幕雪

記憶體完整性是什麼?為什麼重要?在哪裡設定?怎麼開啟?會不會影響效能?

記憶體完整性 (Memory Integrity) 是現代作業系統中一項重要的安全性功能,特別是在 Windows 系統中,它是「核心隔離 (Core Isolation)」設定中的一個關鍵組成部分。不同於寬泛的資料完整性概念,這裡討論的記憶體完整性特指作業系統為防止惡意程式碼注入和執行而採取的具體技術措施。

什麼是記憶體完整性?

簡單來說,記憶體完整性是 Windows 系統內建的一道安全屏障,其主要目的是防止低階惡意軟體(如 Rootkit 或其他惡意驅動程式)在您的電腦上啟動或執行。它透過驗證作業系統核心模式(Kernel Mode)下執行程式碼的簽名來實現這一點。

核心隔離 (Core Isolation) 的一環

記憶體完整性隸屬於 Windows 的「核心隔離」功能。核心隔離利用硬體虛擬化技術,在作業系統的核心與其他部分之間建立一個隔離區域。這個隔離區域被稱為安全核心 (Secure Kernel)。

保護核心模式程式碼

在 Windows 系統中,核心模式具有極高的權限,是作業系統的核心部分運行的地方,包括驅動程式、部分系統服務等。惡意軟體如果能在這裡執行,幾乎可以為所欲為,完全控制您的系統,甚至對傳統的防毒軟體隱藏行蹤。

記憶體完整性正是為了防範這類威脅而設計的。它確保只有經過合法簽署且受信任的程式碼(主要是驅動程式和一些系統服務)才能在核心模式中載入並運行。

為什麼記憶體完整性很重要?

啟用記憶體完整性對於提升系統安全性至關重要,原因如下:

  • 抵禦 Rootkit 和低階惡意軟體: Rootkit 是一種特別危險的惡意軟體,它們試圖在作業系統核心層面隱藏自己。透過驗證核心模式程式碼,記憶體完整性使得 Rootkit 難以載入,從源頭上封鎖了這類威脅。
  • 增強系統的彈性: 即使有其他惡意軟體成功進入系統,記憶體完整性也能降低其提升權限至核心模式的可能性,限制了其破壞力。
  • 保護憑證和其他敏感資料: 一些攻擊手法會試圖從核心模式中竊取登入憑證或加密金鑰。記憶體完整性可以幫助保護這些敏感資訊,使其不易被惡意程式碼存取。
  • 符合現代安全標準: 越來越多的企業和組織建議或要求啟用這類基於硬體隔離的安全功能,以應對日益複雜的網路威脅。

總之,啟用記憶體完整性為您的 Windows 系統增加了一層強大的防護,特別是針對那些最難偵測和移除的惡意軟體類型。

記憶體完整性在哪裡設定?

記憶體完整性是 Windows 作業系統的一項內建功能,您可以在 Windows 安全性設定中找到並管理它。

設定路徑 (以 Windows 10/11 為例):

  1. 開啟「設定 (Settings)」。您可以按下 Windows 鍵 + I 快速開啟。
  2. 點選「隱私權與安全性 (Privacy & Security)」。在 Windows 10 中可能顯示為「更新與安全性 (Update & Security)」。
  3. 點選左側選單中的「Windows 安全性 (Windows Security)」。
  4. 點選「開啟 Windows 安全性 (Open Windows Security)」。
  5. 在 Windows 安全性視窗中,點選左側導航欄中的「裝置安全性 (Device Security)」。
  6. 在「核心隔離 (Core Isolation)」區塊下,您會看到「記憶體完整性 (Memory Integrity)」的選項。

在這個介面中,您可以查看記憶體完整性的狀態(開啟或關閉),以及切換其啟用狀態。

記憶體完整性如何運作?

記憶體完整性的核心技術是「Hypervisor-Protected Code Integrity (HVCI)」,它利用了硬體虛擬化功能來建立一個安全的執行環境。

基於虛擬化技術 (Virtualization-Based Security, VBS)

記憶體完整性屬於 VBS 功能集的一部分。VBS 藉助於 CPU 的虛擬化擴展(如 Intel VT-x 或 AMD-V),創建一個獨立於常規作業系統之外的、高度受保護的虛擬環境。

HVCI 的工作流程:

  1. 建立安全環境: 作業系統啟動時,VBS 會利用硬體虛擬化技術建立一個隔離的安全記憶體區域和執行環境。
  2. 程式碼載入攔截: 當任何程式碼(主要是驅動程式)嘗試載入到核心模式記憶體時,HVCI 會攔截這個操作。
  3. 簽名驗證: HVCI 在隔離的虛擬環境中對嘗試載入的程式碼進行驗證。它會檢查程式碼的數位簽章,確認其來自受信任的發行者,並且自簽署後未被修改。
  4. 程式碼執行:

    • 如果程式碼具有有效的、受信任的簽名並通過驗證,HVCI 允許其載入到核心模式記憶體中並執行。
    • 如果程式碼沒有簽名、簽名無效、簽名來自不受信任的來源,或者 HVCI 偵測到程式碼已被竄改,它會阻止該程式碼載入和執行。Windows 安全性通常會通知您哪個驅動程式被阻止。

整個驗證過程發生在受虛擬化保護的獨立環境中,這使得惡意軟體即使已經在常規系統中運行,也很難干擾或繞過這個驗證過程。

如何開啟/關閉與排查記憶體完整性?

