كيفية تفعيل سلامة الذاكرة لحماية نظام التشغيل ويندوز من الثغرات الأمنية

  • تُعد سلامة الذاكرة جزءًا من الأمن القائم على المحاكاة الافتراضية (VBS) وتحمي النواة من خلال التحكم في تنفيذ الذاكرة وتخصيصها.
  • يعتمد تفعيلها على متطلبات الأجهزة الحديثة، وبرامج التشغيل المتوافقة، والتكوين الصحيح لـ VBS وUEFI وسياسات الأمان.
  • قد يؤدي ذلك إلى انخفاض طفيف في الأداء، خاصة في الألعاب، ولكنه يوفر حماية أساسية ضد الثغرات المتقدمة وبرامج التشغيل الخبيثة.
  • توجد أدوات وأساليب متعددة لتشخيص مشاكل التنشيط، وتعديل سلوكه، واستخدامه أيضًا في الأجهزة الافتراضية Hyper-V.
Daniel Terrasa

16 دقيقة

سلامة الذاكرة في نظام التشغيل ويندوز

La سلامة ذاكرة ويندوز لقد أصبح أحد خيارات الأمان التي تراها في تطبيق أمان ويندوزيبدو الأمر مهمًا، لكنك سمعتَ أيضًا أنه قد يؤثر سلبًا على معدل الإطارات في ألعابك. من الطبيعي أن تشعر بالحيرة بين استغلال كامل إمكانيات جهازك وحمايته جيدًا من البرامج الضارة والثغرات الأمنية.

قبل اتخاذ قرار بشأن تفعيلها أو تعطيلها، من المهم أن تفهم بالضبط ما تفعله، وما الذي يكسبه نظامك من حيث الحماية، ومقدار ما قد تخسره في الأداء. كيفية التعامل مع كل هذه الإعدادات (VBS، برنامج إدارة الأجهزة الافتراضية، برامج التشغيل، إلخ) دون إفساد الأمور والانتهاء بجهاز كمبيوتر غير مستقر أو أقل أمانًا.

ما هي سلامة الذاكرة في نظام التشغيل ويندوز وكيف تعمل؟

الدعوة "سلامة الذاكرة" في نظام ويندوز في الواقع، هي واجهة سهلة الاستخدام لتقنية أمنية أوسع نطاقًا: الأمن القائم على المحاكاة الافتراضية، أو VBS. كلاهما متلازمان ومصممان لحماية الجزء الأكثر حساسية في النظام، وهو النواة، من الهجمات المتطورة للغاية.

يعتمد نظام التشغيل ويندوز على برنامج مراقبة متكامل للنظام نفسه لإنشاء بيئة افتراضية معزولة تعمل كجذر للثقة. تفترض هذه البيئة أنه في أسوأ الأحوال، قد يتعرض نظام التشغيل للاختراق. لذلك، تنقل بعض عمليات التحقق الأمني ​​الهامة إلى مساحة محمية منفصلة عن نظام ويندوز "العادي".

وفي إطار تلك البيئة المحمية، يحدث ما يلي: سلامة التعليمات البرمجية في وضع النواةباختصار، يتحقق النظام من أن برامج التشغيل والبرامج التي ترغب في التشغيل في نواة النظام موقّعة وموثوقة ولم يتم التلاعب بها. إذا تسرب أي شيء لا يتوافق مع القواعد، فلن يتم تشغيله.

وبالتالي، فإن سلامة الذاكرة تضيف طبقة أخرى: يتحكم هذا النظام في كيفية تخصيص الذاكرة واستخدامها ويقيدها. من النواةلا تُعتبر صفحات ذاكرة النواة قابلة للتنفيذ إلا بعد اجتيازها فحوصات السلامة. علاوة على ذلك، بمجرد أن تصبح قابلة للتنفيذ، لا يمكن الكتابة عليها. وهذا يُعقّد الأمور بشكل كبير بالنسبة للمخترقين الذين يحاولون حقن التعليمات البرمجية أو تعديل هياكل الذاكرة الحساسة.

من بين أمور أخرى، هذه الميزة يحمي من تعديل خريطة بتات حماية تدفق التحكم (CFG) في وضع النواة ويعزز عملية سلامة التعليمات البرمجية التي تتحقق من أن العمليات ذات الامتيازات لديها شهادات صالحة وموثوقة.

كيفية تفعيل سلامة الذاكرة لحماية نظام التشغيل ويندوز من الثغرات الأمنية

متطلبات الأجهزة ومتى يتم تفعيلها تلقائيًا

لا تستطيع مايكروسوفت تفعيل هذه الحماية ببساطة على أي جهاز كمبيوتر قديم، لأنها تعتمد على معالجات حديثة وبرامج ثابتة وميزات تخزين متطورة. لذلك، يتم تمكين سلامة الذاكرة تلقائيًا فقط إذا كانت المعدات تستوفي سلسلة من المتطلبات الدنيا.

في عمليات التثبيت النظيفة لنظام التشغيل Windows 11، وفي بعض إصدارات Windows 10 (مثل إصدارات الوضع S) على الأجهزة المتوافقة، تأتي سلامة الذاكرة المصنع نشطكما يتم تفعيلها افتراضياً على الأنظمة المصنفة على أنها "أنظمة أساسية محمية". أما في الأنظمة الأخرى، فيُترك للمستخدم أو المسؤول تحديد ما إذا كان سيتم تفعيلها أم لا.

