تكوين عزل النواة وسلامة الذاكرة في نظام التشغيل ويندوز

  • تستخدم تقنية عزل النواة وسلامة الذاكرة الأمان القائم على المحاكاة الافتراضية لعزل النواة والتحقق من صحة التعليمات البرمجية في وضع النواة، مما يقلل بشكل كبير من تأثير البرامج الضارة والثغرات الأمنية.
  • يمكن إجراء التنشيط من خلال أمان Windows أو سجل النظام أو PowerShell أو سياسات التحكم في التطبيقات، ومن الضروري التحقق من توافق الأجهزة والبرامج الثابتة وبرامج التشغيل.
  • توفر هذه الميزات حماية قوية ولكنها تأتي على حساب الأداء وقد تسبب تعارضات مع السائقين، لذلك من المهم تحقيق التوازن بين الأمان والاستخدام الفعلي للمعدات.
  • في الأجهزة الافتراضية Hyper-V وعلى الأنظمة التي لا تكون فيها قابلة للتطبيق، يمكن دمجها مع تقنيات مثل حماية مكدس الأجهزة، أو Docker، أو أجهزة افتراضية إضافية لتحقيق عزل فعال.
Joaquin RomeroActualizado ش

19 دقيقة

تكوين عزل النواة وسلامة الذاكرة في نظام التشغيل ويندوز

تكوين عزل النواة وسلامة الذاكرة في نظام التشغيل ويندوز أصبحت هذه المسألة بالغة الأهمية لكل من يسعى إلى تعزيز أمان حاسوبه، لا سيما في البيئات التي تكثر فيها البرامج الضارة وهجمات النظام. ورغم أنها قد تبدو في البداية ميزة "مخفية" بين الإعدادات المتقدمة، إلا أنها في الواقع تلعب دورًا أساسيًا في حماية جوهر نظام التشغيل.

ستجد في السطور التالية دليلاً شاملاً للغاية يشرح ما هو عزل النواة تحديداً؟كيف تعمل سلامة الذاكرة القائمة على المحاكاة الافتراضية (VBS)، وما هي متطلباتها وقيودها، وكيفية تمكينها أو تعطيلها من الواجهة الرسومية أو عبر السجل أو PowerShell أو السياسات، وما هو التأثير الحقيقي الذي يمكن أن تحدثه على أداء جهاز الكمبيوتر الخاص بك وتوافقه.

ما هو عزل النواة في نظام التشغيل ويندوز، وما هي استخداماته؟

الدعوة عزل النواة هي ميزة أمان متقدمة مدمجة في أنظمة التشغيل Windows 10 وWindows 11 وWindows Server، وتعتمد على الأمان القائم على المحاكاة الافتراضية (VBS)يتمثل هدفها في تشغيل بعض مكونات نظام التشغيل الهامة في بيئة معزولة عن بقية العمليات، مما يقلل بشكل كبير من مساحة الهجوم ضد البرامج الضارة والثغرات التي تحاول اختراق النواة.

عند تفعيل خاصية عزل النواة، يقوم النظام بإنشاء بيئة افتراضية محمية باستخدام برنامج إدارة الأجهزة الافتراضية (Hypervisor) الخاص بنظام ويندوز، تُشغّل هذه البيئة المعزولة وظائف أمنية عالية، مما يمنع البرامج الضارة التي تتمكن من العمل على النظام العادي من التفاعل بسهولة مع نواة النظام أو التلاعب ببنى الذاكرة الحيوية. يعمل هذا الفصل المنطقي كحاجز إضافي بين النظام وأي شيء قادم من الخارج، سواء كان مرفقًا مصابًا، أو برنامجًا مشكوكًا في مصدره، أو برنامج تشغيل معيبًا.

تخيل أنك تفتح رسالة بريد إلكتروني تحتوي على مرفق خبيثبدون هذا العزل، قد يستغلّ برنامج خبيث ثغرات النظام لرفع مستوى صلاحياته والوصول إلى نواة النظام. مع تفعيل عزل النواة، تتم حماية معظم العمليات المنطقية الحيوية داخل هذه البيئة الافتراضية، مما يحدّ بشدة من قدرة البرامج الخبيثة على العمل، حتى لو تمكّنت من التنفيذ بصلاحيات مرتفعة في الجزء غير المعزول من النظام.

