Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

Windows Defender Kernisolierung / Speicher-Integrität (SCU 1803)

M

mh0001

gehört zum Inventar
Hallo!

Ich wollte eben das nun auch für Endnutzer eingeführte Sicherheitsfeature aktivieren (siehe Screenshot), was dazu dient, den Windows Kernel besser abzusichern, und seit dem Spring Creators Update nun auch für Endnutzer eingeführt und bei Neuinstallationen wohl standardmäßig aktiv sein soll.

Das schlägt jedoch bei mir fehl (siehe zweiter Screenshot). Laut Internet müssen sämtliche Treiber damit kompatibel sein, sonst droht einfaches Nicht-Funktionieren bis hin zu BSOD. Offensichtlich liegt bei mir eine solche Inkompatibilität vor, weswegen Windows eine Aktivierung sinnvollerweise nicht zulässt.
Allerdings ist es eine typische Microsoft-Fehlermeldung. Eine Inkompatibilität wurde gefunden, und obwohl das Modul, was diese Inkompatibilität irgendwo gefunden hat natürlich weiß, WO diese vorliegt bzw. welcher Treiber schuld ist (irgendwas muss die Warnung ja getriggert haben), teilt man das dem Nutzer natürlich nicht mit und lässt ihn im Regen stehen.

Wüsste ich, welcher Treiber oder welche Software schuld ist, könnte ich je nach Wichtigkeit ja auf die Idee kommen, darauf zu verzichten, um das Feature nutzen können. Leider gibt Windows von sich aus dazu keine Informationen. Kennt sich hier jemand damit aus? Oder hat das schonmal jemand hier nachträglich aktiviert bekommen? Laut dem MS-Blog-Eintrag zur Einführung dieses Features, soll das per Default bei Neuinstallationen in Zukunft eingeschaltet sein. Das würde dazu führen, dass sich inkompatible Treiber wohl einfach nicht mehr installieren lassen.

Screenshot_4.pngScreenshot_5.png
 
Anzeige
Du kannst noch keine Neuinstallation durchgeführt haben, da es noch keine Offizielle Version gibt. Alles andere auf eigenes Risiko.
 
Na ja,ich hab diese Kernisolierung zwar gesehen,ignoriere sie aber lieber.Keinesfalls wird Diese standardgemäss aktiv sein.
 

Anhänge

  • kern.PNG
    kern.PNG
    95,5 KB · Aufrufe: 625
Zuletzt bearbeitet von einem Moderator:
Ich hatte unter Kernisolierung die Speicher-Integrität aktiviert. Nach einen geforderten Neustart war der Punkt zum Deaktivieren ausgegraut. Wie deaktiviert man das wieder? Es stand ein Hinweis das der Punkt verwaltet (weiß den genauen Wortlaut nicht mehr) wird. In den Gruppenrichtlininien habe ich dazu aber nichts gefunden. Weiß jemand mehr dazu?
 
Zuletzt bearbeitet von einem Moderator:
Iskandar schrieb:
Keinesfalls wird Diese standardgemäss aktiv sein.
Zum Vergrößern anklicken....
Ist sie auch nicht. Weder beim Upgrade von 17128 bzw. 16299 noch bei einer Neuinstallation von 17133. Im Gegenteil besteht nicht mal die Möglichkeit diese anzuschalten, wenn Windows die Hardware für nicht geeignet hält. Diese Erkennung mag noch nicht perfekt funktionieren, denn es gibt wohl Installationen in VMs, die durch das anschalten geschrottet wurden, aber wir reden hier immer noch von einer Insiderversion. Jedenfalls kann ich die Kernisolierung auf verschiedenen Systemen problemlos nutzen - ob's einen Sicherheitsgewinn gebracht hat, weiß ich natürlich nicht - mußte die aber überall manuell aktivieren. Also nichts mit automatisch aktiv.

Außerdem ist die Kernisolation so gut versteckt, daß Laien schon mit der Nase drauf gestoßen werden müssten, damit sie das versehentlich einschalten. Dann ist derjenige das Arschloch, der den Laien ohne Warnhinweise dazu ermutigt hat. Wer so dumm ist, die Kernisolierung auf einem produktiv genutzen System einfach mal auszuprobieren, obwohl die Webseite mit weiteren Informationen derzeit noch ins Leere führt, ist selbst schuld.

