Windows 10 2018 년 4 월 업데이트는 모든 사람에게 “핵심 격리”및 “메모리 무결성”보안 기능을 제공합니다. 가상화 기반 보안을 사용하여 핵심 운영 체제 프로세스가 변경되지 않도록 보호하지만 업그레이드하는 사람들에게는 메모리 보호가 기본적으로 해제되어 있습니다.
코어 격리 란 무엇입니까?
Windows 10의 최초 릴리스에서 VBS (가상화 기반 보안) 기능은 “Device Guard”의 일부로 Windows 10 Enterprise 버전에서만 사용할 수있었습니다. 2018 년 4 월 업데이트에서 Core Isolation은 모든 버전의 Windows 10에 가상화 기반 보안 기능을 제공합니다.
일부 Core Isolation 기능은 64 비트 CPU 및 TPM 2.0 칩을 포함하여 특정 하드웨어 및 펌웨어 요구 사항을 충족하는 Windows 10 PC에서 기본적으로 활성화됩니다. 또한 PC에서 Intel VT-x 또는 AMD-V 가상화 기술을 지원하고 PC의 UEFI 설정에서 활성화해야합니다.
이러한 기능이 활성화되면 Windows는 하드웨어 가상화 기능을 사용하여 일반적인 운영 체제와 격리 된 안전한 시스템 메모리 영역을 만듭니다. Windows는이 보안 영역에서 시스템 프로세스 및 보안 소프트웨어를 실행할 수 있습니다. 이는 보안 영역 외부에서 실행되는 모든 작업으로 인해 중요한 운영 체제 프로세스가 변경되는 것을 방지합니다.
맬웨어가 PC에서 실행 중이고 이러한 Windows 프로세스를 손상시킬 수있는 악용을 알고 있더라도 가상화 기반 보안은 공격으로부터 멀어지게하는 추가적인 보호 계층입니다.
관련 : Windows 10 2018 년 4 월 업데이트의 새로운 기능
메모리 무결성이란 무엇입니까?
Windows 10 인터페이스에서 “메모리 무결성”이라는 기능은 Microsoft 설명서에서 “HVCI (Hypervisor protected Code Integrity)”라고도합니다.
2018 년 4 월 업데이트로 업그레이드 한 PC에서는 메모리 무결성이 기본적으로 비활성화되어 있지만 활성화 할 수 있습니다. 앞으로 Windows 10을 새로 설치할 때 기본적으로 활성화됩니다.
이 기능은 핵심 격리의 하위 집합입니다. Windows에는 일반적으로 장치 드라이버 및 저수준 Windows 커널 모드에서 실행되는 기타 코드에 대한 디지털 서명이 필요합니다. 이를 통해 멀웨어에 의해 변조되지 않았는지 확인할 수 있습니다. “메모리 무결성”이 활성화되면 Windows의 “코드 무결성 서비스”가 Core Isolation으로 생성 된 하이퍼 바이저로 보호 된 컨테이너 내에서 실행됩니다. 이로 인해 맬웨어가 코드 무결성 검사를 조작하여 Windows 커널에 액세스하는 것이 거의 불가능합니다.
가상 머신 문제
메모리 무결성은 시스템의 가상화 하드웨어를 사용하므로 VirtualBox 또는 VMware와 같은 가상 머신 프로그램과 호환되지 않습니다. 한 번에 하나의 응용 프로그램 만이 하드웨어를 사용할 수 있습니다.
메모리 무결성이 활성화 된 시스템에 가상 시스템 프로그램을 설치하면 Intel VT-X 또는 AMD-V가 활성화되어 있지 않거나 사용할 수 없다는 메시지가 표시 될 수 있습니다. VirtualBox에서 메모리 보호를 사용하는 동안 “Raw 모드를 Hyper-V에서 사용할 수 없습니다”라는 오류 메시지가 표시 될 수 있습니다.
어느 쪽이든, 가상 머신 소프트웨어에 문제가 발생하면이를 사용하기 위해 메모리 무결성을 비활성화해야합니다.
기본적으로 비활성화되어있는 이유는 무엇입니까?
주요 핵심 격리 기능은 문제를 일으키지 않아야합니다. 이를 지원할 수있는 모든 Windows 10 PC에서 활성화되어 있으며 비활성화 할 수있는 인터페이스가 없습니다.
