微软
前言当关闭Windows的内存完整性功能后,系统会提示设备可能遭受攻击。这是因为内存完整性属于Windows内核隔离的重要安全机制。它的关键作用在于借助硬件虚拟化技术,将关键系统进程(像驱动程序)隔离开来,避免恶意代码对内存进行篡改或者利用漏洞来攻击内核。一、关闭后的风险1. 内核易受攻击关闭此功能后,内核进程与驱动程序在运行时不再有虚拟化环境的保护,攻击者就能够通过一些途径入侵。2. 安全防护被绕过系统所依赖的其他安全功能(例如凭据保护、安全启动)可能会由于缺少内存完整性的支持,从而防护效果大打折扣。比如本地安全机构(LSA)的凭据保护就可能被绕过。3. 恶意软件更易入侵
微软的统计显示,内存完整性能够阻止超过60%的内核级攻击尝试。关闭之后,勒索软件、Rootkit等复杂恶意软件驻留系统就变得更容易了。二、部分用户关闭的原因及应对措施尽管存在风险,但仍有部分用户主动关闭该功能。主要原因如下:1. 优先更新驱动可以在设备管理器中查看不兼容的驱动(通过查看>按驱动程序列出设备的操作),然后联系硬件厂商获取适配HVCI的最新版本。2. 选择性启用要是部分驱动无法更新,可以暂时关闭内存完整性,不过要配合其他防护手段。3. 替代方案在对性能较为敏感的场景下,可以尝试开启硬件强制堆栈保护等子功能,这样能够部分减轻风险。内存完整性是Windows抵御内核攻击的重要防线,关闭它会让系统风险大大增加。如果不是必要情况,建议保持开启,并通过更新驱动解决兼容性问题。要是必须关闭,就要加强其他安全措施来减少暴露风险。如果想要重新启用,可以通过Windows安全中心>设备安全性>内核隔离的操作,并且重启系统。