Jedenfalls kann der TE auch nur Gerüchte präsentieren, nennt aber nichtmal die Quellen für diese.
 
ich habe in einem anderen beitrag das gefunden

Windows 10 1803 Kernisolierung deaktivieren

Hilfe bringt ein kleiner Eingriff in der Registry. Unter HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\DeviceGuard \Scenarios\HypervisorEnforcedCodeIntegrity findet sich der Schlüssel “Enabled”, welcher auf den Wert 0 gesetzt werden muss. Nach einem erneuten Neustart ist HVCI wieder deaktiviert.
Zum Vergrößern anklicken....
.

für mich kam es leider zuspät ,mußte mein system neu aufsetzen:cry:
 
Der sollte sich aber wieder deaktivieren lassen. Ich habe sie auf allen Rechnern wieder deaktiviert, wegen diversen Fehlermelungen.
 
Hilfe bringt ein kleiner Eingriff in der Registry. Unter HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\DeviceGuard \Scenarios\HypervisorEnforcedCodeIntegrity findet sich der Schlüssel “Enabled”, welcher auf den Wert 0 gesetzt werden muss. Nach einem erneuten Neustart ist HVCI wieder deaktiviert.
Zum Vergrößern anklicken....

Genau das hatte ich gesucht. Herzlichen Dank

Ich habe gerade den Registry Eintrag ausprobiert. Die Deaktivierung funktioniert einwandfrei und auch der Hinweis das der Eintrag vom Administrator verwaltet wird verschwindet wieder. Das einzige was bei mir bei Aktivierung nicht mehr funktioniert ist VirtualBox. Es starten keine virtuellen Maschinen mehr.
 
Zuletzt bearbeitet von einem Moderator:
Holunder1957 schrieb:
Du kannst noch keine Neuinstallation durchgeführt haben, da es noch keine Offizielle Version gibt. Alles andere auf eigenes Risiko.
Zum Vergrößern anklicken....

Ich habe nirgendwo behauptet, ich hätte eine Neuinstallation gemacht. Genau lesen, bitte erst dann posten, danke.

build10240 schrieb:
Jedenfalls kann der TE auch nur Gerüchte präsentieren, nennt aber nichtmal die Quellen für diese.
Zum Vergrößern anklicken....

Und hier die Quelle:
https://techcommunity.microsoft.com...Making-a-leap-forward-in-platform/td-p/167303

In an upcoming release of Windows 10, we will be bringing a subset of VBS features to all editions of Windows to ensure our customers remain safe from increasingly sophisticated attacks. Devices that meet hardware and firmware requirements will have parts of VBS enabled by default. Additionally, as part of this effort, Hypervisor protected code integrity (HVCI) will also be available and turned on by default in clean installs; for older systems, customers will have the ability to opt in post upgrade using the UI in Windows Defender Security Center (WDSC). This enhancement will ensure that the kernel process that verifies code integrity runs in a secure runtime environment provided by VBS.
Zum Vergrößern anklicken....

Eindeutige Aussage: Bei Neuinstallation soll es standardmäßig an sein, nach einem Upgrade per opt-in einschaltbar, sofern die Hardware und Firmware kompatibel ist. Bei mir steht unter "Gerätesicherheit" z.B. prominent der Hinweis "Ihr Gerät erfüllt die Anforderungen für standardmäßige Hardwaresicherheit" und alle drei Häkchen bei Kernisolierung, Sicherheitschip und Sicherer Start sind grün. Dementsprechend sollte es funktionieren. Selbst das Device Guard Readiness Tool meldet uneingeschränkten HVCI-Support.

Weiterhin heißt es, man solle es nur im Fall von Problemen ausschalten. Die Microsoft-Entwickler empfehlen, lieber die inkompatiblen Programme zu updaten, statt es zu deaktivieren:

We worked hard to mitigate impacted experiences, so if an incompatibility exists for a boot-critical driver, Memory integrity protection will be silently turned off. If you encounter incompatibilities with other apps, Microsoft advises that you check for updates for the specific app and version encountering the issue before turning off memory integrity protection.
Zum Vergrößern anklicken....
In Core isolation, you can turn Memory integrity (hypervisor-protected code integrity) on or off. In some scenarios where you may encounter application compatibility issues, you may need to turn this off. This will require a system reboot.
Zum Vergrößern anklicken....

Denn eigtl. soll seit 2 Jahren alles bereits damit kompatibel sein:
While hypervisor-protected code integrity compliance has been a requirement for all drivers since Windows 10 Anniversary Update (1607), some drivers may still not be compatible.
Zum Vergrößern anklicken....

