Memory Integrity ใน Windows คืออะไร

12 มกราคม 2025 modify ความรู้รอบตัว 0

Windows 11 logo

รู้หรือไม่เมนู Memory Integrity ใน Windows 10 หรือ Windows 11 คืออะไร


Memory Integrity หรือที่เรียกอีกชื่อหนึ่งว่า Hypervisor-Protected Code Integrity (HVCI) คือฟีเจอร์ความปลอดภัยใน Windows (โดยเฉพาะ Windows 10 และ Windows 11) ซึ่งใช้ประโยชน์จาก Virtualization-Based Security (VBS) ในการตรวจสอบและปกป้องการทำงานของโค้ดหรือไดรเวอร์ภายในหน่วยความจำ (Memory) ให้มีความปลอดภัยและอยู่ในสภาวะที่ไม่ถูกแก้ไขแทรกแซงหรือถูกโจมตีได้ง่าย ฟีเจอร์นี้เป็นส่วนหนึ่งของแนวคิด Core Isolation ซึ่งพัฒนาขึ้นเพื่อเพิ่มความปลอดภัยระดับ Kernel ของระบบปฏิบัติการ Windows

Core isolation details Windows 11

ความสำคัญของ Memory Integrity ใน Windows

  1. ป้องกันการแก้ไขโค้ดที่เป็นอันตราย (Malicious Code Injection)
    เมื่อมีโค้ดที่เป็นอันตรายหรือมัลแวร์พยายามแทรกตัวเข้ามาในระบบและแก้ไขส่วนของระบบปฏิบัติการหรือหน่วยความจำ Kernel ตัว Memory Integrity จะใช้เทคโนโลยี VBS และ Hypervisor เพื่อช่วยตรวจจับความผิดปกติและป้องกันไม่ให้โค้ดที่ไม่ปลอดภัยทำงานได้
  2. ยกระดับความปลอดภัยของ Kernel
    Kernel ถือเป็นหัวใจสำคัญของระบบปฏิบัติการ ถ้า Kernel ถูกแก้ไขได้โดยง่าย การโจมตีจะส่งผลกระทบต่อเครื่องในระดับรุนแรง เช่น การยกระดับสิทธิ (Privilege Escalation) หรือการซ่อนตัวของมัลแวร์อย่างแนบเนียน การเปิดใช้งาน Memory Integrity จะช่วยคัดกรองโค้ดที่ทำงานใน Kernel และป้องกันโค้ดที่ไม่ได้รับอนุญาต
  3. เทคโนโลยี Hypervisor ช่วยสร้างสภาพแวดล้อมแยก
    Hypervisor ทำงานเสมือนเป็นชั้น (Layer) คั่นกลางระหว่างฮาร์ดแวร์กับระบบปฏิบัติการ ทำให้สามารถแยกกระบวนการที่สำคัญออกจากกันและดูแลให้แน่ใจว่าข้อมูลใน Kernel ถูกป้องกันจากการโจมตี โดยยังคงทำงานได้อย่างเสถียร

หลักการทำงานของ Memory Integrity (HVCI)

  • Virtualization-Based Security (VBS)
    ก่อนอื่น ระบบต้องรองรับ Virtualization-Based Security ซึ่งต้องอาศัยฮาร์ดแวร์ที่รองรับการทำ Virtualization เช่น Intel VT-x หรือ AMD-V เมื่อตัว VBS เปิดใช้งาน ระบบจะสร้างส่วนของหน่วยความจำที่ทำงานอยู่ภายใต้การควบคุมของ Hypervisor เพื่อใช้สำหรับตรวจจับและปกป้องโค้ดที่ทำงานในระดับ Kernel
  • Code Integrity Check
    ในทุกครั้งที่มีการโหลดไดรเวอร์หรือโค้ดระดับ Kernel เข้ามาทำงาน ระบบจะทำการตรวจสอบลายเซ็น (Signature) หรือหลักฐานที่ยืนยันความน่าเชื่อถือของโค้ดนั้น ๆ หากไม่ผ่านตามเกณฑ์ มันจะไม่อนุญาตให้โค้ดนั้นทำงาน หรือหยุดการทำงานในทันที
  • Isolated Environment
    Hypervisor จะแยก (Isolate) กระบวนการที่สำคัญหรือข้อมูลที่เปราะบางจากระบบปฏิบัติการทั่วไป ทำให้มัลแวร์ยากที่จะเข้าถึงหรือแก้ไขข้อมูลในระดับ Kernel ได้

