আপনি যদি Windows 10 বা Windows 11 ব্যবহার করেন, তাহলে সম্ভবত আপনি একাধিকবার এই সতর্কতাটি দেখেছেন। মূল বিচ্ছিন্নতা এবং স্মৃতির অখণ্ডতা উইন্ডোজ সিকিউরিটিতে, আপনি একটি হলুদ বা সবুজ আইকন দেখতে পাবেন। এই বার্তার পিছনে রয়েছে শক্তিশালী প্রযুক্তির একটি সেট যা একটি সু-সুরক্ষিত সিস্টেম এবং কার্নেল-আক্রমণকারী ম্যালওয়্যারের জন্য ঝুঁকিপূর্ণ সিস্টেমের মধ্যে পার্থক্য করতে পারে। আপনি কীভাবে তা জানতে পারেন। Windows 11-এ নিরাপত্তা উন্নত করুন এই সুরক্ষাগুলির পরিপূরক হিসেবে।
এই নির্দেশিকায় আমরা শান্তভাবে এবং সরল স্প্যানিশ ভাষায় ব্যাখ্যা করব যে তারা ঠিক কী। মূল বিচ্ছিন্নতা এবং স্মৃতির অখণ্ডতা, ভার্চুয়ালাইজেশন-ভিত্তিক নিরাপত্তা (VBS) এর সাথে তারা কীভাবে সম্পর্কিত, কর্মক্ষমতার দিক থেকে তারা কী বোঝায়, গ্রাফিকাল ইন্টারফেস, কমান্ড লাইন, রেজিস্ট্রি, ইনটুন বা নীতিগুলি থেকে কীভাবে এগুলি সক্ষম বা নিষ্ক্রিয় করা যায় এবং বেমানান ড্রাইভার, নীল পর্দা বা সতর্কতা যা দূরে যায় না তার সাথে সাধারণ সমস্যাগুলি কীভাবে নির্ণয় করা যায়।
উইন্ডোজে কোর আইসোলেশন কী?
যখন উইন্ডোজ কথা বলে কোর ইনসুলেশন (কোর আইসোলেশন) বলতে এমন কিছু প্রক্রিয়াকে বোঝায় যা একটি তৈরি করে সুরক্ষিত এবং ভার্চুয়ালাইজড পরিবেশ সবচেয়ে গুরুত্বপূর্ণ সিস্টেম প্রক্রিয়াগুলির চারপাশে, বিশেষ করে যেগুলি কার্নেল মোডে চলছে। ধারণাটি হল অপারেটিং সিস্টেমের মূল অংশকে বাকি প্রক্রিয়া এবং মেমরিতে লোড করা ড্রাইভার থেকে আলাদা রাখা।
এই বিচ্ছিন্নতা অর্জনের জন্য, উইন্ডোজ নির্ভর করে ভার্চুয়ালাইজেশন-ভিত্তিক নিরাপত্তা (VBS)VBS উইন্ডোজ হাইপারভাইজার ব্যবহার করে স্বাভাবিক সিস্টেম সেশন থেকে আলাদা একটি পরিবেশ তৈরি করে, যা দুর্বল বলে ধরে নেওয়া হয়। এই বিচ্ছিন্ন পরিবেশটি তখন এক ধরণের হয়ে ওঠে বিশ্বাসের মূল যা থেকে কার্নেলে কোন কোডটি কার্যকর করা যেতে পারে তা যাচাই করা হয়।
বাস্তবে, কোর আইসোলেশন কার্নেল এবং কিছু উচ্চ-নিরাপত্তা প্রক্রিয়াকে একটিতে চালায় সুরক্ষিত মেমরি স্পেস"স্বাভাবিক" অপারেটিং সিস্টেমে চলমান সফ্টওয়্যারের সরাসরি নাগালের বাইরে। যদি ম্যালওয়্যার এই সংবেদনশীল এলাকায় কোড প্রবেশের চেষ্টা করে, তবে খুব বেশি ক্ষতি করার আগেই আর্কিটেকচার নিজেই এটিকে ব্লক করে দেয়।
একটি সাধারণ উদাহরণ: আপনি একটি খুলুন ইমেল সংযুক্তি যার মধ্যে ম্যালওয়্যার রয়েছে যা ড্রাইভারের দুর্বলতা কাজে লাগিয়ে কার্নেলে অনুপ্রবেশ করার চেষ্টা করে। কোর আইসোলেশন অক্ষম থাকলে, পথটি অনেক স্পষ্ট হয়; কোর আইসোলেশন এবং এর সুরক্ষা সক্রিয় থাকলে, ক্ষতিকারক কোডটি সিস্টেমের "অবিশ্বস্ত" অংশে থেকে যায় এবং প্রভাব মারাত্মকভাবে হ্রাস পায়।
মেমোরি ইন্টিগ্রিটি (HVCI) কী?
