تهيئة سلامة الذاكرة في نظام التشغيل ويندوز: دليل تقني شامل

  • سلامة الذاكرة هي أحد مكونات VBS التي تعزز سلامة كود النواة عن طريق عزله في بيئة محمية بواسطة برنامج إدارة الأجهزة الافتراضية.
  • يعتمد تفعيلها على متطلبات الأجهزة والبرامج الثابتة وبرامج التشغيل، ويمكن إدارتها عبر واجهة رسومية أو سجل النظام أو التحكم في التطبيقات أو أدوات إدارة الأجهزة المحمولة.
  • يوفر نظام التشغيل Windows آليات متعددة للتحقق والتشخيص (Win32_DeviceGuard، msinfo32، SkTool، أحداث سلامة التعليمات البرمجية) للتحقق من الحالة الفعلية لـ VBS و HVCI.
  • يمكن استخدام هذه الميزة على كل من الأجهزة المادية والأجهزة الافتراضية Hyper-V، مع مراعاة اعتبارات التوافق والأداء المحددة.
Joaquin Romero

18 دقيقة

سلامة الذاكرة في نظام التشغيل ويندوز

إذا وصلت إلى هذه المرحلة لأنك لا تستطيع التوافق مع سلامة ذاكرة ويندوزتابعونا، لأننا سنتعمق في هذه الميزة. ستتعرفون على ماهيتها، وكيفية ارتباطها بعزل النواة وVBS، وكيفية تفعيلها على جهاز الكمبيوتر المنزلي، وفي بيئات العمل (Intune، والسياسات، والسجل، وPowerShell...)، وما هي متطلبات الأجهزة اللازمة لتشغيلها، وماذا تفعلون عندما يرفض نظام Windows تفعيلها تمامًا.

الهدف هو أن تنهي هذا الدليل وأنت تعرف كيفية ضبط سلامة الذاكرة في نظام التشغيل ويندوز ستتعلم بسهولة الرسائل والمعايير التي يجب فحصها للتأكد من سلامة عمل كل شيء، وكيفية تشخيص الأخطاء الشائعة التي تحدث على أجهزة الكمبيوتر الفعلية والأجهزة الافتراضية Hyper-V. سنشرح ذلك خطوة بخطوة، مع توفير تفاصيل تقنية كافية ليستفيد منها كل من المستخدمين المتقدمين ومديري الأنظمة.

ما هي سلامة الذاكرة وكيف تتناسب مع نظام VBS؟

الدعوة سلامة الذاكرة (سلامة الذاكرة أو سلامة التعليمات البرمجية المفروضة بواسطة المشرف) هي عنصر أساسي في أمان نظام التشغيل ويندوز القائم على المحاكاة الافتراضية، والمعروف باسم VBS (الأمان القائم على المحاكاة الافتراضية)الفكرة بسيطة ولكنها قوية للغاية: يقوم نظام التشغيل Windows بإنشاء بيئة افتراضية معزولة باستخدام برنامج إدارة الأجهزة الافتراضية، على افتراض أن النواة العادية يمكن اختراقها، ويقوم بتشغيل فحوصات سلامة التعليمات البرمجية الهامة في تلك البيئة المحمية.

وبفضل ذلك، يمكن للنظام التحقق من صحة التعليمات البرمجية التي تعمل في وضع النواة من منظور أكثر أمانًا، افصل الأسرار والعمليات الحساسة عن بقية نظام التشغيل وقم بتحصين نموذج التهديد ضد البرامج الضارة المتقدمة، مثل برامج التجسس أو الثغرات التي تهاجم نواة نظام التشغيل ويندوز بشكل مباشر.

عندما تكون سلامة الذاكرة فعّالة، فإن النظام يقيد بشدة تخصيصات ذاكرة النواةلا تُعتبر صفحات التعليمات البرمجية قابلة للتنفيذ إلا بعد اجتيازها فحوصات السلامة في تلك البيئة الآمنة، كما لا يمكن إعادة كتابة الصفحات القابلة للتنفيذ. بعبارة أخرى، يجعل ذلك من الصعب للغاية... حقن الكود أو تعديل هياكل النواة الحرجة.