Kann natürlich einfach sein, dass es auch bei einer Neuinstallation bei fast allen schlicht nicht aktiviert ist, weil eben eine Inkompatibilität festgestellt wird und es darum automatisch deaktiviert wird, wie in der Quelle beschrieben.

Aber schön, dass einem hier erstmal unterstellt wird, Quatsch zu erzählen. Ich werde in Zukunft wohl von weiteren Posts zu solchen Dingen absehen. ;)
 
Zuletzt bearbeitet:
Dann braucht man ja nur auf https://docs.microsoft.com/en-us/windows-hardware/design/device-experiences/oem-vbs weiterlesen, um zu erkennen, daß bei kaum einem Consumer-Gerät VBS komplett automatisch aktiviert wird. Systeme die alle Hardware- und Firmwareanforderungen erfüllen, dürften so neu sein, daß kaum bis keine Probleme zu erwarten sind. Weiterhin steht dort "will have parts of VBS enabled by default." Die Betonung liegt auf Teile. Relevant bzgl. der Treiber ist laut dem Beitrag jedoch die Speicherintegrität und die wird scheinbar eher nicht automatisch aktiviert. Secure Boot und TPM sind keine Teile von VBS sondern nur im selben Bereich des Defender Security Centers aufgeführt.

Außerdem dürfte für alle älteren Systeme folgendes gelten: "for older systems, customers will have the ability to opt in post upgrade using the UI in Windows Defender Security Center (WDSC)." Das kann ich immerhin für vier von vier typischen Consumer-Systemen bestätigen, denn aktiviert war die Speicherintegrität nirgendwo, ließ sich aber auf zwei neueren Systemen problemlos aktivieren. Dazu steht in dem Beitrag, daß sich die Speicherintegrität jederzeit, also auch wenn sie automatisch aktiviert wird, abschalten läßt.

mh0001 schrieb:
Aber schön, dass einem hier erstmal unterstellt wird, Quatsch zu erzählen.
Zum Vergrößern anklicken....
Dann solltest Du mal richtig zitieren lernen, denn "Laut dem MS-Blog-Eintrag zur Einführung dieses Features, soll das per Default bei Neuinstallationen in Zukunft eingeschaltet sein." würde auch übersetzt nicht das gleiche bedeuten wie "Devices that meet hardware and firmware requirements will have parts of VBS enabled by default."
 
Zuletzt bearbeitet:
build10240 schrieb:
Dann solltest Du mal richtig zitieren lernen, denn "Laut dem MS-Blog-Eintrag zur Einführung dieses Features, soll das per Default bei Neuinstallationen in Zukunft eingeschaltet sein." würde auch übersetzt nicht das gleiche bedeuten wie "Devices that meet hardware and firmware requirements will have parts of VBS enabled by default."
Zum Vergrößern anklicken....

Das ist korrekt! Nur hab ich den Satz ja auch gar nicht übersetzt, sondern den hier:

as part of this effort, Hypervisor protected code integrity (HVCI) will also be available and turned on by default in clean installs;
Zum Vergrößern anklicken....

Denn das was man als "Memory integrity" aktivieren kann, entspricht HVCI, und das gehört zu den "parts of VBS", um die es ja geht.

Den Artikel, den du verlinkt hast, hatte ich auch gelesen, allerdings dann gedacht, da der von Oktober 2017 ist und der von mit verlinkte Blogeintrag ganz frisch vom März, dass sich da evtl. Neues ergeben hat in Bezug auf Kompatibilität und End-User-Tauglichkeit.

Kann natürlich auch sein, dass der gute Chris Riggs da mit seinen Aussagen etwas übers Ziel hinaus geschossen ist.

Es wäre nur einfach interessant zu wissen, was genau die Inkompatibilität verursacht. Ich habe ja eine niegelnagelneue Plattform (Z370 Chipsatz, Intel 8700K), TPM 2.0, aktuelles UEFI mit Secure Boot, sollte also hardwaretechnisch die Voraussetzungen eigtl. erfüllen.

Denn sicherheitstechnisch ist das Feature meiner Meinung nach schon ein riesiger Schritt nach vorne, und daher unbedingt zu begrüßen, dass es sich breit durchsetzt.
Im dümmsten Fall scheitert es an einer Lapalie wie einem alten Druckertreiber, der sich nicht kompatibel dazu meldet.
Ich werd wohl mal versuchen, jegliche Peripherie mit Treibern vor 2016, wo das ja laut Blogpost bereits Voraussetzung für die Zertifizierung der Treiber war, zu deinstallieren und abzuziehen, vielleicht geht es ja dann.