মূল বিচ্ছিন্নতার মধ্যে, তারার ফাংশনটি তথাকথিত স্মৃতির অখণ্ডতা, হিসাবে পরিচিত এছাড়াও HVCI (হাইপারভাইজার-এনফোর্সড কোড ইন্টিগ্রিটি)এই বৈশিষ্ট্যটি VBS দ্বারা তৈরি ভার্চুয়ালাইজড পরিবেশে কার্নেল কোড অখণ্ডতা নিয়ে আসে, যাতে হাইপারভাইজার কার্নেল মোডে আসলে কী চলছে তা পর্যবেক্ষণ করে।
অন্য কথায়, স্মৃতির অখণ্ডতা এটিকে এমন করে তোলে যে কার্নেলে শুধুমাত্র স্বাক্ষরিত এবং বিশ্বস্ত কোড লোড করা উচিত।যদি কোন ড্রাইভার বা মডিউল নিজেকে পরিবর্তন করার, নির্দেশাবলী ইনজেক্ট করার, অথবা অভ্যন্তরীণ কার্নেল মেমরি স্ট্রাকচার ম্যানিপুলেট করার চেষ্টা করে, তাহলে সুরক্ষা এটিকে ব্লক করে দেয় এবং অনেক ক্ষেত্রে একটি ভুল গুরুতর (নীল পর্দা) যাতে সিস্টেমটি সম্ভাব্যভাবে ক্ষতিগ্রস্ত অবস্থায় কাজ করতে না পারে।
এই নিরাপত্তা স্তরটি কার্নেল মোডে মেমরি কীভাবে বরাদ্দ এবং পরিচালনা করা হয় তার উপরও বিধিনিষেধ যোগ করে। কিছু নির্দিষ্ট অ্যাসাইনমেন্ট যা সাধারণ আক্রমণ ভেক্টর হিসেবে পরিচিত নিরাপদ VBS পরিবেশ থেকে এগুলি সীমিত বা পর্যবেক্ষণ করা হয়, যা উন্নত শোষণের বিরুদ্ধে আক্রমণের পৃষ্ঠকে হ্রাস করে।
মেমোরি ইন্টিগ্রিটি দ্বারা প্রদত্ত নিরাপত্তা বৈশিষ্ট্য
সাধারণ কোড যাচাইকরণের পাশাপাশি, মেমরি ইন্টিগ্রিটি কার্নেলের মধ্যে কিছু খুব নির্দিষ্ট উপাদানকে রক্ষা করে যা সাধারণত আক্রমণকারীদের লক্ষ্যবস্তুসবচেয়ে গুরুত্বপূর্ণ দিকগুলির মধ্যে, দুটি লক্ষণীয়:
- কন্ট্রোল ফ্লো গার্ড (CFG) বিটম্যাপ সুরক্ষা কার্নেল-মোড কন্ট্রোলারগুলিতে, বৈধ এক্সিকিউশন প্রবাহের হেরফের রোধ করতে।
- কার্নেলের নিজস্ব কোড অখণ্ডতা প্রক্রিয়া রক্ষা করাযাতে শুধুমাত্র বৈধ সার্টিফিকেট সহ অন্যান্য বিশ্বস্ত প্রক্রিয়াগুলি এর সাথে ইন্টারঅ্যাক্ট করতে পারে বা নতুন মডিউল লোড করতে পারে।
এই সবের কারণে ম্যালওয়্যারের জন্য পরিবর্তন করা অনেক কঠিন হয়ে পড়ে কার্নেল এক্সিকিউশন পাথ অথবা বৈধ ড্রাইভারের ছদ্মবেশে দূষিত ড্রাইভারগুলিতে লুকিয়ে থাকা। যদি সুরক্ষা কার্নেল-মোড মেমরিতে অস্বাভাবিক কিছু সনাক্ত করে, তাহলে সিস্টেম দূষিত কোডটি চালিয়ে যাওয়ার অনুমতি দেওয়ার পরিবর্তে এটি ব্লক করতে পছন্দ করে।
কোর আইসোলেশন, ভিবিএস এবং মেমোরি ইন্টিগ্রিটির মধ্যে পার্থক্য
এত নামের সাথে বিভ্রান্ত হওয়া সহজ, তাই সবকিছু পরিষ্কার করার জন্য এবং আপনাকে বুঝতে সাহায্য করার জন্য ধারণাগুলিকে আলাদা করা একটি ভাল ধারণা। আপনার সবচেয়ে বেশি আগ্রহের কনফিগারেশনটি বেছে নিন আপনার কম্পিউটারে অথবা আপনার পিসির বহরে:
- ভিবিএস (ভার্চুয়ালাইজেশন-ভিত্তিক নিরাপত্তা)এটিই ভিত্তি। এটি হাইপারভাইজার ব্যবহার করে একটি বিচ্ছিন্ন ইন-মেমরি পরিবেশ তৈরি করে যেখানে নিরাপত্তা পরিষেবাগুলি পরিচালিত হয়।
- মূল বিচ্ছিন্নতা: এমন একটি ট্রেড নাম যা কার্নেল এবং কিছু গুরুত্বপূর্ণ প্রক্রিয়া রক্ষা করার জন্য VBS-এর উপর নির্ভর করে এমন বেশ কয়েকটি প্রক্রিয়াকে একত্রিত করে।
- মেমোরি ইন্টিগ্রিটি (HVCI): কোর আইসোলেশনের মধ্যে একটি নির্দিষ্ট উপাদান যা কার্নেল মোডে কঠোর কোড অখণ্ডতা প্রয়োগ করে, যা VBS পরিবেশ থেকে যাচাই করা হয়।
তুমি পেতে পার মেমোরি ইন্টিগ্রিটি সক্ষম না করেই VBS সক্ষম করা হয়েছেতবে, উইন্ডোজ ১০/১১ এবং সামঞ্জস্যপূর্ণ হার্ডওয়্যার সহ আধুনিক সিস্টেমে এটি সাধারণ নয়। প্রকৃতপক্ষে, কর্পোরেট পরিবেশের জন্য, যখনই সম্ভব VBS এবং HVCI উভয়ই সক্ষম করার পরামর্শ দেওয়া হয়।
নিরাপত্তা এবং খরচ-কার্যক্ষমতা সুবিধা