قائمة التحقق الأساسية للأجهزة قبل الترقية إلى Windows 11
المادة ذات الصلة:
قائمة التحقق الأساسية للأجهزة قبل الترقية إلى Windows 11

وظائف محددة لسلامة الذاكرة

على الرغم من أنها تبدو كمفتاح بسيط من الواجهة الرسومية، إلا أن سلامة الذاكرة تنفذ العديد من الآليات الأساسية. حماية محددة للغاية على النواةومن بين أهمها اثنان:

  • حماية خريطة البتات لـ CFG في وضع النواةيمنع هذا التعليمات البرمجية الخبيثة من التلاعب بالهياكل التي يستخدمها CFG للتحقق من صحة تدفق تنفيذ وحدات التحكم، مما يغلق العديد من الأبواب أمام الثغرات التي تعيد توجيه استدعاءات الوظائف غير المرغوب فيها.
  • حماية عملية سلامة الكود في وضع النواةتُجرى عمليات التحقق التي تُؤكد موثوقية برنامج تشغيل النواة وتوقيعه بشكل صحيح داخل بيئة VBS، بحيث لا يمكن التلاعب بها من داخل النواة نفسها عادي.

باختصار، هذه الميزة تجعل سلامة كود النواة الكلاسيكي أكثر قوة، لأن يقوم بنقلها إلى سياق معزول بواسطة برنامج إدارة الأجهزة الافتراضية. ذلك البرنامج الخبيث أكثر صعوبة في الهجوم عليه.

أين يتم ضبط إعدادات سلامة الذاكرة في واجهة ويندوز؟

أما بالنسبة لأجهزة الكمبيوتر الخاصة بالمستخدمين، فإن أسهل طريقة للوصول إلى سلامة الذاكرة هي من خلال التطبيق. أمان ويندوزيندرج ذلك تحت قسم العزل الأساسي أو عزل النواة، والتي تجمع كل شيء يتعلق بحماية النواة التي يدعمها VBS.

لتفعيلها من الواجهة نفسها، يكون التسلسل المعتاد كما يلي، وهو من الجيد أن نعرف حتى لو فضلت لاحقًا تطبيق التكوين عن طريق السياسة أو عن طريق سجل النظام:

  • يفتح أمان ويندوز (رمز الدرع في شريط النظام أو عن طريق البحث عنه من قائمة ابدأ).
  • أدخل في أمان الجهازحيث سترى الكتلة العزل الأساسي.
  • انقر فوق تفاصيل العزل الأساسيحيث يظهر الخيار سلامة الذاكرة بجوار مفتاح التشغيل.
  • قم بتشغيل المفتاح. قد ترى رسائل مثل "تم تعطيل سلامة الذاكرة. قد يكون الجهاز عرضة للاختراق."قبل تفعيل الخيار."
  • أعد تشغيل جهاز الكمبيوتر الخاص بك عندما يطلب منك نظام التشغيل Windows تطبيق التغييرات.

في هذه الشاشة نفسها، من الشائع العثور على ما يلي مُفعّلاً بشكل افتراضي: قائمة مايكروسوفت لبرامج التشغيل المعرضة للخطر والمحظورةيمنع هذا بعض برامج التشغيل التي تحتوي على أعطال معروفة من التحميل عند تفعيل خاصية سلامة الذاكرة. إنها ميزة مهمة لأن يعزز سلسلة الثقة لدى السائقين.

العلاقة بين العزلة الأساسية وسلامة الذاكرة

سلامة الذاكرة في نظام التشغيل ويندوز

ضمن تطبيق الأمان، عزل القلب يشمل هذا الخيار عدة وظائف. وأهمها وأكثرها وضوحًا بالنسبة لمعظم المستخدمين هي سلامة الذاكرة. عند تفعيل هذا الخيار، فإنك في الواقع تقوم بما يلي: تفعيل HCCI عبر بيئة VBS من جهازك.

يؤدي عزل النواة إلى بيئة افتراضية لأجزاء حساسة معينة من النظامتعتمد سلامة الذاكرة على هذا العزل لفحص ومراقبة كود النواة. وبهذه الطريقة، حتى في حال استغلال تطبيق ذي صلاحيات مرتفعة، يصبح من الصعب للغاية على المهاجم تعديل النواة أو بنيتها الداخلية.

لكن الأمر لا يقتصر على المزايا فقط: فقد ينطوي هذا العزل والفحوصات الإضافية على تأثير معين على الأداءخاصة في الألعاب أو التطبيقات التي تتأثر بشدة بزمن الاستجابة. ويشكو بعض المستخدمين من انخفاض معدل الإطارات في الثانية أو حتى انخفاضه بشكل ملحوظ. لقطات زرقاء بعد تفعيل الوظيفة. في هذه الحالات، إذا تأكد أن مصدر المشكلة هو HVCI، فمن الممكن تعطيل عزل النواة مؤقتًا أثناء تحديث برامج التشغيل والبرامج الثابتة أو تصحيح حالات عدم التوافق.

