der Speicherschutz ist jedoch für Benutzer, die ein Upgrade durchführen, standardmäßig deaktiviert.

    Was ist Core Isolation??

    In der ursprünglichen Version von Windows 10 waren Virtualisierungs-basierte Sicherheitsfunktionen (VBS) nur in den Enterprise-Editionen von Windows 10 als Teil von „Device Guard“ verfügbar. Mit dem Update vom April 2018 bietet Core Isolation allen auf Virtualisierung basierenden Sicherheitsfunktionen Editionen von Windows 10.

    Einige Core Isolation-Funktionen sind standardmäßig auf Windows 10-PCs aktiviert, die bestimmte Hardware- und Firmwareanforderungen erfüllen, einschließlich 64-Bit-CPU und TPM 2.0-Chip. Außerdem muss Ihr PC die Intel VT-x- oder AMD-V-Virtualisierungstechnologie unterstützen und in den UEFI-Einstellungen Ihres PCs aktiviert sein.

    Wenn diese Funktionen aktiviert sind, verwendet Windows Hardware-Virtualisierungsfunktionen, um einen sicheren Bereich des Systemspeichers zu erstellen, der vom normalen Betriebssystem isoliert ist. Windows kann in diesem sicheren Bereich Systemprozesse und Sicherheitssoftware ausführen. Dies schützt wichtige Betriebssystemprozesse vor Manipulationen durch alles, was sich außerhalb des sicheren Bereichs befindet.

    Selbst wenn Malware auf Ihrem PC ausgeführt wird und ein Exploit bekannt ist, der es ermöglicht, diese Windows-Prozesse zu knacken, ist die auf Virtualisierung basierende Sicherheit eine zusätzliche Schutzschicht, die sie vor Angriffen schützt.

    Was ist Speicherintegrität??

    Die in der Benutzeroberfläche von Windows 10 als "Speicherintegrität" bekannte Funktion wird in der Microsoft-Dokumentation auch als "Hypervisor protected Code Integrity" (HVCI) bezeichnet.

    Auf PCs, die auf das Update vom April 2018 aktualisiert haben, ist Memory Integrity standardmäßig deaktiviert. Sie können es jedoch aktivieren. Sie wird standardmäßig bei Neuinstallationen von Windows 10 aktiviert.

    Diese Funktion ist eine Teilmenge der Kernisolation. Windows erfordert normalerweise digitale Signaturen für Gerätetreiber und anderen Code, der im Windows-Kernelmodus ausgeführt wird. Dies stellt sicher, dass sie nicht von Malware manipuliert wurden. Wenn „Speicherintegrität“ aktiviert ist, wird der „Code-Integritätsdienst“ in Windows in dem von Core Isolation erstellten hypervisorgeschützten Container ausgeführt. Dies sollte es nahezu unmöglich machen, dass Malware die Code-Integritätsprüfungen manipuliert und Zugriff auf den Windows-Kernel erhält.

    Probleme mit der virtuellen Maschine

    Da Memory Integrity die Virtualisierungshardware des Systems verwendet, ist es nicht mit Programmen für virtuelle Maschinen wie VirtualBox oder VMware kompatibel. Diese Hardware kann jeweils nur von einer Anwendung verwendet werden.

    Möglicherweise wird eine Meldung angezeigt, die besagt, dass Intel VT-X oder AMD-V nicht aktiviert oder verfügbar ist, wenn Sie ein Virtual Machine-Programm auf einem System mit aktivierter Speicherintegrität installieren. In VirtualBox wird möglicherweise die Fehlermeldung "Hyper-V ist nicht im Raw-Modus verfügbar" angezeigt, wenn der Speicherschutz aktiviert ist.

    Wenn Sie auf ein Problem mit der Software Ihrer virtuellen Maschine stoßen, müssen Sie Memory Integrity deaktivieren, um sie verwenden zu können.

    Warum ist es standardmäßig deaktiviert??

    Die Hauptkernisolationsfunktion sollte keine Probleme verursachen. Sie ist auf allen Windows 10-PCs aktiviert, die dies unterstützen, und es gibt keine Schnittstelle zum Deaktivieren.

    Der Speicherintegritätsschutz kann jedoch zu Problemen mit einigen Gerätetreibern oder anderen Windows-Anwendungen auf niedriger Ebene führen, weshalb er bei Upgrades standardmäßig deaktiviert ist. Microsoft treibt Entwickler und Gerätehersteller weiterhin dazu an, Treiber und Software kompatibel zu machen, weshalb es standardmäßig auf neuen PCs und Neuinstallationen von Windows 10 aktiviert ist.