কোর আইসোলেশন এবং মেমোরি ইন্টিগ্রিটি সক্ষম করার ইতিবাচক দিকগুলি স্পষ্ট: সিস্টেমের সবচেয়ে সংবেদনশীল স্থানে অতিরিক্ত স্তরের নিরাপত্তা ব্যবস্থাকার্নেল, ড্রাইভার এবং ক্রিটিক্যাল এক্সিকিউশন পাথগুলি রুটকিট, জিরো-ডে এক্সপ্লাইট এবং ম্যালওয়্যারের বিরুদ্ধে অনেক ভালোভাবে সুরক্ষিত থাকে যা সিস্টেমের সুবিধা অর্জনের চেষ্টা করে।
অসুবিধা হল এই অতিরিক্ত নিয়ন্ত্রণের মধ্যে রয়েছে কর্মক্ষমতা এবং সামঞ্জস্যের খরচপ্রতিবার যখনই ড্রাইভার লোড করা হয় অথবা কোন সূক্ষ্ম কার্নেল অপারেশন করা হয়, তখন হাইপারভাইজার এবং VBS লজিককে কী ঘটছে তা যাচাই করতে হয়। এর ফলে CPU ব্যবহার বৃদ্ধি পায় এবং কিছু ল্যাটেন্সি দেখা দেয়, বিশেষ করে নির্দিষ্ট পরিস্থিতিতে এটি লক্ষণীয়।
অনেক ব্যবহারকারী লক্ষ্য করেছেন যে, যখন এই ফাংশনগুলি সক্রিয় করা হয়, তখন গেমগুলিতে FPS হ্রাস পায় অথবা যেখানে সবকিছু আগে আরও সুচারুভাবে চলত সেখানে ছোট ছোট তোতলামি দেখা দেয়। অন্যরা মন্তব্য করেন যে তাদের পিসি দৈনন্দিন কাজে "আলতো" বোধ করে, বিশেষ করে এমন মেশিনে যেখানে প্রচুর রিসোর্স নেই বা কিছুটা সীমিত হার্ডওয়্যার রয়েছে।
আরেকটি সম্ভাব্য পার্শ্বপ্রতিক্রিয়া হল, যখন কোর আইসোলেশন সক্রিয় করা হয়, তখন নিম্নলিখিতগুলি দেখা দিতে পারে: নীল পর্দা অথবা জমে যাওয়া স্টার্টআপে বা স্বাভাবিক ব্যবহারের সময়। বেশিরভাগ ক্ষেত্রে, দোষ সেই ড্রাইভারদের উপর বর্তায় যারা নতুন সুরক্ষার প্রয়োজনীয়তা পূরণ করে না এবং এমন কিছু করার চেষ্টা করে যা এখন নিষিদ্ধ।
সংক্ষেপে: আপনি অনেক উচ্চ স্তরের নিরাপত্তা পাবেন, কিন্তু বিনিময়ে আপনি কর্মক্ষমতার উপর একটি নির্দিষ্ট প্রভাব এবং এটিকে খুব আপ টু ডেট রাখার প্রয়োজনীয়তা গ্রহণ করেন। ড্রাইভার এবং ফার্মওয়্যার (প্রয়োজনীয় হার্ডওয়্যার চেকলিস্টগেমিং বা খুব কঠিন কাজের জন্য নিবেদিত পিসিগুলিতে, কিছু লোক সম্পদ সর্বাধিক করার জন্য এই ফাংশনগুলি অক্ষম করতে পছন্দ করে, যদি তারা ভাল সুরক্ষা অনুশীলনের মাধ্যমে ক্ষতিপূরণ দেয়।
উইন্ডোজ সিকিউরিটি থেকে কোর আইসোলেশন এবং মেমোরি ইন্টিগ্রিটি সক্ষম বা অক্ষম করুন
বেশিরভাগ ব্যবহারকারীর জন্য এই বিকল্পগুলি পরিচালনা করার সবচেয়ে সরাসরি উপায় হল অ্যাপ্লিকেশনের মাধ্যমে উইন্ডোজ সুরক্ষাএটি Windows 10 এবং Windows 11 উভয় সংস্করণেই একত্রিত। সিস্টেমের উভয় সংস্করণেই প্রবাহ প্রায় একই রকম, কিছু মেনুর নামে সামান্য পরিবর্তন করা হয়েছে।
Windows 11-এ আপনি এর মাধ্যমে দ্রুত সেটিংস খুলতে পারেন উইন্ডোজ + আই, যাও গোপনীয়তা এবং সুরক্ষা এবং তারপর উইন্ডোজ সুরক্ষা. সেখান থেকে, ক্লিক করুন উইন্ডোজ সুরক্ষা খুলুন এবং, বাম দিকের মেনুতে, লিখুন ডিভাইস সুরক্ষাতুমি একটি বিভাগ দেখতে পাবে যার নাম মূল বিচ্ছিন্নতা একটি লিঙ্ক সহ Detalles.
কোর আইসোলেশনের বিশদ বিবরণের ভেতরে ঢুকলে, আপনি সুইচটি পাবেন স্মৃতির অখণ্ডতাযদি এটি নিষ্ক্রিয় থাকে, তাহলে আপনি সম্ভবত "মেমোরি ইন্টিগ্রিটি নিষ্ক্রিয় করা হয়েছে; আপনার ডিভাইসটি দুর্বল হতে পারে" এর মতো একটি সতর্কতাও দেখতে পাবেন। স্লাইডারটি সক্রিয় করলে কার্নেল-মোড কোড যাচাইকরণ জোরদার করা শুরু হবে।
মেমরি অখণ্ডতা ছাড়াও, আপনি সাধারণত এর জন্য একটি বিকল্প দেখতে পাবেন মাইক্রোসফটের ঝুঁকিপূর্ণ ড্রাইভারের তালিকাএই বৈশিষ্ট্যটি নিরাপত্তা দুর্বলতাযুক্ত সমস্যাযুক্ত ড্রাইভারগুলিকে সক্রিয়ভাবে ব্লক করে। আদর্শভাবে, উভয় ফাংশনই সক্রিয় রাখা উচিত, তবে আবার, যদি আপনি সামঞ্জস্যের সমস্যার সম্মুখীন হন, তাহলে আপনাকে কনফিগারেশনটি সূক্ষ্ম-টিউন করতে হতে পারে।