متى يتم تفعيل ميزة سلامة الذاكرة بشكل افتراضي في نظام التشغيل ويندوز؟

في الإصدارات الحديثة من نظام التشغيل ويندوز، تميل مايكروسوفت إلى تفعيل خاصية سلامة الذاكرة افتراضيًا على العديد من أجهزة الكمبيوتر الجديدة. تحديدًا، يقوم نظام التشغيل Windows 11 بتمكين ميزة سلامة الذاكرة بشكل افتراضي في عمليات تثبيت نظيفة على أجهزة متوافقة، دون أن يضطر المستخدم إلى لمس أي شيء. وينطبق الشيء نفسه على المعدات التي يتم النظر فيها النواة المحمية نسخ قديمة ونظيفة من نظام التشغيل Windows 10 في وضع S.

إذا لم يستوفِ الجهاز الحد الأدنى من المتطلبات، فلن يتم تفعيل الوظيفة تلقائيًا، ولكن يمكن للمستخدم أو المسؤول تشغيله يدويًا من واجهة أمان ويندوز، أو من خلال سياسة، أو عن طريق تعديل سجل النظام. على أي حال، تُصرّ مايكروسوفت على أن يقوم متخصصو تكنولوجيا المعلومات والمستخدمون النهائيون بالصيانة التحكم النهائي في ما إذا كانت هذه الحماية فعالة أم لا.

متطلبات الأجهزة لتمكين سلامة الذاكرة تلقائيًا

لكي يقوم النظام بتمكين سلامة الذاكرة تلقائيًا دون تدخل المستخدم، يجب استيفاء مجموعة محددة من متطلبات الأجهزة والبرامج الثابتة. وهذا أمر مهم لأن وهذا يفسر سبب عدم تلقي بعض الأجهزة للتفعيل التلقائي. على الرغم من قدرتهم على استخدام هذه الوظيفة بشكل اختياري.

على مستوى المعالجالإرشادات العامة هي:

  • معالجات Intel من الجيل الثامن أو أحدث لنظام التشغيل Windows 11 الإصدار 22H2 (ومعالجات الجيل الحادي عشر من Core على نظام التشغيل Windows 11 21H2).
  • معالج AMD بمعمارية Zen 2 أو أعلىأي الأجيال الحديثة نسبياً.
  • معالج كوالكوم سنابدراجون 8180 أو أحدث على أجهزة ARM.

بالإضافة إلى ذلك، يجب أن تحتوي المعدات على 8 جيجا بايت على الأقل من ذاكرة الوصول العشوائي على منصات x64، وحدة نظام من النوع 64 جيجابايت أو أكبر SSD وأن الخيارات التالية مُفعّلة في BIOS/UEFI: خيارات المحاكاة الافتراضية للأجهزة.

ومن المتطلبات الأساسية الأخرى ما يلي: وحدات تحكم متوافقة مع سلامة الذاكرةإذا كان أي برنامج تشغيل أساسي لا يدعم تقنية HVCI أو معروف بتعارضه معها، فقد يختار النظام عدم تفعيل VBS وميزة سلامة الذاكرة تلقائيًا لتجنب مشاكل بدء التشغيل الخطيرة. لهذا السبب، من المهم جدًا دائمًا التحقق من توافق برامج التشغيل مع الأجهزة القديمة.

التحكم في سلامة الذاكرة عبر التسجيل (في البيئات الاحترافية وبيئات الشركات المصنعة للمعدات الأصلية)

في بيئات الشركات، من الشائع جدًا التحكم في سلامة الذاكرة من خلال مفاتيح التسجيلإما مباشرةً في صورة النظام أو من خلال أدوات الإدارة مثل Intune أو البرامج النصية أو سياسات المجموعة. الفرع الرئيسي هو HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard وعلى وجه الخصوص، الشجرة الفرعية سيناريوهات\HypervisorEnforcedCodeIntegrity.

