微软发布适用于Windows 10/11的内存完整性检查工具,但可能降低性能

文章正文
发布时间:2023-05-15 07:14

当内存没插好的时候,开机时主板检测卡上会提示b0。可以将内存取下来,擦一下金手指重新插入,这也算是内存检测的第一步。而内存完整性检查则是微软提升 Windows 10/11 安全性的一个重要改进。借助该功能,微软可以拦截尝试读取、注入、修改内存数据,避免寄存在内存中的安全数据例如密钥被窃取。


如今微软发布适用于Windows 10/11的内存完整性检查工具 hvciscan.exe ,其原理是基于虚拟化的安全性 (VBS),将内存以虚拟化运行并隔离,确保内核模式代码完整性,避免内核受恶意代码的侵害。该功能位于 Microsoft Defender、设备安全性、内核隔离中,正常情况下用户直接开启此功能并重启电脑即可生效。

以下是 hvciscan.exe 的要求:

支持 Windows 10、Windows 11、Windows Server 2016/2019/2022,仅有 64 位版本,但支持 x86 和 Arm 架构。若用户使用的是 AMD 或 Intel 处理器则下载X86 64 位版,若是高通骁龙系列包括 8cx 和微软 SQ 系列则下载 ARM64 版。


但是这个工具并不是在所有平台上都可以使用,会有软件和硬件的兼容问题出现,尤其可能不支持老平台。譬如 AMD RYZEN 1000、不支持英特尔第 7 代部分处理器及以下版本处理器,如果驱动程序较老时也会不兼容。据介绍,微软之所以设定这一硬性要求,是因为新款英特尔、AMD 处理器具有特殊的基于硬件的虚拟机管理程序加速功能,可实现更有效的代码完整性处理。

在兼容问题上,微软发布了一个命令行工具,可以帮助大家查询是否存在不兼容的情况,一旦检查出来,就会直接提示。用户可通过命令窗口或 PowerShell 运行 hvciscan.exe,然后即可查看系统兼容性结果。也可以直接在设备安全中心选择打开内存完整性,会提示你有哪些不兼容的驱动程序。

启用内存完整性设置会阻止加载这些不兼容的驱动程序。由于阻止这些驱动程序可能会导致不需要或意外的行为,因此关闭内存完整性设置以允许加载这些驱动程序。如果要还原内存完整性设置,可以尝试通过Windows 更新或驱动程序制造商查看是否有更新且兼容的驱动程序来解决驱动程序不兼容问题。Microsoft不建议删除驱动程序来尝试还原此设置。

另外,必须在系统的 UEFI 或 BIOS 中启用硬件虚拟化才能使用内存完整性。还有一点要告知大家,使用内存完整性检查,会牺牲性能来提升安全性。用户可以自己来决定要开启还是关闭内存完整性检查。

首页
评论
分享
Top