যখন আপনি মেমোরি ইন্টিগ্রিটি সক্ষম করবেন, তখন উইন্ডোজ আপনাকে জিজ্ঞাসা করবে কম্পিউটার পুনরায় চালু করুনপুনঃসূচনা সম্পূর্ণ না হওয়া পর্যন্ত, সুরক্ষাটি আসলে প্রয়োগ করা হবে না এবং উইন্ডোজ সুরক্ষা সতর্কতা প্রদর্শিত হতে থাকবে। পুনঃসূচনা করার পরে, যদি সবকিছু ঠিকঠাক হয়, তাহলে আপনি কার্নেল আইসোলেশনের পাশে একটি সবুজ আইকন দেখতে পাবেন।
VBS এবং মেমরি অখণ্ডতার জন্য রেজিস্ট্রির মাধ্যমে উন্নত কনফিগারেশন
কর্পোরেট পরিবেশে অথবা যখন আপনি ব্যাপকভাবে কোর আইসোলেশন কনফিগারেশন জোর করতে চান, তখন এটি অবলম্বন করা সাধারণ রেজিস্ট্রি কী এবং স্ক্রিপ্টউইন্ডোজ আপনাকে VBS সক্ষম করতে, UEFI এর মাধ্যমে এটি ব্লক করতে, নির্দিষ্ট প্ল্যাটফর্ম সুরক্ষা প্রয়োজন করতে, অথবা বিভিন্ন নির্দিষ্ট মান সহ মেমরি অখণ্ডতা জোরদার করতে দেয়।
প্রাসঙ্গিক কীগুলি নীচে অবস্থিত HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard এবং এর সাবকি। প্রশাসকের অধিকার সহ একটি কনসোল থেকে, কমান্ড ব্যবহার করা যেতে পারে reg যোগ করুন প্রতিটি পরিস্থিতিতে পছন্দসই মান নির্ধারণ করতে (এবং করতে ভুলবেন না) রেজিস্ট্রি ব্যাকআপ কিছু স্পর্শ করার আগে)।
উদাহরণস্বরূপ, মেমরি ইন্টিগ্রিটি সক্ষম করে এবং কোনও UEFI লকিং না করে প্রস্তাবিত VBS কনফিগারেশন সক্রিয় করতে, সেট করা কমান্ডগুলি ব্যবহার করা হয় ভার্চুয়ালাইজেশন ভিত্তিক নিরাপত্তা সক্ষম করুন a 1, সংজ্ঞায়িত করা প্ল্যাটফর্ম সিকিউরিটি ফিচারের প্রয়োজন (উদাহরণস্বরূপ, শুধুমাত্র নিরাপদ বুটের জন্য 1, অথবা নিরাপদ বুট এবং DMA সুরক্ষার জন্য 3), এবং এর কীগুলি কনফিগার করুন হাইপারভাইসরএফর্সড কোড কোড অন্তর্ভুক্তি Enabled=1 এবং Locked=0 সহ।
আপনি মান ব্যবহার করে বাধ্যতামূলক মোডে VBS সক্ষম করতে পারেন বাধ্যতামূলক=১এই ক্ষেত্রে, যদি হাইপারভাইজার, সুরক্ষিত কার্নেল, অথবা কোনও নির্ভরশীল মডিউল বুট করার সময় লোড করতে ব্যর্থ হয়, তাহলে সিস্টেমটি কেবল শুরু করে আর চলবে নাএটি অনেক কঠোর বিকল্প যা ব্যাপকভাবে ব্যবহার করার আগে পুঙ্খানুপুঙ্খভাবে পরীক্ষা করা উচিত।
আরেকটি আকর্ষণীয় সেটিং হল মূল বিষয় হল সক্ষম করা হয়েছে HypervisorEnforcedCodeIntegrity সাবকির অধীনে। যদি এই মানটি সরানো হয়, তাহলে মেমরি ইন্টিগ্রিটি গ্রাফিক্যাল ইন্টারফেসটি ম্লান হয়ে যায় এবং "এই সেটিংটি আপনার প্রশাসক দ্বারা পরিচালিত" বার্তাটি প্রদর্শিত হয়, যা UI থেকে পরিবর্তনটি ব্লক করুন এবং ব্যবহারকারীকে ম্যানুয়ালি এটি সক্রিয় বা নিষ্ক্রিয় করা থেকে বিরত রাখুন।
কমান্ড লাইন থেকে কোর আইসোলেশন এবং মেমরি ইন্টিগ্রিটি সক্ষম করুন
যদি আপনি স্ক্রিপ্ট পছন্দ করেন অথবা ইনস্টলেশন স্বয়ংক্রিয় করতে চান, তাহলে একটি থেকে একটি কমান্ড দিয়ে মেমরি ইন্টিগ্রিটি সক্ষম করা খুবই সুবিধাজনক। উন্নত সিস্টেম প্রতীক অথবা PowerShell থেকে। প্রাথমিক কী হল রেজিস্ট্রিতে HVCI পাথের Enabled মান।
অ্যাডমিনিস্ট্রেটর হিসেবে কেবল একটি কমান্ড চালান যা মান যোগ করে সক্রিয়=1 en HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrityএই পরিবর্তনটি উইন্ডোজকে পরবর্তী বুটে মেমরি ইন্টিগ্রিটি সক্ষম করতে বলে।
পরিবর্তনটি প্রয়োগ করার পরে, এটি পরীক্ষা করা বাঞ্ছনীয় যে ভার্চুয়ালাইজেশন-ভিত্তিক নিরাপত্তা এটি সমর্থিত এবং কার্যকর। এর জন্য, আপনি ব্যবহার করতে পারেন SystemInfo.exe সম্পর্কে এবং হাইপার-ভি প্রয়োজনীয়তা বিভাগটি পরীক্ষা করুন: যদি ক্ষেত্রগুলি "হ্যাঁ" হিসাবে প্রদর্শিত হয়, তাহলে হার্ডওয়্যার এবং BIOS/UEFI কনফিগারেশন VBS এবং কোর আইসোলেশনের সাথে কাজ করার শর্ত পূরণ করে; আপনিও করতে পারেন আপনার পিসির সম্পূর্ণ স্পেসিফিকেশন দেখুন আরও নিরাপত্তার জন্য সেটিংস থেকে।