لتمكين الأمان القائم على المحاكاة الافتراضية وسلامة الذاكرة مع التكوين الموصى به (بدون قفل UEFI، بحيث يمكن عكس العملية)، يتم استخدام إدخالات مثل ما يلي:

  • تمكين VirtualizationBasedSecurity في DeviceGuard، بقيمة 1 لتفعيل VBS.
  • تتطلب ميزات أمان النظام الأساسي بقيم مثل 1 (التمهيد الآمن فقط) أو 3 (التمهيد الآمن + حماية DMA).
  • مقفل في DeviceGuard وفي HypervisorEnforcedCodeIntegrity لتحديد ما إذا كان سيتم قفل التكوين عبر البرامج الثابتة UEFI أم لا (0 لا قفل، 1 قفل).
  • يمكن لمستخدمي تطبيق Smart Spaces مع Google Wallet الاستفادة من دخول محمول دون لمس مع أي قارئ HID® Signo™ مُمكَّن بتقنية NFC. في Scenarios\HypervisorEnforcedCodeIntegrity لتشغيل أو إيقاف سلامة الذاكرة بشكل محدد.
  • إلزامي في DeviceGuard، اضبط القيمة على 1 إذا كنت تريد أن يقوم النظام لا تُكمل عملية الإقلاع إذا فشل برنامج VBS أو مكوناته الأساسية.

بالنسبة لمصنعي المعدات أو المسؤولين الذين يقومون بإعداد الصور، هناك إعداد واحد ذو أهمية خاصة: ضبط القيم في مسار HVCI مُمكّن=1, WasEnabledBy=1 y EnabledBootId=وهذا يضمن سلامة الذاكرة. تم تمكين بدء التشغيل وفي الوقت نفسه، يمكن للنظام نفسه تعطيله تلقائيًا إذا اكتشف وجود عوائق في عملية بدء التشغيل عند إعادة التشغيل الأولى بسبب عدم توافق برامج التشغيل.

BootId هو عداد يتم زيادته في كل عملية تشغيل ناجحة، ويقع في المفتاح HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters\BootIdلا ينطبق منطق التعطيل التلقائي لتقنية HVCI إلا في حالة معرف التمهيد أقل من معرف التمهيد المُمكّن + 3يوفر هذا نوعاً من شبكة الأمان لمنع جعل المعدات غير قابلة للاستخدام بسبب تعارض السائقين.

تغيير سلوك واجهة المستخدم الرسومية لسلامة الذاكرة

مفتاح آخر مثير للاهتمام للمسؤولين هو تم التمكين بواسطة ضمن شجرة HVCI الفرعية. ويُستخدم للتحكم في كيفية عرض الخيار في تطبيق أمان Windows ومن هو "المسؤول" عن تفعيله.

إذا تمت إزالة القيمة تم التمكين بواسطةتعرض الواجهة الرسالة "يتم إدارة هذا الإعداد بواسطة مسؤول النظام لديك" ويعطل تحكم المستخدم النهائي، وهو أمر مفيد عندما تريد سياسة مؤسسية صارمة للغاية وغير قابلة للتعديلإذا تم تعيينها على قيمة معينة (على سبيل المثال، 2)، فإن الواجهة تعود إلى سلوكها الطبيعي ويمكن للمستخدم إعادة إرسال التغييرات من التطبيق.

تفعيل سلامة الذاكرة باستخدام تطبيق التحكم للمؤسسات

في المؤسسات التي تستخدم بالفعل التحكم في التطبيقات (التحكم في التطبيقات للأعمال)يمكن تفعيل سلامة الذاكرة من خلال دمجها في سياسة التحكم بالتطبيق نفسها. ويمكن القيام بذلك بعدة طرق، جميعها مصممة للاستفادة من الإدارة المركزية الحالية.

من بين الخيارات الأكثر شيوعاً ما يلي:

  • استخدم مساعد مراقبة التطبيقات لإنشاء أو تعديل سياسة، حدد المربع سلامة الكود محمية بواسطة برنامج إدارة الأجهزة الافتراضية في قسم قواعد السياسة.
  • قم بتشغيل الأمر cmdlet الخاص بـ PowerShell Set-HVCIOptions، مما يسمح لك بضبط خيارات HVCI بطريقة أكثر دقة من خلال البرامج النصية أو أدوات التشغيل الآلي.
  • قم بتعديل مباشرة سياسة التحكم في التطبيقات XML تعديل قيمة العنصر <HVCIOptions>مفيد للغاية عند إدارة مزرعة فريق باستخدام قالب سياسة واحد.

يتيح ذلك اتخاذ قرار بتمكين أو تعطيل سلامة الذاكرة السفر مع توجيه التحكم في التطبيق نفسه، والحفاظ على نموذج أمان الكود بالكامل في مكان واحد وتجنب التكوينات المتناثرة.