ข้อควรรู้และข้อจำกัด

  1. ความเข้ากันได้ของไดรเวอร์ (Driver Compatibility)
    มีโอกาสที่ไดรเวอร์บางตัวจะไม่สามารถทำงานได้เมื่อเปิดใช้งาน Memory Integrity เพราะไดรเวอร์เหล่านั้นอาจไม่มีการเซ็นลายเซ็น (Driver Signature) ที่ถูกต้องหรืออาจมีพฤติกรรมบางอย่างที่ขัดกับนโยบายความปลอดภัย การปิดหรือเปิด Memory Integrity จึงควรตรวจสอบความเข้ากันได้กับไดรเวอร์สำคัญของอุปกรณ์ต่าง ๆ ก่อน
  2. ข้อกำหนดของฮาร์ดแวร์
    • ต้องเป็น Windows เวอร์ชัน 64-bit
    • ซีพียูต้องรองรับเทคโนโลยี Virtualization (เช่น Intel VT-x หรือ AMD-V)
    • เมนบอร์ดต้องรองรับการเปิดใช้งานการจำลอง Virtualization ใน BIOS/UEFI (เช่น Intel VT-d, AMD-Vi)
    • TPM (Trusted Platform Module) เวอร์ชัน 2.0 (สำหรับ Windows 11) หรือแนวทางการปฏิบัติตามที่ Microsoft กำหนด
  3. ประสิทธิภาพของระบบ
    ในบางกรณี การเปิดใช้งาน Memory Integrity อาจทำให้ประสิทธิภาพของเครื่องลดลงเล็กน้อย โดยเฉพาะเครื่องรุ่นเก่าหรือเครื่องที่สเปกฮาร์ดแวร์ต่ำ เพราะมีการเรียกใช้งาน Hypervisor อยู่ตลอดเวลา อย่างไรก็ตามสำหรับคอมพิวเตอร์รุ่นใหม่ โดยทั่วไปมีทรัพยากรเพียงพอที่จะรองรับได้โดยไม่มีผลกระทบรุนแรง

วิธีเปิด/ปิด Memory Integrity

หมายเหตุ: เมนูหรือชื่อเรียกใน Windows อาจแตกต่างกันเล็กน้อยขึ้นอยู่กับเวอร์ชันของ Windows

  1. เปิดแอป Windows Security คลิก Start หรือกดปุ่ม Windows พิมพ์ “Windows Security” แล้วเลือกเปิด
  2. ไปยังหน้า Device Security ในหน้าต่าง Windows Security เลือก Device security (หรือ “ความปลอดภัยของอุปกรณ์”)
  3. เลือก Core Isolation details มองหาหัวข้อ Core isolation แล้วคลิก Core isolation details หรือ “รายละเอียดการแยกหลัก”
  4. เปิดสวิตช์ Memory Integrity
    • หากต้องการเปิดใช้งาน ให้กดสวิตช์ On (เปิด)
    • หากต้องการปิด ให้กดสวิตช์ Off (ปิด)
    • จากนั้นอาจต้องรีสตาร์ตเครื่องเพื่อให้การตั้งค่ามีผล
  5. ยืนยันสถานะ หลังจากรีสตาร์ต ควรกลับมาตรวจสอบในหน้าต่าง Core isolation details อีกครั้ง เพื่อยืนยันว่าตัวเลือก Memory Integrity ได้ถูกเปิดใช้งานอยู่จริง

ควรเปิดหรือปิด Memory Integrity ใน Windows?

การตัดสินใจว่าจะเปิดหรือปิด Memory Integrity (HVCI) ใน Windows ขึ้นอยู่กับความต้องการและเงื่อนไขการใช้งานของคุณเป็นหลัก โดยมีปัจจัยสำคัญที่ควรพิจารณาดังนี้

สาเหตุที่ควรเปิด

  1. เพิ่มความปลอดภัยระดับ Kernel
    Memory Integrity ช่วยป้องกันไม่ให้โค้ดที่ไม่น่าเชื่อถือหรือโค้ดอันตรายเข้าถึงและแก้ไข Kernel ซึ่งเป็นหัวใจของระบบปฏิบัติการ หาก Kernel ถูกโจมตีหรือแก้ไข มัลแวร์อาจจะยกระดับสิทธิหรือซ่อนตัวได้อย่างแนบเนียน
  2. ป้องกันมัลแวร์ขั้นสูง
    ในยุคที่มัลแวร์ถูกพัฒนาให้แทรกซึมในระบบได้ลึกยิ่งขึ้น การมีเกราะป้องกันหลายชั้นจะลดโอกาสที่ผู้โจมตีจะเข้าถึงหรือดัดแปลงข้อมูลสำคัญในระดับ Kernel
  3. เสริมความปลอดภัยโดยใช้ Virtualization-Based Security
    เมื่อเปิดใช้งาน Memory Integrity ระบบจะใช้ Hypervisor และ VBS ในการสร้างสภาพแวดล้อมแยก (Isolated Environment) ให้ส่วนของโค้ดที่สำคัญ ลดความเสี่ยงในการถูกแทรกแซง