অবশেষে, প্রক্রিয়াটি সম্পন্ন করার জন্য, আপনাকে অবশ্যই কম্পিউটার পুনরায় চালু করুনএটি কমান্ড প্রম্পট থেকেই shutdown /r কমান্ডের মাধ্যমে করা যেতে পারে। রিস্টার্ট করার পর, উইন্ডোজ সিকিউরিটিতে ডিভাইস সিকিউরিটির অধীনে স্ট্যাটাস পরীক্ষা করে নিশ্চিত করুন যে কার্নেল আইসোলেশনের মধ্যে মেমরি ইন্টিগ্রিটি সক্রিয় রয়েছে।
এন্টারপ্রাইজের জন্য মেমরি ইন্টিগ্রিটি এবং অ্যাপ নিয়ন্ত্রণ
কেন্দ্রীভূত নীতি ব্যবহার করে এমন সংস্থাগুলিতে, মেমরি ইন্টিগ্রিটিও এর অংশ হিসাবে সক্রিয় করা যেতে পারে ব্যবসার জন্য অ্যাপ নিয়ন্ত্রণ (পূর্ববর্তী উইন্ডোজ ডিফেন্ডার অ্যাপ্লিকেশন নিয়ন্ত্রণ)। এই পদ্ধতিটি আপনাকে অনুমোদিত অ্যাপ্লিকেশন নিয়মের মধ্যে HVCI-কে কেবল আরেকটি বিকল্প হিসেবে পরিচালনা করতে দেয়।
অ্যাপ্লিকেশন কন্ট্রোল উইজার্ড থেকে, আপনি একটি নীতি তৈরি বা সম্পাদনা করতে পারেন এবং বাক্সটি চেক করতে পারেন "হাইপারভাইজার-সুরক্ষিত কোড অখণ্ডতা" নীতিমালার নিয়ম বিভাগে। এই নির্বাচনটি নীতিমালা প্রযোজ্য ডিভাইসগুলিতে HVCI সক্ষম করতে বাধ্য করে (অ্যাপলকারে কাস্টম নিয়ম কী চলছে তা নিয়ন্ত্রণ করার ক্ষেত্রে এগুলি একই রকম পদ্ধতি।
বিকল্পভাবে, আপনি PowerShell cmdlet ব্যবহার করতে পারেন সেট-HVCI বিকল্পগুলি মেমরি ইন্টিগ্রিটি অপশনগুলিকে আরও সুক্ষ্মভাবে সামঞ্জস্য করতে। এবং যারা কাঁচা নীতি সম্পাদনা করেন, তাদের জন্য সরাসরি উপাদানটি পরিবর্তন করাও সম্ভব অ্যাপ কন্ট্রোল এক্সএমএল থেকে, HVCI আচরণের জন্য পছন্দসই মান নির্ধারণ করে।
VBS এবং মেমোরি ইন্টিগ্রিটি সক্রিয় কিনা তা কীভাবে পরীক্ষা করবেন
উইন্ডোজ সিকিউরিটিতে ভিজ্যুয়াল ইন্ডিকেটর ছাড়াও, কম্পিউটারে কোন VBS ক্ষমতা উপলব্ধ এবং কোনটি আসলে ব্যবহৃত হচ্ছে তা পরীক্ষা করার জন্য আরও প্রযুক্তিগত উপায় রয়েছে। উইন্ডোজ একটি WMI ক্লাস প্রদান করে যার নাম Win32_DeviceGuard সম্পর্কে যা এই ফাংশনগুলির অবস্থা নিরীক্ষণের জন্য খুবই কার্যকর বৈশিষ্ট্যগুলি প্রকাশ করে।
প্রশাসকের সুবিধা সহ একটি PowerShell সেশন থেকে, আপনি একটি চালু করতে পারেন পান-CimInstance উপযুক্ত নেমস্পেসে সেই ক্লাস সম্পর্কে। আউটপুটে ক্ষেত্রগুলি অন্তর্ভুক্ত থাকে যেমন উপলব্ধ নিরাপত্তা বৈশিষ্ট্য, যেখানে সামঞ্জস্যপূর্ণ ক্ষমতাগুলি নির্দেশিত হয় (হাইপারভাইজার, সুরক্ষিত বুট, DMA সুরক্ষা, NX, SMM প্রশমন, MBEC/GMET, APIC ভার্চুয়ালাইজেশন...), এবং প্রয়োজনীয় নিরাপত্তা বৈশিষ্ট্যযেখানে VBS সক্রিয় করার জন্য কোন কোন প্রয়োজনীয়তা প্রয়োজন তা তালিকাভুক্ত করা হয়েছে।
অন্যান্য গুরুত্বপূর্ণ ক্ষেত্রগুলি হল নিরাপত্তা পরিষেবা কনফিগার করা হয়েছে y নিরাপত্তা পরিষেবা চলমানকোন বিবরণে সেগুলি কনফিগার করা আছে নাকি চলছে ক্রেডেনশিয়াল গার্ড, মেমোরি ইন্টিগ্রিটি, সিকিউর বুট সুরক্ষা, এসএমএম ফার্মওয়্যার পরিমাপ, অথবা হার্ডওয়্যার-প্রয়োগকৃত স্ট্যাক সুরক্ষাঅন্যান্য ভার্চুয়ালাইজেশন-ভিত্তিক পরিষেবাগুলির মধ্যে।
সম্পত্তি ভার্চুয়ালাইজেশন-ভিত্তিক নিরাপত্তা অবস্থা এটি স্পষ্টভাবে নির্দেশ করে যে VBS নিষ্ক্রিয় আছে কিনা, সক্রিয় আছে কিন্তু সক্রিয় নয়, অথবা সক্রিয় এবং চলমান আছে কিনা। এবং শক্ত ভার্চুয়াল মেশিন আইসোলেশন সহ সিস্টেমগুলিতে, ক্ষেত্রগুলি ভার্চুয়াল মেশিন আইসোলেশন y ভার্চুয়াল মেশিন আইসোলেশন প্রোপার্টি তারা দেখায় যে AMD SEV-SNP বা Intel TDX এর মতো বৈশিষ্ট্যগুলি উপলব্ধ কিনা।