    Wenn einer der Treiber, den Ihr PC zum Booten benötigt, nicht mit dem Speicherschutz kompatibel ist, deaktiviert Windows 10 den Speicherschutz automatisch, um sicherzustellen, dass Ihr PC booten kann und ordnungsgemäß funktioniert. Wenn Sie also versuchen, es zu aktivieren und neu zu booten, um festzustellen, dass es immer noch deaktiviert ist, ist dies der Grund.

    Wenn nach dem Aktivieren des Speicherschutzes Probleme mit anderen Geräten oder fehlerhafter Software auftreten, empfiehlt Microsoft, mit der jeweiligen Anwendung oder dem jeweiligen Treiber nach Updates zu suchen. Wenn keine Updates verfügbar sind, deaktivieren Sie den Speicherschutz.

    Wie bereits erwähnt, ist die Speicherintegrität auch mit einigen Anwendungen, die exklusiven Zugriff auf die Virtualisierungshardware des Systems erfordern, z. B. virtuelle Maschinenprogramme, nicht kompatibel. Andere Tools, einschließlich einiger Debugger, erfordern ebenfalls exklusiven Zugriff auf diese Hardware und funktionieren nicht mit aktivierter Speicherintegrität.

    So aktivieren Sie die Integrität des Core-Isolationsspeichers

    Sie können feststellen, ob auf Ihrem PC die Core-Isolation-Funktionen aktiviert sind, und den Speicherschutz in der Windows Defender Security Center-Anwendung ein- oder ausschalten. (Dieses Tool wird im Rahmen des Updates vom Oktober 2018 in "Windows-Sicherheit" umbenannt.)

    Um es zu öffnen, suchen Sie im Startmenü nach „Windows Defender Security Center“ oder gehen Sie zu Einstellungen> Update & Sicherheit> Windows-Sicherheit> Windows Defender Security Center öffnen.

    Klicken Sie im Security Center auf das Symbol „Gerätesicherheit“.

    Wenn die Kernisolation auf der PC-Hardware aktiviert ist, wird hier die Meldung "Auf Virtualisierung basierende Sicherheit läuft, um die Kernkomponenten Ihres Geräts zu schützen" angezeigt.

    Um den Speicherschutz zu aktivieren (oder zu deaktivieren), klicken Sie auf den Link „Details zur Kernisolation“.

    Dieser Bildschirm zeigt an, ob die Speicherintegrität aktiviert ist oder nicht. Das ist jetzt die einzige Option hier.

    Um die Speicherintegrität zu aktivieren, schalten Sie den Schalter auf "Ein". Wenn Sie Probleme mit der Anwendung oder dem Gerät haben und die Speicherintegrität deaktivieren müssen, kehren Sie hier zurück und schalten Sie den Schalter auf "Aus".

    Sie werden aufgefordert, Ihren Computer neu zu starten, und die Änderung wird erst wirksam, wenn Sie dies getan haben.

    Weitere Windows Defender Exploit Guard-Funktionen

    Core Isolation und Memory Integrity sind einige der neuen Sicherheitsfunktionen, die Microsoft im Rahmen von Windows Defender Exploit Guard hinzugefügt hat. Dies ist eine Sammlung von Funktionen, mit denen Windows vor Angriffen geschützt wird.

    Der Exploit-Schutz, der Ihr Betriebssystem und Ihre Anwendungen vor vielen Arten von Exploits schützt, ist standardmäßig aktiviert. Dies ersetzt das alte EMET-Tool von Microsoft und enthält Anti-Exploit-Funktionen, für die wir früher die Installation von Malware Anti-Exploit empfohlen haben. Alle Windows 10-Benutzer verfügen jetzt über einen Exploit-Schutz.

    Es gibt auch einen kontrollierten Ordnerzugriff, der Ihre Dateien vor Ransomware schützt. Es ist nicht standardmäßig aktiviert, da hierfür einige Einstellungen erforderlich sind. Wenn Sie diese Funktion aktivieren, müssen Sie Anwendungen den Zugriff erlauben, bevor sie auf Dateien in Ihren persönlichen Dateiordnern zugreifen können.


    In Zukunft wird Memory Integrity auf allen neuen PCs standardmäßig aktiviert und bietet zusätzlichen Schutz vor Angriffen. Nur fortgeschrittene Benutzer, die Virtual Machine-Software und andere Tools verwenden, die Zugriff auf die System-Virtualisierungshardware benötigen, müssen diese deaktivieren.