تحقق من حالة VBS وسلامة الذاكرة

بمجرد تفعيل الوظيفة، من الضروري أن تكون قادراً على التحقق بشكل موثوق مما إذا برنامج VBS وبرنامج HCCI يعملان بكامل طاقتهما.يوفر نظام التشغيل ويندوز العديد من الآليات للتحقق من ذلك، سواء من سطر الأوامر أو باستخدام الأدوات الرسومية.

كيفية تجنب عمليات الاحتيال عند شراء محركات الأقراص الصلبة الرخيصة
المادة ذات الصلة:
كيفية تجنب عمليات الاحتيال عند شراء الذاكرة والأقراص الصلبة الرخيصة

Win32_DeviceGuard وفئة PowerShell WMI

في أنظمة التشغيل Windows 10 وWindows 11 وWindows Server 2016 أو الإصدارات الأحدث، توجد فئة WMI Win32_DeviceGuardوالذي يكشف عن عدد من الخصائص المتعلقة بـ VBS وسلامة الذاكرة. من وحدة تحكم PowerShell بصلاحيات المسؤول، يمكنك الاستعلام عنه باستخدام الأمر التالي:

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

تُظهر النتائج، من بين أمور أخرى، مجالات مثل:

  • معرف المثيل y التجريبيةوالتي تحدد مثيل الفئة والإصدار (حالياً 1.0).
  • الخصائص الأمنية المتاحة، مجموعة من القيم التي تشير إلى ميزات الأمان التي يدعمها الجهاز (توافق المشرف، التمهيد الآمن، حماية DMA، الكتابة الآمنة على الذاكرة، حماية NX، تخفيف SMM، MBEC/GMET، محاكاة APIC الافتراضية ...).
  • الخصائص الأمنية المطلوبة، مما يشير إلى خصائص الأمان الضرورية لتفعيل VBS (على سبيل المثال، الحاجة إلى hyper-V، والتمهيد الآمن، وIOMMU، وما إلى ذلك).
  • حالة تطبيق سياسة سلامة الكود y حالة تطبيق سياسة سلامة الكود في وضع المستخدموالتي تشير إلى ما إذا كانت سياسات سلامة التعليمات البرمجية معطلة، أو في وضع التدقيق، أو في الوضع المفروض.
  • تم تكوين خدمات الأمان y خدمات الأمن قيد التشغيلحيث يمكنك أن ترى ما إذا حماية بيانات الاعتماد، أو سلامة الذاكرة، أو خدمات VBS الأخرى هل تم تكوينها وهل هي تعمل بالفعل؟
  • حالة الأمان القائمة على المحاكاة الافتراضية، والذي يستخدم لمعرفة ما إذا كان VBS غير مفعل، أو مفعل ولكن لم يتم تشغيله، أو مفعل مباشرة ويعمل.
  • عزل الآلة الافتراضية y خصائص عزل الآلة الافتراضية، والتي تقدم تقارير عن عزل MV، بقيم مثل AMD SEV-SNP أو Intel TDX أو الأمان القائم على المحاكاة الافتراضية نفسه.

يُمكّنك تفسير هذه الخصائص من تشخيص سبب عدم بدء برنامج VBS (إذا كانت ميزة الأجهزة مفقودة، أو إذا كانت هناك مشكلة في التكوين، أو إذا تم تمكينها فقط ولكنها لا تعمل، وما إلى ذلك) وإذا كانت سلامة الذاكرة في وضع التدقيق أو وضع الإنفاذ الصارم.

باستخدام msinfo32.exe وفحوصات أخرى

هناك طريقة أخرى سريعة وواضحة للتحقق من حالة VBS وهي تشغيل msinfo32.exeفتحه بصلاحيات إدارية، في القسم نبذة عن النظام في الأسفل، يظهر مربع مع ميزات الأمان القائمة على المحاكاة الافتراضية والخدمات التي تعمل.

يمكنك أيضًا التحقق من مفتاح التسجيل المتغير الذي يعكس حالة HVCI، على وجه التحديد HKLM\System\CurrentControlSet\Control\CI\State، حيث القيمة HVCIEnabled يشير إلى ما إذا كانت سلامة الذاكرة نشطة بالفعل بعد بدء التشغيل.

من وجهة نظر المستخدم، فإن الفحص الأكثر إلحاحًا لا يزال هو الفتح أمان ويندوز > أمان الجهاز وانظر إلى العنوان تنفيذ خدمات الأمان القائمة على المحاكاة الافتراضية وفي مفتاح سلامة الذاكرة ضمن تفاصيل عزل النواة.