যদি আপনি আরও দৃশ্যমান কিছু পছন্দ করেন, তাহলে আপনি এটিও ব্যবহার করতে পারেন msinfo32.exeএটি প্রশাসক হিসেবে চালানো, বিভাগে সিস্টেমের সংক্ষিপ্ত বিবরণ নীচে, আপনি উপলব্ধ ভার্চুয়ালাইজেশন-ভিত্তিক সুরক্ষা বৈশিষ্ট্য এবং বর্তমানে সক্রিয় থাকা বৈশিষ্ট্যগুলির তালিকা সহ একটি বিভাগ পাবেন।
হার্ডওয়্যার-আরোপিত স্ট্যাক সুরক্ষা এবং মেমরি অখণ্ডতার সাথে এর সম্পর্ক
HCCI ছাড়াও, উইন্ডোজের সাম্প্রতিক সংস্করণগুলি চালু করেছে হার্ডওয়্যার-প্রয়োগকৃত স্ট্যাক সুরক্ষা, এমন একটি বৈশিষ্ট্য যা কার্নেল মোডকে আরও সুরক্ষিত করার জন্য ইন্টেল কন্ট্রোল-ফ্লো এনফোর্সমেন্ট টেকনোলজি বা এএমডি শ্যাডো স্ট্যাকের মতো আধুনিক CPU ক্ষমতাগুলিকে কাজে লাগায়।
এই বৈশিষ্ট্যটি একটি বজায় রাখে ফেরত ঠিকানার দ্বিতীয় কপি একটি পঠনযোগ্য শ্যাডো স্ট্যাকের কার্নেল কোডের। যদি কোনও ক্ষতিকারক ড্রাইভার বা এক্সপ্লাইট স্বাভাবিক স্ট্যাকের রিটার্ন ঠিকানা পরিবর্তন করে এক্সিকিউশনকে ক্ষতিকারক কোডে পুনঃনির্দেশিত করার চেষ্টা করে, তাহলে CPU এটিকে শ্যাডো স্ট্যাকের সুরক্ষিত কপির সাথে তুলনা করে এবং অসঙ্গতি সনাক্ত করার পরে, এক্সিকিউশন প্রবাহ হাইজ্যাক করার অনুমতি দেওয়ার পরিবর্তে একটি ব্লু স্ক্রিন অফ ডেথ (BSOD) ট্রিগার করে।
সমস্ত ড্রাইভার এই বৈশিষ্ট্যের সাথে সামঞ্জস্যপূর্ণ নয়, কারণ অল্প সংখ্যক বৈধ ড্রাইভারই ক্ষতিকারক নয় এমন কারণে রিটার্ন ঠিকানা পরিবর্তন করে। অতএব, মাইক্রোসফ্ট কিছু সময়ের জন্য নির্মাতাদের সাথে তাদের ড্রাইভার আপডেট করার জন্য এবং সমস্যা ছাড়াই সহাবস্থান করতে পারে এমন ড্রাইভারগুলির তালিকা প্রসারিত করার জন্য কাজ করছে। হার্ডওয়্যার-প্রয়োগকৃত ব্যাটারি সুরক্ষা.
উইন্ডোজ সিকিউরিটি ইন্টারফেসে, এই সুরক্ষাটি সাধারণত একটি টগল বোতাম সহ অন্য বিকল্প হিসাবে উপস্থিত হয়। এটি সক্রিয় করার জন্য, এটি বাধ্যতামূলক যে মেমরি অখণ্ডতা সক্রিয় করা হয়েছে এবং সিপিইউ সংশ্লিষ্ট প্রবাহ নিয়ন্ত্রণ প্রযুক্তির সাথে সামঞ্জস্যপূর্ণ।
যদি সিস্টেমটি কোনও অসঙ্গত ড্রাইভার বা পরিষেবা সনাক্ত করে, তাহলে এটি একটি সতর্কতা প্রদর্শন করবে যা নির্দেশ করবে যে কোন উপাদানটি সক্রিয়করণকে ব্লক করছে। সেই ক্ষেত্রে, প্রস্তাবিত পদক্ষেপ হল ড্রাইভারের একটি আপডেটেড ভার্সন খুঁজুনসংশ্লিষ্ট অ্যাপ্লিকেশনটি আনইনস্টল করুন অথবা, পরিশেষে, অতিরিক্ত সুরক্ষা স্তর সক্ষম করার জন্য সফ্টওয়্যারটির সেই অংশটি ছাড়া এটি করা মূল্যবান কিনা তা মূল্যায়ন করুন।
হলুদ আইকনের সাথে মেমরি ইন্টিগ্রিটি সতর্কতা এবং সমস্যাগুলি অক্ষম করুন।
একাধিক প্রশাসককে প্রায়শই হতাশ করে এমন একটি বিষয় হল, যদিও তারা সিদ্ধান্ত নিয়েছে যে নীতি অনুসারে মেমরি অখণ্ডতা অক্ষম করুনউইন্ডোজ সিকিউরিটিতে একটি হলুদ সতর্কতা আইকন বারবার দেখা যাচ্ছে, যা আপনাকে স্থানীয় সেটিংসে যেতে এবং প্রশাসকের অধিকার সহ বার্তাটি বাতিল করতে বাধ্য করে।
এই আচরণটি সর্বদা একই রেজিস্ট্রি কী দ্বারা সরাসরি নিয়ন্ত্রিত হয় না যা HVCI চালু বা বন্ধ করে। আসলে, এমন কিছু ক্ষেত্রে আছে যেখানে, Enabled মান 0 তে সেট করা থাকলেও, আবেদনটি বারবার জোর দিচ্ছে যেখানে ফাংশনটি নিষ্ক্রিয় থাকে এবং সতর্কতাটি এমনভাবে প্রদর্শন করে যেন এটি সক্রিয় হওয়ার আশা করেছিল।