تكوين FTP في Windows
المادة ذات الصلة:
إعداد FTP على Windows: الخادم والأذونات والأمان الأساسي

ما هي سلامة الذاكرة وما هو دورها في نظام VBS؟

في عزل النواة، الجزء النجمي هو ما يسمى سلامة الذاكرةيُعرف أيضًا باسم HVCI (سلامة الكود المفروضة بواسطة المشرف). تنقل هذه الوظيفة فحص سلامة الكود من وضع النواة إلى بيئة VBS الآمنة، بحيث يعمل المشرف كجذر ثقة ويضمن تحميل الكود الموقع والشرعي فقط في النواة.

بفضل خاصية سلامة الذاكرة النشطة، يصبح النظام يقيد تخصيصات ذاكرة النواة يمكن استغلال هذه الثغرات لشن هجمات حقن التعليمات البرمجية أو لتعطيل آليات الأمان. ولأن عملية التحقق من سلامة النظام تتم في بيئة معزولة، فإن المهاجم الذي ينجح في اختراق نواة النظام التقليدية يواجه صعوبة بالغة في تعطيل هذه الحمايات، إذ أن عملية التحقق نفسها خارجة عن سيطرته.

من بين أهم الوظائف الداخلية، تُعد سلامة الذاكرة مسؤولة عن حماية خريطة بتات حماية تدفق التحكم (CFG) عند تطبيق هذه الإجراءات على برامج تشغيل وضع النواة، فإنها تعزز أيضًا عملية سلامة التعليمات البرمجية التي تتحقق من صحة الشهادات الخاصة بالعمليات الأخرى ذات الامتيازات. كما تحدّ هذه الإجراءات بشكل كبير من محاولات إعادة توجيه مسارات التنفيذ إلى تعليمات برمجية خبيثة أو تحميل ملفات ثنائية غير موثوقة في النواة.

متطلبات العزل الأساسي والتوافق

تكوين عزل النواة وسلامة الذاكرة في نظام التشغيل ويندوز

على الرغم من أن نظام ويندوز يدمج هذه الميزات بشكل افتراضي، ليست كل الأجهزة متوافقة أو يتم تفعيلها افتراضيًا. لكي تعمل خاصية عزل النواة وسلامة الذاكرة بشكل صحيح، يجب أن تستوفي الأجهزة والبرامج الثابتة عددًا من الشروط: دعم المحاكاة الافتراضية للأجهزة (Intel VT-x، AMD-V)، والتمهيد الآمن، وبعض ملحقات وحدة المعالجة المركزية مثل MBEC/GMET، وفي بيئات الخوادم أو المحاكاة الافتراضية، إمكانيات عزل إضافية للأجهزة الافتراضية.

في كثير من الحالات، تعتمد هذه الخيارات أيضاً على إعدادات BIOS/UEFIإذا تم تعطيل المحاكاة الافتراضية أو التمهيد الآمن على مستوى البرامج الثابتة، فلن يتمكن VBS من البدء ولن تتوفر ميزات عزل النواة، حتى لو قمت بتمكينها من نظام التشغيل Windows. بالإضافة إلى ذلك، قد تكون بعض برامج التشغيل القديمة أو التي لا تحظى بالصيانة الكافية غير متوافقة مع هذه التقنيات، مما يتسبب في حدوث أخطاء. شاشات زرقاء مثل خطأ IRQL_NOT_LESS_OR_EQUAL أو منع تنشيط سلامة الذاكرة بشكل مباشر.

كيف يمكنني تفعيل أو تعطيل خاصية عزل النواة من إعدادات أمان ويندوز؟

إن أبسط وأفضل طريقة لمستخدمي المنازل أو المكاتب هي إدارة عزل النواة من الجهاز نفسه. تطبيق أمان Windows، حيث يتم تجميع معظم إعدادات أمان النظام في لوحة واحدة.

لمراجعة هذه الخيارات وتعديلها، يمكنك اتباع تسلسل مشابه لما يلي في نظامي التشغيل Windows 10 وWindows 11: افتح تطبيق أمان Windows من أيقونة الدرع في شريط النظام أو باستخدام البحث، ثم انتقل إلى أمان الجهاز وتحدد موقع كتلة العزل الأساسيتظهر على تلك الشاشة عادةً رسالة تشير إلى ما إذا كانت سلامة الذاكرة مفعلة أم لا، بالإضافة إلى تحذير من وجود ثغرة أمنية محتملة عندما تظل معطلة.