استكشاف الأخطاء وإصلاحها في مشاكل سلامة الذاكرة الشائعة

لا يحظى الجميع بتجربة "التوصيل والتشغيل" السلسة. من الشائع جداً رؤية تلك الرسالة سيئة السمعة... "لا يمكن تفعيل سلامة الذاكرة" أو، في البيئات المُدارة بواسطة Intune، قد يُظهر التكوين حالة خطأ دون مزيد من التوضيح. في هذه الحالات، من المفيد امتلاك مجموعة صغيرة من الفحوصات والتقنيات التشخيصية.

أخطاء التنشيط اليدوي على أجهزة الكمبيوتر المنزلية

عندما تقوم بتمكين سلامة الذاكرة من أمان ويندوز ويرفض النظام ذلك، فعادةً ما يكون هناك شيء ما وراء ذلك. أحد هذه العوامل:

  • برامج تشغيل قديمة أو غير متوافقةوخاصة أجهزة USB، وبطاقات الرسومات القديمة، أو الأجهزة الطرفية غير العادية.
  • برنامج مكافحة الفيروسات أو الأمان من جهات خارجية تتعارض مع تشغيل نظام HVCI وعمليات التحقق منه.
  • مشاكل توافق الأجهزة (وحدة المعالجة المركزية تفتقر إلى الميزات الضرورية، ونظام الإدخال والإخراج الأساسي بدون محاكاة افتراضية، ونقص في SLAT أو IOMMU أو التمهيد الآمن في سيناريوهات معينة).
  • في انتظار تحديثات ويندوزمما يمنع إكمال عملية نشر VBS و Memory Integrity حتى يتم تثبيت بعض التصحيحات.

توصي بعض الأدلة بحلول جذرية مثل أعد تثبيت النوافذ من البداية أو إجراء إعادة ضبط المصنع، ولكن قبل الوصول إلى هذه المرحلة، يجدر تجربة خيارات أقل تدخلاً: إزالة برامج التشغيل التي تسبب المشاكل، وتحديث جميع برامج التشغيل (خاصةً برامج تشغيل USB ومجموعة الشرائح)، وإجراء... قم بإجراء فحص باستخدام مدقق ملفات النظام (sfc /scannow) وفحص كامل للبرامج الضارة باستخدام برنامج أمان ويندوز.

في الحالات التي يبدو فيها أن الوظيفة محظورة "من قِبل المسؤول"، يتمثل الحل الآخر في مراجعة وتعديل السجلضمان أن تكون القيمة يمكن لمستخدمي تطبيق Smart Spaces مع Google Wallet الاستفادة من دخول محمول دون لمس مع أي قارئ HID® Signo™ مُمكَّن بتقنية NFC. تم ضبط مسار HVCI على 1، ولا توجد سياسات مجموعة نشطة تفرض خلاف ذلك. ومع ذلك، يجب إجراء أي تغييرات على سجل النظام بصلاحيات المسؤول وبعد إجراء نسخ احتياطي، لأن قد يؤدي الخطأ إلى عدم استقرار النظام..

فشل التنشيط عبر Intune أو أدوات إدارة الأجهزة المحمولة الأخرى

في عمليات النشر المُدارة بواسطة Intune، من الشائع نسبيًا رؤية سياسة عزل النواة أو سياسة سلامة الذاكرة تظهر على النحو التالي: خطأ في نسبة عالية من الأجهزة، بينما يعمل التنشيط اليدوي من الواجهة المحلية.

عندما يحدث هذا و لا توجد إدخالات واضحة في ملف IME.log أو في عارض الأحداثيُنصح بالتحقق مما يلي:

  • أن الجهاز يؤدي وظيفته على أكمل وجه. متطلبات الأجهزة والبرامج الثابتة، بما في ذلك تمكين المحاكاة الافتراضية في BIOS، والتمهيد الآمن عند الحاجة إليه وفقًا للسياسة، وبرامج التشغيل المحدثة.
  • أنه لا يوجد أي توجيه أو تكوين سابق آخر وقد تعارض ذلك مع سياسة Intune بالنسبة لـ HCCI، خاصة إذا تم اختبار الإعدادات مع وبدون قفل UEFI.
  • للتأكد من أن وكيل Intune يتلقى التوجيه بالفعل، يرجى التحقق مرة أخرى IME.log البحث عن إشارات إلى DeviceGuard أو HVCI حتى في حالة عدم ظهور أي خطأ صريح.
  • إذا حدث الخطأ فقط في بعض الطرازات، فتحقق باستخدام أدوات تشخيص توافق VBS (على سبيل المثال، SkTool أو سجلات setupact.log) إذا تم اكتشافهم مشاكل التوافق مع VBS أسمنت.