สาเหตุที่บางครั้งอาจเลือกปิด

  1. ปัญหาความเข้ากันได้ของไดรเวอร์
    บางไดรเวอร์ที่เก่าหรือไดรเวอร์ที่ไม่ได้ลงนามเซ็นรับรองอย่างถูกต้อง (Unsigned Driver) อาจไม่สามารถทำงานร่วมกับ Memory Integrity ได้ ทำให้เกิดข้อผิดพลาดหรืออุปกรณ์ทำงานผิดปกติ
  2. ประสิทธิภาพของเครื่องในบางกรณี
    ระบบจำเป็นต้องใช้ทรัพยากรเพิ่มขึ้นเล็กน้อยในการทำงานร่วมกับ Hypervisor หากคอมพิวเตอร์เป็นรุ่นเก่าหรือมีสเปกต่ำ อาจทำให้ความเร็วหรือประสิทธิภาพโดยรวมลดลง
  3. การใช้งานซอฟต์แวร์เฉพาะทาง
    ในบางครั้ง แอปพลิเคชันหรือโปรแกรมเฉพาะทาง (เช่น โปรแกรมวิเคราะห์ระบบ, โปรแกรมดีบักต่าง ๆ) อาจเจอข้อจำกัดหรือทำงานไม่เต็มประสิทธิภาพเมื่อ HVCI ทำงาน

สรุปก็คือ Memory Integrity หรือ Hypervisor-Protected Code Integrity (HVCI) เป็นหนึ่งในฟีเจอร์ความปลอดภัยสำคัญของ Windows ที่ช่วยป้องกันไม่ให้โค้ดหรือไดรเวอร์ที่ไม่น่าเชื่อถือทำงานในระดับ Kernel โดยอาศัยเทคโนโลยี Virtualization-Based Security (VBS) และ Hypervisor ในการควบคุมและแยกกระบวนการที่เสี่ยง การเปิดใช้งาน Memory Integrity จะช่วยลดโอกาสที่มัลแวร์หรือผู้โจมตีจะสามารถเจาะทะลวงระบบในเชิงลึกได้ อย่างไรก็ตาม ควรตรวจสอบความเข้ากันได้ของไดรเวอร์และทรัพยากรของฮาร์ดแวร์ก่อนเปิดใช้งาน เพื่อป้องกันปัญหาการใช้งานในชีวิตประจำวันและเพื่อคงประสิทธิภาพของเครื่องในระดับที่เหมาะสม

หากคุณต้องการเสริมความปลอดภัยให้กับ Windows ของคุณ ฟีเจอร์ Memory Integrity เป็นอีกตัวเลือกหนึ่งที่ควรพิจารณาอย่างยิ่ง ในยุคที่การโจมตีทางไซเบอร์มีความซับซ้อนและมีหลากหลายรูปแบบมากขึ้น การสร้างเกราะป้องกันหลายชั้นจึงเป็นสิ่งสำคัญที่ช่วยให้การใช้งานคอมพิวเตอร์เป็นไปอย่างปลอดภัยและไว้วางใจได้มากยิ่งขึ้น

About modify 6310 Articles
สามารถนำบทความไปเผยแพร่ได้อย่างอิสระ โดยกล่าวถึงแหล่งที่มา เป็นลิงค์กลับมายังบทความนั้นๆ บทความอาจมีการพิมพ์ตกเรื่องภาษาไปบ้าง ต้องขออภัย พยามจะพิมพ์ผิดให้น้อยที่สุด (ทำเว็บคนเดียวไม่มีคนตรวจทาน) บทความที่สอนเรื่องต่างๆ กรุณาอ่านบทความให้เข้าใจก่อนโพสต์ถาม ติดตรงไหนสามารถถามได้ที่โพสต์นั้นๆ

Be the first to comment

Leave a Reply

Your email address will not be published.