ضمن تفاصيل العزل الأساسي ستجد مفتاح تشغيل أو إيقاف تشغيل ميزة سلامة الذاكرة، بالإضافة إلى الخيار المسمى قائمة مايكروسوفت لبرامج التشغيل المعرضة للخطر والمحظورةيمنع هذا تحميل برامج التشغيل المعروفة بوجود عيوب خطيرة فيها. بمجرد تفعيل خاصية سلامة الذاكرة، سيطلب منك النظام إعادة تشغيل جهاز الكمبيوتر لتطبيق التغييرات، وعند إعادة التشغيل، ستظهر لك أيقونة تأكيد خضراء بجوار قسم عزل النواة.

نعم، عندما تقوم بتشغيله، ستظهر مشاكل في الأداء، وانخفاض معدل الإطارات في الألعاب أو حتى في حال ظهور شاشة زرقاء، يمكنك دائمًا العودة إلى نفس اللوحة وإيقاف تشغيل المفتاح. يتيح لك نظام ويندوز تغيير هذا الإعداد عدة مرات كما تشاء، وهو أمر مفيد إذا كنت ترغب، على سبيل المثال، في تفعيله في أوقات محددة فقط (مثل استخدام محركات أقراص USB غير معروفة أو تثبيت برامج من مصادر مشبوهة).

تأثيره على الأداء ومتى يتم تفعيله أو عدم تفعيله

من المهم فهم أن عزل النواة، وخاصة سلامة الذاكرة، هذه الميزات ليست مجانية من حيث الأداء.كل طبقة أمان إضافية تعني المزيد من عمليات الفحص، والمزيد من التحقق من صحة التعليمات البرمجية، ومزيدًا من العمل على وحدة المعالجة المركزية لفحص ما يتم تشغيله على النظام. على أجهزة الكمبيوتر القوية، قد يكون هذا بالكاد ملحوظًا، ولكن على الأجهزة الأقل قوة أو عند تشغيل الألعاب ذات المتطلبات العالية، قد تلاحظ انخفاضًا في معدل الإطارات أو استجابة أقل سلاسة.

أفاد العديد من المستخدمين بما يلي: بعد تفعيل عزل النواةتتراجع سرعة الألعاب وتطبيقات الرسومات نوعًا ما، ويؤدي تعطيلها إلى استعادة سلاستها السابقة. وفي بعض الحالات المحددة، فقد واجهت هذه التطبيقات مشاكل. أخطاء حرجة مثل شاشة الموت الزرقاء Critical_Process_Died عند محاولة تفعيلها، خاصة إذا كانت هناك برامج تشغيل قديمة أو مصممة بشكل سيئ لا تعمل بشكل جيد مع هذه الحمايات.

لذلك، من المنطقي مراعاة سياق الاستخدام. إذا كنت تستخدم جهاز الكمبيوتر الخاص بك بشكل أساسي لـ الألعاب والمهام عالية الأداء في بيئة آمنة نسبياً، مع اتباع عادات أمنية جيدة (كعدم تحميل ملفات تنفيذية مشبوهة، وتجنب المواقع الإلكترونية المشبوهة، وتحديث برنامج Windows Defender باستمرار)، قد تفضل تعطيل خاصية عزل النواة لتحقيق أقصى استفادة من جهازك. مع ذلك، إذا كنت تتصفح الإنترنت بكثرة، أو تفتح المرفقات بشكل متكرر، أو توصل أجهزة خارجية، أو كان الكمبيوتر مشتركاً في المكتبات أو المكاتب أو المؤسسات التعليمية، يُنصح بشدة بالتضحية بجزء بسيط من الأداء مقابل مستوى أمان أعلى بكثير.

سلامة الذاكرة وعزل الأجهزة: كيف يحمي النظام

عند مناقشة هذه الوظيفة، يُذكر أيضًا بشكل متكرر أن يفصل العمليات ذات الأمان العالي عن باقي العمليات. في هذا النظام، يتم إنشاء حاجز افتراضي بين ما يمكن اعتباره مكونات أساسية (اللوحة الأم، وحدة المعالجة المركزية، وحدة معالجة الرسومات، ذاكرة الوصول العشوائي، ووحدة التخزين الرئيسية) ومكونات طرفية (أجهزة USB، الطابعات، محركات الأقراص الخارجية، إلخ). الفكرة هي أن أي تفاعل مع المكونات الحيوية يمر عبر مرشحات أكثر صرامة.

لا تحل هذه الحماية محل برنامج Windows Defender ولا يحل هذا البرنامج محل حلول مكافحة البرامج الضارة التقليدية الأخرى، بل يُكملها. يبقى برنامج مكافحة الفيروسات مسؤولاً عن فحص الملفات، واكتشاف أنماط البرامج الضارة، وحظر التهديدات المعروفة، بينما تراقب خاصية عزل النواة أساليب الهجوم التي تستهدف النواة نفسها وهياكل الذاكرة الأكثر حساسية. يُنصح عمومًا بإبقاء برنامج Windows Defender مُفعلاً دائمًا، وإضافة خاصية عزل النواة اختياريًا. برامج الأمان الأساسية حسب الاحتياجات المحددة.