啟用記憶體完整性通常是一個簡單的開關操作,但有時可能會遇到相容性問題。

開啟記憶體完整性:

  1. 按照前面提到的路徑導航到「Windows 安全性」>「裝置安全性」>「核心隔離」。
  2. 在「記憶體完整性」選項下,將開關切換至「開啟 (On)」。
  3. 系統可能會提示您重新啟動電腦以應用變更。請務必儲存您的工作並重新啟動。

必要條件:

要成功啟用記憶體完整性,您的系統通常需要滿足以下條件(大部分現代電腦都已滿足):

  • 支援並已在 BIOS/UEFI 中啟用 CPU 虛擬化功能 (如 Intel VT-x 或 AMD-V)。
  • 使用 UEFI 韌體模式啟動系統(而不是傳統 BIOS 模式)。
  • 可能需要啟用安全開機 (Secure Boot)。
  • 推薦或需要 TPM 2.0 晶片,它提供硬體級的加密支援。
  • Windows 版本支援核心隔離 (通常是 Windows 10/11 專業版、企業版、教育版,某些符合硬體要求的家用版也支援)。

關閉記憶體完整性:

如果遇到啟用記憶體完整性後系統出現問題(通常是由於驅動程式不相容),您可能需要暫時將其關閉:

  1. 按照前面提到的路徑導航到「Windows 安全性」>「裝置安全性」>「核心隔離」。
  2. 在「記憶體完整性」選項下,將開關切換至「關閉 (Off)」。
  3. 重新啟動電腦以應用變更。

注意: 關閉記憶體完整性會降低系統的防禦能力,不建議在沒有必要的情況下關閉。

排查無法開啟的問題:

如果記憶體完整性無法開啟,Windows 安全性介面通常會指出原因,最常見的是存在不相容的驅動程式。

  • 檢查不相容的驅動程式: 在記憶體完整性開關下方,Windows 安全性可能會列出不相容的驅動程式清單。
  • 更新或移除驅動程式:

    • 優先選擇更新: 嘗試前往裝置製造商的官方網站下載並安裝該裝置的最新驅動程式。很多驅動程式更新會增加對記憶體完整性的支援。
    • 考慮移除: 如果無法找到相容的更新驅動程式,且該裝置不是系統必需的,您可以考慮在裝置管理員中解除安裝該裝置及其驅動程式。
    • 謹慎處理: 對於系統關鍵驅動程式(如顯示卡、主機板晶片組等),除非有明確的官方更新支援,否則不要輕易移除。有時需要等待硬體製造商發布相容的驅動程式版本。
  • 檢查 BIOS/UEFI 設定: 確保 CPU 虛擬化選項(通常標示為 Intel VT 或 AMD SVM)已啟用。同時確認系統是以 UEFI 模式啟動。

記憶體完整性的潛在影響

啟用記憶體完整性雖然顯著提升了安全性,但也可能帶來一些潛在影響:

效能影響 (多少?)

記憶體完整性會增加額外的驅動程式驗證步驟,這理論上會對系統效能產生一個輕微的開銷。然而,對於絕大多數現代電腦而言,這個效能影響通常是微不足道的,幾乎不會在使用中被感知。只有在執行對驅動程式載入頻繁或對核心模式互動極其敏感的特定工作負載時(例如某些虛擬機應用程式或極其嚴苛的基準測試),才可能觀察到可衡量的差異。對於日常使用、辦公或遊戲等情境,使用者通常無需擔心顯著的效能下降。安全的效益遠大於這點潛在的開銷。

軟體與驅動程式相容性

這是啟用記憶體完整性最常見的潛在問題。某些舊的、未經數位簽署的、或簽名格式不被 HVCI 支援的驅動程式將無法載入,導致相關硬體或軟體無法正常工作。這也是 Windows 安全性會提示您不相容驅動程式的原因。這主要影響一些特殊硬體(如舊的印表機、掃描器、特定的擴充卡)或一些特定的、較舊的軟體(尤其是與虛擬化、模擬、或低階系統操作相關的軟體)所使用的驅動程式。

因此,在啟用記憶體完整性之前或之後,如果發現某些硬體或軟體不再工作,應優先檢查 Windows 安全性中是否有被阻止的驅動程式,並嘗試更新相關驅動程式。

結論

記憶體完整性是 Windows 10 和 Windows 11 中一項非常重要的安全性功能,它透過利用硬體虛擬化技術,為作業系統核心模式提供強力的保護,有效抵禦 Rootkit 等惡意軟體的威脅。儘管可能存在一些與驅動程式相容性的問題,但在大多數情況下,強烈建議保持啟用此功能。它所帶來的安全提升遠超過潛在的輕微效能影響和驅動程式相容性排查所需的努力。確保您的系統具備必要的硬體條件,並保持驅動程式更新,將有助於您順利啟用並從記憶體完整性中獲益。

記憶體完整性