في بعض الأحيان، يقرر منطق حماية بدء التشغيل الخاص بنظام ويندوز ذلك. لا تقم بتفعيل HCCI تلقائيًا عبر السياسة إذا اكتشفت عمليات بدء التشغيل السابقة أعطالًا أو عمليات إعادة تشغيل قسرية تشير إلى وجود برنامج تشغيل غير متوافق، على الرغم من أن المستخدم يمكنه تمكينه يدويًا دون مشكلة واضحة، فراجع المفاتيح ذات الصلة. معرف التمهيد المُمكّن والرسائل التي تحتوي على SYSPRP HVCI يساعد فحص ملف setupact.log في معرفة ما إذا كان قد حدث شيء من هذا القبيل.

استخدام SkTool والسجلات لتصحيح أخطاء VBS وسلامة الذاكرة

تتضمن حزمة تطوير البرامج لنظام التشغيل Windows أداة مساعدة غير معروفة ولكنها مفيدة للغاية للدعم والإدارة المتقدمة، وتسمى SkToolيوجد هذا الملف في مجلد bin الخاص بمجموعة تطوير البرامج (SDK)، في مسار مشابه لـ C:\Program Files (x86)\Windows Kits\10\bin\10.0.26100.0\<arquitectura>حيث ستكون البنية x64، arm64، إلخ.

ادارة sktool.exe بدون معلمات، يتم عرض الحالة الحالية للمشرف الافتراضي وVBS، حتى أنها تشير إلى السبب وراء بدء أو عدم بدء برنامج المدارس الصيفيةمفاتيح مثل /حالة, /lkey o /التخفيفات تتيح لك هذه الأدوات التعمق أكثر في تفاصيل توفير المفاتيح، والتخفيف الآمن من مخاطر النواة، وجوانب أخرى من الأمن القائم على المحاكاة الافتراضية.

من ناحية أخرى، لمعرفة ما إذا كانت سلامة الذاكرة تعيق عمل وحدات التحكم أثناء التشغيل، يمكنك الرجوع إلى سجل الأحداث في سجلات التطبيقات والخدمات\Microsoft\Windows\CodeIntegrity\Operationalالأحداث مع EventID 3087 عادة ما تكون هذه المشاكل مرتبطة بمشاكل توافق HVCI مع برامج تشغيل معينة، وهي دليل رئيسي لفهم أي مكون يحتاج إلى التحديث أو الاستبدال.

إذا كنت ترغب في مراجعة كيفية اتخاذ قرار تمكين أو تعطيل تقنية HVCI افتراضيًا أثناء إعداد النظام، في setupact.log يمكنك البحث عن عبارات مثل HCCI: تمكين HCCI o لا يفي نظام التشغيل بمتطلبات التمكين التلقائي لتقنية HVCIالرسائل التي تتضمن VBS_COMPAT_ISSUES 0xXXXXXXXXX يقومون بإدراج، باستخدام قيمة سداسية عشرية، مشاكل التوافق المختلفة التي تم اكتشافها (على سبيل المثال، بنية غير مدعومة، نقص SLAT، غياب جدول ACPI WSMT، فقدان SSD، ذاكرة وصول عشوائي غير كافية، إلخ).

استعادة النظام عندما تتسبب سلامة الذاكرة في عدم الاستقرار

إذا قام النظام بعد تفعيل سلامة الذاكرة يفشل في البدء بشكل صحيح، أو يتجمد عند بدء التشغيل، أو يصبح غير مستقر.الإجراء الموصى به هو استخدام بيئة استعادة نظام التشغيل Windows (Windows RE) للتراجع عن التغيير.

El الإجراء العام هو:

  • قم بتعطيل أي شيء مؤقتًا سياسة المجموعة أو سياسة إدارة الأجهزة المحمولة هذا يُجبر على استخدام VBS أو HVCI.
  • ابدأ تشغيل المعدات المتأثرة في ويندوز REباستخدام خيارات الاسترداد المتقدمة.
  • افتح وحدة تحكم بصلاحيات مناسبة و قم بتعديل مفتاح تمكين HVCI في سجل النظام، قم بتعيينه إلى 0 في فرع DeviceGuard لتعطيل سلامة الذاكرة.
  • أعد تشغيل الجهاز وتحقق مما إذا كان النظام سيبدأ بشكل طبيعي مرة أخرى.