كيفية تفعيل عزل النواة في نظام التشغيل ويندوز 11 خطوة بخطوة؟

في نظام التشغيل ويندوز 11، يُعدّ تفعيل هذه الميزة بسيطًا للغاية ولا يتطلب أي تعديلات على سجل النظام إذا كنت تفضل طريقة أسهل. ببساطة، يتضمن ذلك الوصول إلى إعدادات النظام، ثم الانتقال إلى قسم الأمان، وتحديد موقع لوحة أمان ويندوز لتفعيل عزل النواة وسلامة الذاكرة.

يتضمن المسار المعتاد فتح تكوين Windows (على سبيل المثال باستخدام Win + I)، انتقل إلى الخصوصية والأمن، المشي الى أمان ويندوز ثم انقر على الزر الذي يفتح التطبيق. ومن هناك، في القائمة الجانبية، اختر أمان الجهازيمكنك تحديد موقع وحدة عزل النواة، والوصول إلى تفاصيلها، وتفعيل التحكم في سلامة الذاكرة إذا كانت هذه الميزة معطلة. بعد إغلاق النافذة وإعادة تشغيل النظام، يتم تفعيل هذه الميزة؛ للاطلاع على نصائح عامة حول كيفية استخدامها تحسين الأمان في Windows 11 يمكنك مراجعة الأدلة التكميلية.

يمكنك تكرار هذه العملية نفسها عدة مرات كما تشاء. في بعض الحالات، قد يكون من المفيد تشغيلها عند الحاجة فقط، على سبيل المثال عندما ستقوم بتوصيل محرك أقراص USB من شخص آخر.يُعدّ هذا الأمر بالغ الأهمية، خاصةً عند استخدام محركات أقراص خارجية مجهولة المصدر أو عند مشاركة الكمبيوتر مع عدة مستخدمين. ورغم أنه ليس حمايةً كاملةً، إلا أنه يقلل من احتمالية استغلال البرامج الضارة لثغرات برامج التشغيل للتسلل إلى مستوى نواة النظام.

التنشيط في نظام التشغيل ويندوز 10 وأوجه التشابه مع نظام التشغيل ويندوز 11

يتميز نظام التشغيل ويندوز 10 أيضاً بعزل النواة وسلامة الذاكرة، و طريقة تفعيله متشابهة للغاية يشبه هذا النظام نظام ويندوز 11، مع اختلافات طفيفة في أسماء بعض القوائم. وكما في السابق، تتضمن العملية المرور عبر لوحة الإعدادات، وقسم الأمان، وتطبيق أمان ويندوز.

في هذه الحالة، افتح الإعدادات، ثم انتقل إلى التحديث والأمن، اختار أنت أمان ويندوز ثم فئة أمان الجهازستجد هناك قسم عزل النواة، وضمن التفاصيل، ستجد مفتاح تشغيل/إيقاف خاصية سلامة الذاكرة. يمكنك تغيير هذا الإعداد متى احتجت، وهو أمر مفيد إذا كنت تتناوب بين فترات تصفح الإنترنت المكثف وجلسات الألعاب حيث ترغب في الحصول على أعلى معدل إطارات ممكن من جهازك.

قم بتمكين سلامة الذاكرة و VBS من سطر الأوامر (السجل)

تكوين عزل النواة وسلامة الذاكرة في نظام التشغيل ويندوز

بالنسبة للبيئات المؤسسية أو المستخدمين المتقدمين الذين يرغبون في أتمتة تكوين VBS وسلامة الذاكرة، يوفر سجل ويندوز تحكمًا دقيقًا إلى حد ماباستخدام أداة سطر الأوامر REG، يمكنك إضافة وتعديل المفاتيح اللازمة لتمكين الحماية القائمة على المشرف الافتراضي والمحاكاة الافتراضية عند بدء التشغيل؛ قبل القيام بذلك، يوصى بإنشاء نسخ احتياطية للسجل.