পরিচালিত পরিবেশের জন্য ইনটিউন, জিপিও, অথবা অন্যান্য ব্যবস্থাপনা সরঞ্জাম (নিরাপত্তা নির্দেশিকাসাধারণত প্রস্তাবিত পদ্ধতি হল এমন নীতিমালা স্থাপন করা যা কোর আইসোলেশনের কাঙ্ক্ষিত অবস্থা স্পষ্টভাবে সংজ্ঞায়িত করে এবং যেখানে সম্ভব ব্যবহারকারীর ইন্টারফেস লুকাতে বা ম্লান করতে পারে। যেমনটি আগেই উল্লেখ করা হয়েছে, WasEnabledBy মান অপসারণ বা সামঞ্জস্য করলে "এই সেটিংটি প্রশাসক দ্বারা পরিচালিত" বার্তাটি প্রদর্শিত হতে পারে, যা ব্যবহারকারীর মিথস্ক্রিয়া হ্রাস করে।
তবুও, সমস্ত সতর্কতা সহজেই বাতিল করা হয় না, এবং কিছু কনফিগারেশনে, হলুদ আইকনটি মূলত উইন্ডোজ সিকিউরিটির আপনাকে মনে করিয়ে দেওয়ার একটি উপায় যে আপনি স্বেচ্ছায় সুরক্ষার একটি স্তর অক্ষম করছেন। সেই প্রেক্ষাপটে, আসল সমাধান হল... সতর্কতা গ্রহণ করুন অথবা নিরাপত্তা নীতি পুনরায় কনফিগার করুন যাতে সিস্টেমটি সক্রিয়করণের পরামর্শ দেওয়া বন্ধ করে দেয়।
কোর আইসোলেশন এবং মেমরি ইন্টিগ্রিটির সাধারণ সমস্যাগুলির সমাধান করা
যদি এই ফাংশনগুলি সক্রিয় করার সময় মাথাব্যথা শুরু হয়, তাহলে সাধারণত কিছু ভুল হওয়ার কারণেই এটি হয়। পুরানো বা বেমানান ড্রাইভার এমন কিছু করার চেষ্টা করা যা আর অনুমোদিত নয়। ডিভাইস ম্যানেজার দিয়ে শুরু করে এবং প্রস্তুতকারকের কাছ থেকে ড্রাইভার আপডেট করলে সাধারণত সমস্যার একটি ভালো অংশ সমাধান হয়ে যায়; উপরন্তু, উইন্ডোজের জন্য নিরাপত্তা অনুশীলন এটি সমস্যাযুক্ত ড্রাইভারদের সম্মুখীন হওয়ার সম্ভাবনা হ্রাস করে।
যখন সমস্যাটি আরও গুরুতর হয় এবং সিস্টেমটি স্টার্টআপের সময় গুরুতর ত্রুটির সম্মুখীন হয় অথবা মেমরি ইন্টিগ্রিটি সক্ষম করার পরে খুব অস্থির হয়ে ওঠে, তখন একটি বিকল্প হল উইন্ডোজ রিকভারি এনভায়রনমেন্ট (উইন্ডোজ আরই)প্রথমত, VBS/HVCI-কে জোর করে এমন নীতিগুলি (উদাহরণস্বরূপ, গ্রুপ নীতির মাধ্যমে) অক্ষম করার পরামর্শ দেওয়া হচ্ছে যাতে সেগুলি স্বয়ংক্রিয়ভাবে পুনরায় প্রয়োগ না হয়।
Windows RE থেকে আপনি প্রভাবিত সিস্টেমের রেজিস্ট্রি লোড করতে পারেন এবং সরাসরি এর কী পরিবর্তন করতে পারেন হাইপারভাইসরএফর্সড কোড কোড অন্তর্ভুক্তি Enabled=0 সেট করতে। এটি মেমরি ইন্টিগ্রিটি অক্ষম করে, এবং ডিভাইসটি পুনরায় চালু করার পরে এটি সাধারণত সুরক্ষার সেই স্তর ছাড়াই বুট হবে (যদি আপনি দেখতে চান কিভাবে উইন্ডোজ রেজিস্ট্রি মেরামত করুন (এখানে আপনার জন্য কিছু কার্যকর নির্দেশাবলী আছে।)
এটা মনে রাখা গুরুত্বপূর্ণ যে আপনি যদি HCVI নিষ্ক্রিয় করেন, তবুও এটি সম্ভব হতে পারে VBS সক্রিয় থাকে ডিভাইসগার্ড কীগুলি এখনও কনফিগার করা আছে কিনা বা ক্রেডেনশিয়াল গার্ডের মতো অন্যান্য বৈশিষ্ট্যগুলি সক্রিয় আছে কিনা তা পরীক্ষা করুন। সমস্ত ডিভাইসগার্ড এন্ট্রি, সেইসাথে প্রয়োগকৃত সুরক্ষা নীতিগুলি পর্যালোচনা করলে, কী এখনও সক্রিয় এবং কী নেই তা বুঝতে সাহায্য করে।
হাইপার-ভি ভার্চুয়াল মেশিনে মেমরি ইন্টিগ্রিটি ব্যবহার করা
মেমোরি ইন্টিগ্রিটি কেবল ভৌত মেশিনের জন্যই প্রযোজ্য নয়। এটি হাইপার-ভি ভার্চুয়াল মেশিনগুলি সুরক্ষিত করা একইভাবে যেমন আপনি একটি ঐতিহ্যবাহী কম্পিউটারের সাথে করবেন, তবে শর্ত থাকে যে হোস্ট এবং অতিথি উভয়ের ক্ষেত্রেই কিছু নির্দিষ্ট প্রয়োজনীয়তা পূরণ করা হয়।
শুরু করার জন্য, হাইপার-ভি হোস্টটি কমপক্ষে চলমান থাকতে হবে উইন্ডোজ সার্ভার ২০১৬ অথবা উইন্ডোজ ১০ সংস্করণ ১৬০৭উপরন্তু, ভার্চুয়াল মেশিনটি অবশ্যই হতে হবে প্রজন্ম 2 এবং গেস্ট অপারেটিং সিস্টেম হিসেবে উইন্ডোজের একটি আধুনিক সংস্করণ (সার্ভার ২০১৬ অথবা উইন্ডোজ ১০/১১) থাকতে হবে।