تتيح لك هذه الطريقة استعادة أجهزة الكمبيوتر التي علقت في حلقة خطأ بدء التشغيل دون الحاجة إلى إعادة تثبيت نظام التشغيل بالكامل أو فقدان البيانات، وهي مفيدة بشكل خاص في بيئات الإنتاج حيث يُعدّ وقت التوقف عن العمل أمراً بالغ الأهمية.

سلامة الذاكرة في الأجهزة الافتراضية Hyper-V

لا تقتصر سلامة الذاكرة على المعدات المادية فقط، بل يمكن أن تكون أيضًا تفعيل ذلك في الأجهزة الافتراضية Hyper-Vحماية نظام الضيف تمامًا كما لو كان مضيفًا فعليًا. من داخل الجهاز الظاهري، تكون خطوات التكوين متطابقة تقريبًا: تفعيل VBS وHVCI، إما من خلال السياسات أو سجل النظام أو من واجهة أمان ويندوز.

ومع ذلك، من المهم أن نكون واضحين بشأن محيط الحماية: سلامة الذاكرة. فهو يحمي من البرامج الضارة التي تعمل داخل الجهاز الظاهري.ومع ذلك، فإنه لا يضيف أي حماية إضافية ضد مسؤول النظام المضيف أو ضد الهجمات على برنامج إدارة الأجهزة الافتراضية نفسه.

من مضيف Hyper-V يمكنك تعطيل تضمين جهاز افتراضي في نظام الأمان القائم على المحاكاة الافتراضية باستخدام الأمر cmdlet:

Set-VMSecurity -VMName <NombreMV> -VirtualizationBasedSecurityOptOut $true

لكي يعمل كل هذا بشكل صحيح، هناك عدة متطلبات يجب مراعاتها.:

  • يجب تشغيل مضيف Hyper-V نظام التشغيل Windows Server 2016 أو Windows 10 الإصدار 1607 أو أحدث.
  • يجب أن يكون الجهاز الظاهري الجيل 2 وتشغيل نظام التشغيل Windows Server 2016 أو Windows 10 أو إصدار أحدث.
  • يتم دعم سلامة الذاكرة بواسطة المحاكاة الافتراضية المتداخلةومع ذلك، من الضروري أولاً تثبيت دور Hyper-V داخل الجهاز الظاهري في بيئة مُجهزة للمحاكاة الافتراضية المتداخلة.
  • الكثير محولات قناة الألياف الافتراضية إنها غير متوافقة مع سلامة الذاكرة؛ قبل توصيلها بجهاز افتراضي، يجب استبعاد هذا الجهاز الافتراضي من VBS باستخدام Set-VMSecurity.
  • الخيار السماح بمجموعة أوامر SCSI الكاملة كما أن الأقراص التي يتم تمريرها عبر الشبكة غير مدعومة مع تمكين HVCI؛ مرة أخرى، تحتاج إلى إلغاء الاشتراك في الجهاز الظاهري VBS قبل استخدام هذا التكوين.

مع استيفاء هذه الشروط بشكل صحيح، يصبح من الممكن نشر سيناريوهات المختبر والإنتاج مع VBS وسلامة الذاكرة داخل الأجهزة الافتراضية، مما يسهل اختبار السياسات والتكوينات دون تعريض المضيف للخطر بشكل مباشر.

أصبحت سلامة ذاكرة نظام التشغيل ويندوز مشكلة محور نموذج الأمن الحديث من نظام التشغيل: يستفيد من المحاكاة الافتراضية لعزل قرارات سلامة التعليمات البرمجية الحرجة، ويعزز نواة النظام ضد الثغرات الأمنية المتقدمة، ويدمج إدارته مع التحكم في التطبيقات وسياسات الأجهزة وأدوات مثل Intune، ويسمح التشخيصات التفصيلية من خلال WMI و msinfo32 و SkTool وسجلات محددة.

تخزين الذاكرة الدائمة (PMEM)
المادة ذات الصلة:
تخزين الذاكرة الدائمة (PMEM): ما هو وما هي استخداماته

بمعرفة متطلبات الأجهزة ومفاتيح التسجيل وآليات تجاوز الأعطال، من الممكن نشره بطريقة مُحكمة على كل من أجهزة الكمبيوتر الشخصية وبيئات الشركات الكبيرة، والاستفادة الكاملة من إمكاناته دون إغفال أي شيء آخر. التوازن بين الأمان والتوافق والأداء. شارك هذه المعلومات حتى يعرف المزيد من الناس عن الموضوع.