يتضمن التكوين النموذجي تمكين المحاكاة الافتراضية القائمة على الأمان، مما يتطلب ميزات محددة للنظام الأساسي، وتفعيل سلامة التعليمات البرمجية التي يفرضها المشرف، وتعديل قفل UEFI. ويتم ذلك عن طريق تعديل الإدخالات الموجودة تحت المفتاح HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard ومفتاحه الفرعي سيناريوهات\HypervisorEnforcedCodeIntegrity، وتعديل القيم مثل EnableVirtualizationBasedSecurity و RequirePlatformSecurityFeatures و Locked و Enabled أو Mandatory، وكلها بتنسيق REG_DWORD مع قيم رقمية تحدد السلوك.

على سبيل المثال، يمكنك ضبط VBS بدون سلامة الذاكرة بمجرد التمكين تمكين VirtualizationBasedSecurityأو ادمجه مع المفتاح تتطلب ميزات أمان النظام الأساسي يتطلب التمهيد الآمن (القيمة 1) أو التمهيد الآمن بالإضافة إلى حماية DMA (القيمة 3). المعلمة مقفل يُتيح لك هذا الخيار تحديد ما إذا كان سيتم تطبيق قفل UEFI أم لا، والخيار إلزامي يتسبب ذلك في عدم استمرار النظام في عملية الإقلاع إذا لم يتم تحميل برنامج إدارة الأجهزة الافتراضية أو النواة الآمنة أو أحد الوحدات التابعة لها بشكل صحيح.

في الشجرة الفرعية HypervisorEnforcedCodeIntegrity، القيمة يمكن لمستخدمي تطبيق Smart Spaces مع Google Wallet الاستفادة من دخول محمول دون لمس مع أي قارئ HID® Signo™ مُمكَّن بتقنية NFC. يتحكم هذا بشكل مباشر في ما إذا كانت سلامة الذاكرة مفعلة أم لا، بينما المفتاح مقفل في نفس السيناريو، يقرر ما إذا كان سيتم قفله باستخدام UEFI. بالإضافة إلى ذلك، هناك قيمة تسمى تم التمكين بواسطة والذي يستخدم للتحكم في كيفية عرض الواجهة الرسومية للمستخدم: إذا تمت إزالته، تعرض واجهة المستخدم رسالة "يتم إدارة هذا الإعداد بواسطة المسؤول الخاص بك" ويظهر المفتاح معطلاً؛ إذا تم تعيينه على قيمة معينة، فإن الواجهة تعمل بشكل طبيعي مرة أخرى.

كيفية تفعيل ESU في Windows
المادة ذات الصلة:
كيفية تمكين تحديثات الأمان الموسعة لنظام التشغيل Windows 10

الإدارة عبر تطبيق التحكم للشركات وPowerShell

في عمليات النشر المؤسسية حيث تكون سياسات الأمان مركزية، التحكم في التطبيقات للشركات يوفر برنامج Windows Defender Application Control (المعروف سابقًا باسم Windows Defender Application Control) طريقة أخرى لتمكين سلامة الذاكرة بطريقة أكثر تنظيمًا. يتيح لك معالج الإعداد الخاص به إنشاء سياسة للتحكم في التطبيقات أو تعديلها، وتحديد الخيار المناسب لـ سلامة الكود محمية بواسطة برنامج إدارة الأجهزة الافتراضية في صفحة قواعد السياسة.

بالإضافة إلى الواجهة الرسومية، من الممكن استخدام أوامر PowerShell cmdlet Set-HVCIOptionsتم تصميمها خصيصًا لضبط خيارات HVCI، أو تحرير ملف XML الخاص بتوجيه التحكم في التطبيق مباشرةً، وتعديل قيمة العنصر لتفعيل الحمايات المطلوبة. تُعد هذه الأساليب مفيدة بشكل خاص عندما ترغب في تطبيق نفس التكوين على العديد من الأجهزة دون الحاجة إلى تعديلها بشكل فردي، ويمكن استكمالها بـ سياسات الأمان عبر secpol.msc في البيئات المُدارة.

تحقق مما إذا كان كل من VBS وسلامة الذاكرة مفعلين

للتحقق بدقة من سلامة المحاكاة الافتراضية القائمة على الأمان وسلامة الذاكرة إنهم نشطون بالفعل ويعملونيوفر نظام التشغيل Windows العديد من الأدوات الموجهة للمسؤولين والمستخدمين المتقدمين، بما في ذلك فئة WMI محددة و msinfo32 الكلاسيكية.