그러나 메모리 무결성 보호는 일부 장치 드라이버 또는 기타 저수준 Windows 응용 프로그램에서 문제를 일으킬 수 있으므로 업그레이드시 기본적으로 비활성화되어 있습니다. Microsoft는 여전히 개발자와 장치 제조업체가 드라이버와 소프트웨어를 호환 가능하게하도록 추진하고 있으므로 새 PC와 Windows 10의 새로운 설치에서 기본적으로 활성화되어 있습니다.
PC 부팅에 필요한 드라이버 중 하나가 메모리 보호와 호환되지 않는 경우 Windows 10은 자동으로 메모리 보호를 해제하여 PC가 제대로 부팅되고 작동 할 수 있도록합니다. 따라서 사용하도록 설정 한 후 다시 부팅하여 여전히 사용 중지 된 것으로 확인하면 그 이유가 있습니다.
메모리 보호를 활성화 한 후 다른 장치에 문제가 있거나 소프트웨어가 오작동하는 경우 특정 응용 프로그램이나 드라이버의 업데이트를 확인하는 것이 좋습니다. 사용 가능한 업데이트가 없으면 메모리 보호를 끄십시오.
위에서 언급했듯이 메모리 무결성은 가상 시스템 프로그램과 같은 시스템의 가상화 하드웨어에 독점적으로 액세스해야하는 일부 응용 프로그램과 호환되지 않습니다. 일부 디버거를 포함한 다른 도구도이 하드웨어에 독점적으로 액세스해야하며 메모리 무결성이 활성화 된 상태에서는 작동하지 않습니다.
코어 격리 메모리 무결성을 활성화하는 방법
PC에 코어 격리 기능이 활성화되어 있는지 확인하고 Windows Defender Security Center 응용 프로그램에서 메모리 보호를 켜거나 끕니다. 이 도구는 2018 년 10 월 업데이트의 일부로 “Windows 보안”으로 이름이 변경됩니다.
이를 열려면 시작 메뉴에서 “Windows Defender 보안 센터”를 검색하거나 설정> 업데이트 및 보안> Windows 보안> Windows Defender 보안 센터 열기로 이동하십시오.
보안 센터에서 “장치 보안”아이콘을 클릭하십시오.
PC 하드웨어에서 Core Isolation (핵심 격리)이 활성화 된 경우 여기에 “장치의 핵심 부분을 보호하기 위해 가상화 기반 보안이 실행 중입니다”라는 메시지가 표시됩니다.
메모리 보호를 활성화 (또는 비활성화)하려면 “핵심 격리 세부 정보”링크를 클릭하십시오.
이 화면은 메모리 무결성의 활성화 여부를 보여줍니다. 지금은 이것이 유일한 옵션입니다.
메모리 무결성을 활성화하려면 스위치를 “On”으로 전환하십시오. 응용 프로그램 또는 장치 문제가 발생하여 메모리 무결성을 비활성화해야하는 경우 여기로 돌아와 스위치를 “끄기”로 전환하십시오.
컴퓨터를 다시 시작하라는 메시지가 표시되며 변경 사항은 한 번만 적용됩니다.
더 많은 Windows Defender Exploit Guard 기능
핵심 격리 및 메모리 무결성은 Microsoft가 Windows Defender Exploit Guard의 일부로 추가 한 많은 새로운 보안 기능 중 일부입니다. 이것은 공격으로부터 Windows를 보호하도록 설계된 기능 모음입니다.
여러 유형의 악용으로부터 운영 체제 및 응용 프로그램을 보호하는 악용 방지가 기본적으로 사용됩니다. 이 도구는 Microsoft의 기존 EMET 도구를 대체하며 이전에 Malware Anti-Exploit 설치를 권장 한 악용 방지 기능을 포함합니다. 모든 Windows 10 사용자는 이제 악용 방지 기능을 갖습니다.
랜섬웨어로부터 파일을 보호하는 제어 된 폴더 액세스도 있습니다. 일부 구성이 필요하므로 기본적으로 사용하도록 설정되어 있지 않습니다. 이 기능을 사용하면 응용 프로그램이 개인 파일 폴더의 파일에 액세스하기 전에 액세스를 허용해야합니다.
관련 : Windows Defender의 새로운 취약성 공격 방지 작동 방식 및 구성 방법
앞으로 모든 새 PC에서 메모리 무결성이 기본적으로 활성화되어 공격에 대한 추가 보호 기능을 제공합니다. 가상 시스템 소프트웨어 및 시스템 가상화 하드웨어에 액세스해야하는 기타 도구를 사용하는 고급 사용자 만 비활성화해야합니다.