ভার্চুয়াল মেশিনের মধ্যেই, কোর আইসোলেশন এবং মেমোরি ইন্টিগ্রিটি সক্রিয় করার ধাপগুলি কার্যত একটি ফিজিক্যাল পিসির মতোই: উইন্ডোজ সিকিউরিটি ব্যবহার করুন, ডিভাইস সিকিউরিটি অ্যাক্সেস করুন এবং কোর আইসোলেশন সেটিংস সামঞ্জস্য করুন।
তবে এটা মনে রাখা উচিত যে মেমরি ইন্টিগ্রিটি কেবলমাত্র সেই ম্যালওয়্যার থেকে রক্ষা করে যা অতিথি ভার্চুয়াল মেশিনহোস্ট অ্যাডমিনিস্ট্রেটর সম্পূর্ণ নিয়ন্ত্রণ বজায় রাখে এবং উদাহরণস্বরূপ, একটি কমান্ডের সাহায্যে একটি নির্দিষ্ট VM-এর জন্য ভার্চুয়ালাইজেশন-ভিত্তিক নিরাপত্তা অক্ষম করতে পারে। সেট-ভিএমসিকিউরিটি, গেস্ট মেশিনকে VBS ব্যবহার না করতে বাধ্য করা।
সামঞ্জস্যের সীমাবদ্ধতাও রয়েছে: ভার্চুয়াল ফাইবার চ্যানেল অ্যাডাপ্টার মেমোরি ইন্টিগ্রিটি ব্যবহার করার সময় এই অ্যাডাপ্টারগুলি সমর্থিত নয়। এই অ্যাডাপ্টারগুলির একটিকে ভার্চুয়াল মেশিনের সাথে সংযুক্ত করার আগে, এটি VBS থেকে বাদ দিতে হবে। একইভাবে, পাস-থ্রু ডিস্কগুলিতে AllowFullSCSICommandSet বিকল্পটিও HVCI এর সাথে সামঞ্জস্যপূর্ণ নয়, তাই যদি সেই কার্যকারিতা প্রয়োজন হয়, তাহলে সেই VM-তে ভার্চুয়ালাইজেশন-ভিত্তিক সুরক্ষা ত্যাগ করতে হবে।
কখন আপনার কোর আইসোলেশন সক্ষম বা নিষ্ক্রিয় করা উচিত?
টেবিলে এই সমস্ত তথ্য থাকায়, এখন ব্যবহারিক প্রশ্ন জিজ্ঞাসা করার সময় এসেছে: আমার কি কোর আইসোলেশন চালু রাখা উচিত নাকি অক্ষম করা উচিত?নিরাপত্তার ক্ষেত্রে প্রায় সবসময় যেমনটা হয়, উত্তরটি নির্ভর করে সুরক্ষা এবং কর্মক্ষমতার মধ্যে আপনি কতটা ভারসাম্য চান এবং সরঞ্জামটি কীভাবে ব্যবহার করেন তার উপর।
যদি কম্পিউটারটি প্রায়শই সন্দেহজনক উৎসের ওয়েবসাইট ব্রাউজ করার জন্য ব্যবহৃত হয়, অনেক ফাইল ডাউনলোড করে, অজানা সফ্টওয়্যার ইনস্টল করে, অথবা এমন পরিবেশে শেয়ার করা হয় যেমন অফিস, স্কুল অথবা লাইব্রেরিমেমোরি ইন্টিগ্রিটি এবং কার্নেল আইসোলেশন সক্রিয় রাখার জন্য এটি অত্যন্ত সুপারিশ করা হয়, এবং মাইক্রোসফ্ট ডিফেন্ডারের মতো একটি ভালো অ্যান্টিভাইরাস দিয়ে এটি পরিপূরক করুন।
অন্যদিকে, যদি আপনার পিসি মূলত গেমিংয়ের জন্য ব্যবহৃত হয় এবং আপনি লক্ষ্য করেন যে এই বৈশিষ্ট্যগুলি সক্ষম করার ফলে FPS কমে যায়, তোতলানো হয়, এমনকি ড্রাইভারের সাথে সম্পর্কিত নীল পর্দাও দেখা দেয়, তাহলে আপনি কিছু কর্মক্ষমতা বৃদ্ধি কমাতে এগুলি নিষ্ক্রিয় করার কথা বিবেচনা করতে পারেন। তবে, প্রয়োগ করে ক্ষতিপূরণ দেওয়ার পরামর্শ দেওয়া হচ্ছে... মৌলিক ভালো নিরাপত্তা অনুশীলন: সন্দেহজনক সংযুক্তি খুলবেন না, অবিশ্বস্ত ওয়েবসাইট এড়িয়ে চলুন এবং সর্বদা আপনার সিস্টেম আপডেট রাখুন।
যেসব দল অত্যন্ত গুরুত্বপূর্ণ কাজ করে, সংবেদনশীল তথ্য সংরক্ষণ করে, অথবা আরও জটিল অবকাঠামোর অংশ, তাদের ক্ষেত্রে কোম্পানিগুলির স্বাভাবিক পদ্ধতি ঠিক বিপরীত: VBS, HCCI এবং সম্ভব হলে হার্ডওয়্যার স্ট্যাক সুরক্ষা সক্ষম করুনড্রাইভারের সামঞ্জস্যতা পরীক্ষা করুন এবং একটি শক্তিশালী প্রতিরক্ষার জন্য সম্পদের সামান্য খরচকে মূল্য হিসাবে গ্রহণ করুন।
কোর আইসোলেশন এবং মেমোরি ইন্টিগ্রিটি কীভাবে কাজ করে, আপনার হার্ডওয়্যারের উপর এর প্রভাব এবং গ্রাফিক্যাল ইন্টারফেস, রেজিস্ট্রি, নীতি এবং রিমোট অ্যাডমিনিস্ট্রেশন টুলের মাধ্যমে তারা যে কনফিগারেশন বিকল্পগুলি অফার করে সেগুলি সম্পর্কে পুঙ্খানুপুঙ্খ ধারণা আপনাকে অন্ধ না হয়ে আপনার কর্মপ্রবাহের সাথে উইন্ডোজকে খাপ খাইয়ে নিতে সাহায্য করে। বিজ্ঞতার সাথে সিদ্ধান্ত নাও আপনার সিস্টেমের কার্নেল কতটা সুরক্ষিত করতে চান?