فئة WMI Win32_DeviceGuardيمكن الوصول إليه من خلال PowerShell بصلاحيات مرتفعة باستخدام الأمر Get-CimInstance ومساحة الاسم root\Microsoft\Windows\DeviceGuard، وهو يُعيد العديد من الحقول المتعلقة بخصائص الأمان لـ VBS وHVCI. وتشمل هذه الحقول ما يلي:

المعرف الفريد معرف المثيل و نص من الفئة، والتي تبلغ قيمتها حاليًا عادةً 1.0، بالإضافة إلى القائمة الخصائص الأمنية المتاحةوهذا يشير إلى ميزات الأمان القائمة على الأجهزة الموجودة على الجهاز، مثل دعم المشرف، والتمهيد الآمن، وحماية DMA، والكتابة الآمنة على الذاكرة، وحماية NX، وتخفيف SMM، وMBEC/GMET، أو محاكاة APIC.

المجال الخصائص الأمنية المطلوبة يحدد هذا الخيار العناصر اللازمة لتفعيل VBS على ذلك الجهاز (على سبيل المثال، اشتراط التمهيد الآمن أو حماية DMA)، بينما تم تكوين خدمات الأمان يوضح ما إذا كانت الخدمات مثل Credential Guard، وسلامة الذاكرة، وSystem Guard Secure Launch، وقياس البرامج الثابتة SMM، أو حماية مكدس وضع النواة قد تم تكوينها، بما في ذلك ما إذا كان الأخير في وضع التدقيق أو وضع التطبيق المفروض.

ذات الصلة بما ورد أعلاه ، خدمات الأمن قيد التشغيل يُشير هذا إلى الخدمات التي تعمل فعليًا في تلك اللحظة، مع التمييز بين الخدمات المُهيأة والخدمات التشغيلية. ومن الحقول المهمة الأخرى: حالة تطبيق سياسة سلامة الكود، مما يكشف ما إذا كانت سياسة سلامة رمز النظام معطلة، أو في وضع التدقيق، أو في الوضع المفروض؛ حالة تطبيق سياسة سلامة الكود في وضع المستخدم، والذي يقدم نفس المعلومات ولكنه يركز على كود وضع المستخدم؛ و حالة الأمان القائمة على المحاكاة الافتراضية، مما يوضح ما إذا كان VBS معطلاً، أو ممكّناً فقط ولكنه غير نشط، أو ممكّناً بالكامل ويعمل.

وأخيرا، عزل الآلة الافتراضية y خصائص عزل الآلة الافتراضية تشير هذه المعلومات إلى مستوى عزل الآلات الافتراضية المتاح والتقنيات المدعومة، مثل AMD SEV-SNP، أو المحاكاة الافتراضية القائمة على الأمان، أو Intel TDX، والتي تكون ذات صلة عندما تريد تطبيق هذه الحمايات في البيئات الافتراضية.

إذا كنت تفضل أسلوبًا مرئيًا أكثر، يمكنك تشغيل msinfo32.exe عند منح صلاحيات إدارية، ستُفتح نافذة معلومات النظام. في أسفل قسم ملخص النظام، يوجد قسم مخصص لميزات VBS وحالاتها، يوضح ما إذا كان الأمان القائم على المحاكاة الافتراضية مُفعّلاً وما هي المكونات النشطة تحديدًا.

حماية المكدس المفروضة بواسطة الأجهزة وعلاقتها بسلامة الذاكرة

ضمن مجموعة الحمايات التي تتمحور حول عزل النواة، نجد حماية المكدس التي تفرضها الأجهزة، وهي وظيفة تعتمد على قدرات محددة لوحدات المعالجة المركزية الحديثة (مثل تقنية Intel Control-Flow Enforcement Technology أو AMD Shadow Stack) تهدف إلى منع التعليمات البرمجية الخبيثة من التلاعب بعناوين الإرجاع على مكدس وضع النواة لإعادة توجيه التنفيذ نحو الحمولات الخبيثة.

في المعالجات المتوافقة، يحتفظ المعالج المركزي بـ النسخة الثانية من عناوين المرسل في مكدس ظل للقراءة فقط، لا يمكن الوصول إليه من قِبل برامج التشغيل العادية. إذا حاول برنامج أو برنامج تشغيل تعديل عنوان الإرجاع في المكدس الرئيسي، يكتشف المعالج المركزي هذا الاختلاف بمقارنته بالمرجع المخزن في مكدس الظل. عند حدوث ذلك، يُطلق النظام خطأً حرجًا (الشاشة الزرقاء المعتادة) ويوقف التنفيذ، مانعًا محاولة اختراق مسار التنفيذ.