Allerdings hab ich per Google einen Forenpost gefunden, wonach z.B. auch die aktuellen Soundkartentreiber von Creative damit nicht funktionieren, und ich hab natürlich ausgerechnet eine Creative-Soundkarte. :eek:
Wenn was schiefgeht, spiel ich halt das Backup-Image zurück, Schaden maximal 20 Minuten verlorene Zeit :D
 
Zuletzt bearbeitet:
Als einfacher Normalnutzer,hofffe ich aber weiterhin,dass diese Kernisolierung nicht by Default angeschaltet wird.
Ich hab die aktuelle version 17133.1 als Home Version und frage mich nun grad nebenbei,warum bei mir der Punkt "Security Processor" gar nicht aufgeführt wird ? Ist der nur für Pro und Enterprise gedacht? Vergleiche meine Screenshots.Bei mir gibt es nur zwei Einstellungen.
 

Anhänge

  • home1.PNG
    home1.PNG
    70,2 KB · Aufrufe: 353
  • home2.PNG
    home2.PNG
    117,4 KB · Aufrufe: 368
Ich hab die aktuelle version 17133.1 als Home Version und frage mich nun grad nebenbei,warum bei mir der Punkt "Security Processor" gar nicht aufgeführt wird ? Ist der nur für Pro und Enterprise gedacht? Vergleiche meine Screenshots.Bei mir gibt es nur zwei Einstellungen.
Zum Vergrößern anklicken....


Ich habe den auch nicht und ich habe win 10 pro.
Defender.PNG
 
mh0001 schrieb:
Es wäre nur einfach interessant zu wissen, was genau die Inkompatibilität verursacht. Ich habe ja eine niegelnagelneue Plattform (Z370 Chipsatz, Intel 8700K), TPM 2.0, aktuelles UEFI mit Secure Boot, sollte also hardwaretechnisch die Voraussetzungen eigtl. erfüllen.
Zum Vergrößern anklicken....
Also ich konnte die Speicherintegrität auf NUCs mit Broadwell-i3s problemlos aktivieren. Die sind immerhin von Anfang 2015 und erfüllen nicht jede der genannten Voraussetzungen bzw. diese sind teilweise im Bios abgeschaltet. Ein TPM 2.0 haben die meines Wissens gar nicht. Für die stellt Intel allerdings auch immer noch Treiber bereit. Die ältesten aktuell installierten Treiber sind aus dem letzten Jahr.

Denn sicherheitstechnisch ist das Feature meiner Meinung nach schon ein riesiger Schritt nach vorne, und daher unbedingt zu begrüßen, dass es sich breit durchsetzt.
Zum Vergrößern anklicken....
Wenn der Haken bei Kernisolierung im Bereich Gerätesicherheit gesetzt ist, sind die unkritischen Teile von VBS wohl schon aktiv. Die Speicherintegrität wurde vermutlich nur von dieser Automatik ausgenommen wegen der möglichen Treiberprobleme, sonst gäbe es auch dafür keine Auswahl.

Im dümmsten Fall scheitert es an einer Lapalie wie einem alten Druckertreiber, der sich nicht kompatibel dazu meldet.
Zum Vergrößern anklicken....
Ich habe unter Windows 10 noch nie einen Druckertreiber installiert, macht Windows alles selbständig. Ich weiß gar nicht von wann und wem diese Druckertreiber sind.

Du könntest mal in der Ereignisanzeige suchen. Möglicherweise wird dort protokolliert, welcher Treiber nicht kompatibel ist. Das könnte dort in den Protokollen Anwendung bzw. System oder in einem der speziellen Protokolle unterhalb von Anwendungs- und Dienstprotokolle\Microsoft\Windows aufgezeichnet werden.
 
Thomas! schrieb:
Ich hatte unter Kernisolierung die Speicher-Integrität aktiviert. Nach einen geforderten Neustart war der Punkt zum Deaktivieren ausgegraut. Wie deaktiviert man das wieder? Es stand ein Hinweis das der Punkt verwaltet (weiß den genauen Wortlaut nicht mehr) wird. In den Gruppenrichtlininien habe ich dazu aber nichts gefunden. Weiß jemand mehr dazu?
Zum Vergrößern anklicken....

Ging mir genauso, geht dann nur noch über die Registry-hier die Anleitung
Kernisolierung aktivieren deaktivieren Windows 10
https://www.deskmodder.de/wiki/index.php?title=Kernisolierung_aktivieren_deaktivieren_Windows_10

Bei mir ging´s

McGrowan
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Anzeige
Oben