لا تتوافق جميع أجهزة التحكم مع هذا النوع من الدفاع، لأن يقوم بعض السائقين المرخصين بتغيير عناوين الإرجاع. لأغراض غير ضارة. ولهذا السبب، تعمل مايكروسوفت مع العديد من الشركات المصنعة لضمان دعم أحدث إصداراتها لحماية الذاكرة المعتمدة على الأجهزة. يمكن تفعيل هذه الميزة أو تعطيلها عبر مفتاح في واجهة أمان ويندوز، ولكن لكي تعمل، يجب تفعيل سلامة الذاكرة، ويتطلب ذلك وجود معالج يدعم التقنيات المذكورة.

إذا قام النظام، عند محاولة تفعيله، بتحذير من وجود برنامج تشغيل أو خدمة غير متوافقةيُنصح بالتحقق من وجود تحديثات على موقع الشركة المصنعة للجهاز أو موقع التطبيق المعني. في بعض الأحيان، يكون المكون المُسبب للمشكلة خدمةً مرتبطةً ببرنامج تشغيل لا يتم تحميلها إلا عند بدء تشغيل البرنامج، لذا قد يكون من الضروري إلغاء تثبيت هذا البرنامج أو تجنب استخدامه تمامًا إذا كنت ترغب في إبقاء حماية المكدس مُفعّلة.

استكشاف الأخطاء وإصلاحها والتراجع في حالة حدوث أعطال

قد يؤثر تمكين VBS أو سلامة الذاكرة أو حماية المكدس على بعض الأنظمة. تتوقف بعض برامج التشغيل عن التحميل أو يصبح النظام غير مستقرفي أفضل الأحوال، يكفي تحديث برامج التشغيل من إدارة الأجهزة أو موقع الشركة المصنعة على الويب؛ أما في الحالات الأكثر خطورة، فقد يحدث خطأ حرج أثناء بدء التشغيل.

إذا لم يبدأ النظام بشكل صحيح أو تصرف بشكل غير منتظم بعد تفعيل هذه الوظائف، فإن أحد الخيارات هو اللجوء إلى بيئة استعادة نظام التشغيل ويندوز (Windows RE)أولًا، يُنصح بتعطيل أي سياسات (مثل سياسة المجموعة) كانت تُستخدم لفرض VBS وHVCI. ثم، قم بتشغيل الكمبيوتر المتأثر في بيئة استعادة Windows، وسجّل الدخول، ومن هناك، يمكنك تغيير مفتاح التسجيل المقابل لتعطيل سلامة الذاكرة عن طريق ضبط قيمة Enabled لـ HypervisorEnforcedCodeIntegrity إلى 0. عند إعادة التشغيل، يجب أن يُعاد تشغيل النظام مرة أخرى بدون هذه الحماية، مما يُعيد الاستقرار عادةً إذا كانت المشكلة تتعلق بالتوافق. إذا كانت المشكلة فشلًا خطيرًا في بدء التشغيل، فراجع الدليل في [القسم ذي الصلة]. خطأ INACCESSIBLE_BOOT_DEVICE.

في البيئات التي يُرغب فيها أيضاً إدارة التحذيرات المرئية عند ظهور هذه التحذيرات في أمان ويندوز (مثل علامة التعجب الصفراء عند تعطيل سلامة الذاكرة)، يصبح الأمر معقدًا. فتعديل سجل النظام وحده لا يكفي دائمًا، وغالبًا ما يكون من الضروري استخدام نهج المجموعة أو Intune أو أدوات إدارة أخرى لإخفاء هذه التحذيرات دون الحاجة إلى الدخول إلى كل جهاز كمبيوتر على حدة لإغلاق الرسالة من الواجهة المحلية، وهو أمر يتطلب أيضًا صلاحيات المسؤول.

سلامة الذاكرة في الأجهزة الافتراضية Hyper-V

لا تقتصر سلامة الذاكرة على حماية الأنظمة المادية فحسب؛ بل يمكن تطبيقها أيضًا على الأجهزة الافتراضية التي تعمل على Hyper-Vحيث يتصرف بشكل مشابه جدًا لكيفية عمله على جهاز كمبيوتر حقيقي. من داخل الجهاز الظاهري، تكون خطوات تفعيل هذه الميزة هي نفسها بشكل أساسي: تفعيل VBS، والتأكد من إمكانية بدء عملية التحقق من سلامة الذاكرة، وتلبية متطلبات الأجهزة الافتراضية.

من المهم أن نفهم أن هذه الحماية يحمي الجهاز الظاهري الضيف من البرامج الضارة يعمل هذا النظام ضمنه، لكنه لا يُضيف أي حماية إضافية للمضيف. من نظام المضيف، يُمكن تعطيل سلامة الذاكرة لجهاز افتراضي مُحدد باستخدام أوامر إدارة Hyper-V (مثل Set-VMSecurity مع خيار استبعاد VBS)، وبالتالي يحتفظ المسؤول بالتحكم في الأجهزة الافتراضية التي تستفيد من هذه الميزات وتلك التي لا تستفيد منها.

لكي تستخدم الأجهزة الافتراضية في Hyper-V سلامة الذاكرة، يجب أن يكون المضيف قيد التشغيل على الأقل ويندوز سيرفر 2016 أو ويندوز 10 الإصدار 1607ويجب أن تكون الأجهزة الافتراضية من الجيل الثاني، مع نظام تشغيل حديث (Windows 10 أو Windows Server 2016 أو أحدث). ومن الممكن أيضًا دمج سلامة الذاكرة مع المحاكاة الافتراضية المتداخلةبشرط أن يتم أولاً تمكين دور Hyper-V داخل الجهاز الظاهري نفسه وأن يتم استيفاء الشروط اللازمة.

هناك بعض القيود التي يجب معرفتها: بعض الأجهزة الافتراضية، مثل محولات قناة الألياف الافتراضيةلا تتوافق هذه الأقراص مع سلامة الذاكرة، لذا يجب استبعاد الجهاز الظاهري من VBS قبل إضافتها باستخدام خيارات أمان Hyper-V. وينطبق الأمر نفسه على أقراص المرور المباشر المُهيأة باستخدام AllowFullSCSICommandSet، والتي تتطلب تعطيل الأمان القائم على المحاكاة الافتراضية لهذا الجهاز الظاهري قبل استخدامها.

البدائل عندما لا يكون عزل النواة قابلاً للتطبيق

في الفرق التي... لا تفي الأجهزة بالمتطلباتإذا تسببت برامج التشغيل في حدوث تعارضات مستمرة أو كان تأثيرها على الأداء مرتفعًا للغاية، فمن المنطقي النظر في حلول بديلة لتشغيل التطبيقات عالية المخاطر دون المساس بالنظام الرئيسي. ومن بين أكثر التقنيات استخدامًا تقنيات مثل: عامل في حوض السفن أو استخدام الآلات الافتراضية الكاملة.

يسمح لك Docker بإنشاء بيئات معزولة من نوع الحاويات حيث يمكن تشغيل التطبيقات بطريقة معزولة. في نظام ويندوز، يمكن استخدامه لإنشاء نوع من "النظام المصغر" المنفصل لاختبار البرامج المشبوهة أو خدمات محددة، مع العلم أنه عند إغلاق الحاوية وحذفها، تختفي جميع محتوياتها دون أي أثر على الجهاز المضيف. أما بالنسبة للاختبارات الأكثر تعقيدًا أو عند الحاجة إلى سطح مكتب كامل، فإن الطريقة التقليدية هي تكوين جهاز افتراضي يعمل بنظام ويندوز وتشغيل البرامج التي يحتمل أن تكون خطيرة هناك؛ إذا حدث خطأ ما أو تم اكتشاف برامج ضارة، فما عليك سوى تدمير الجهاز الظاهري وإنشاء جهاز جديد.

مع أن هذه البدائل لا تحاكي تمامًا نوع الحماية التي توفرها سلامة الذاكرة على مستوى النواة، إلا أنها توفر مستوى العزل العملي مفيد للغاية عندما لا يكون من الممكن أو المستحسن تفعيل عزل النواة على النظام المادي نفسه.

أقفال الأمان الرقمية
المادة ذات الصلة:
برنامج أمان أساسي إذا كنت تريد حماية نظام التشغيل Windows الخاص بك

تكوين عزل النواة، وسلامة الذاكرة، والحماية ذات الصلة في نظام التشغيل ويندوز يوفر ذلك قفزة نوعية في الأمان على حساب استهلاك موارد إضافية وبعض المشاكل المتعلقة ببرامج التشغيل غير المتوافقة؛ إن معرفة كيفية عملها بالتفصيل، وكيفية تمكينها أو تعطيلها، وكيفية التحقق منها باستخدام Win32_DeviceGuard و msinfo32، وما هي البدائل المتاحة عندما لا تكون قابلة للتطبيق، يسمح لك بضبط التوازن المثالي بين الأداء والحماية وفقًا للاستخدام الفعلي الذي تقدمه لجهاز الكمبيوتر الخاص بك أو البنية التحتية الخاصة بك. شارك الدليل وسيتعلم المزيد من الأشخاص كل شيء عن عزل النواة وسلامة الذاكرة في نظام التشغيل ويندوز.