بشكل عام، يجب أن يمتلك الفريق معالج حديث مزود بدعم متقدم للتقنيات الافتراضية وحلول للتخفيف من المخاطرعلى سبيل المثال، معالجات Intel من الجيل الثامن أو أحدث، أو معالجات AMD من معمارية Zen 2 فصاعدًا، أو معالجات Qualcomm Snapdragon الحديثة. بالإضافة إلى ذلك، يتطلب x64 حدًا أدنى من غيغابايت من ذاكرة الوصول العشوائي 8 لضمان عدم تعطل النظام عند إعداد البيئة الافتراضية.

يشترط أيضاً أن يكون قرص النظام SSD بسعة 64 جيجابايت على الأقليجب تفعيل خاصية المحاكاة الافتراضية في BIOS/UEFI، ويجب أن تكون برامج التشغيل المثبتة على النظام متوافقة مع HVCI (سلامة التعليمات البرمجية المفروضة بواسطة برنامج المحاكاة الافتراضية). بدون هذه المتطلبات، لن يتم التنشيط التلقائي، وقد تبقى VBS أو سلامة الذاكرة معطلة.

يمكن لمصنعي المعدات الأصلية والمسؤولين الذين يقومون بإعداد الصور فرض تمكين سلامة الذاكرة افتراضيًا عن طريق تكوين مفاتيح تسجيل محددة، بما في ذلك قيم مثل يمكن لمستخدمي تطبيق Smart Spaces مع Google Wallet الاستفادة من دخول محمول دون لمس مع أي قارئ HID® Signo™ مُمكَّن بتقنية NFC., تم التمكين بواسطة ومعرف التمهيد (BootId) الذي يستخدمه نظام التشغيل Windows للتراجع عن الوظيفة إذا اكتشف أعطال تمهيد خطيرة ناجمة عنها.

كيفية تفعيل سلامة الذاكرة (VBS و HVCI) من النظام

بالإضافة إلى المفتاح الظاهر في أمان ويندوز، يتم التحكم في سلامة الذاكرة وVBS بواسطة مفاتيح وسياسات التسجيل مما يسمح بضبط السلوك بدقة. وهذا مفيد بشكل خاص في الشركات أو المؤسسات.

في سجل نظام التشغيل ويندوز، تتم إدارة الأمان القائم على المحاكاة الافتراضية من خلال المسار HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuardيحدد هذا ما إذا كان VBS ممكّنًا، وما هو مستوى أمان النظام الأساسي المطلوب (التمهيد الآمن فقط، التمهيد الآمن + حماية DMA، وما إلى ذلك)، وما إذا كان التكوين مقفلًا من UEFI، وما إذا كانت سلامة الذاكرة (HVCI) ممكّنة.

على سبيل المثال، لتمكين VBS وسلامة الذاكرة مع التكوين النموذجي، يتم استخدام مدخلات مثل EnableVirtualizationBasedSecurity=1 y تتطلب ميزات أمان النظام الأساسي مع قيم تحدد نوع أمان البرامج الثابتة الإلزامي (على سبيل المثال، 1 للتمهيد الآمن فقط أو 3 للتمهيد الآمن + حماية DMA).

تعتمد سلامة الذاكرة نفسها على المفتاح الفرعي DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrityهذا هو المكان الذي تم وضع العلامة فيه مُمكّن=1 لتفعيل هذه الوظيفة، يمكنك التحقق مما إذا كانت الحالة مقفلة على مستوى البرامج الثابتة باستخدام المفتاح. مقفل بقيم مختلفة اعتمادًا على ما إذا كان قفل UEFI مطلوبًا أم لا.

بالنسبة للبيئات التي ترغب فيها بالوصول إلى أقصى حد، هناك خيار لتحديد السياسة على النحو التالي: إلزاميفي هذا الوضع، إذا فشل برنامج إدارة الأجهزة الافتراضية، أو النواة الآمنة، أو أي من وحداتها الرئيسية في التحميل عند بدء التشغيل، فسيتوقف النظام مباشرةً لم تستمر عملية الإقلاعإنها حماية قوية للغاية تعزز الأمن. ومع ذلك، قد تعقد عملية الاستعادة في حال وجود مشاكل في التوافق.

تكوين سلامة الذاكرة

التحكم عبر تطبيق التحكم للشركات وPowerShell

في شبكات الشركات، عادةً ما تكون الطريقة الأنسب لإدارة سلامة الذاكرة من خلال التحكم في التطبيقات للأعمال (المعروف سابقًا باسم WDAC)يتيح لك هذا تفعيل HVCI جنبًا إلى جنب مع قواعد التحكم في التطبيقات من السياسات المركزية.

يتيح لك معالج التحكم في التطبيقات إنشاء السياسات أو تعديلها وتحديد خيار "سلامة الكود المحمي بواسطة المشرف" في قسم القواعد. وبهذه الطريقة، عند تطبيق السياسة، تبدأ أجهزة الكمبيوتر في فرض سلامة الذاكرة وفقًا للمعايير المحددة.

هناك طريقة أخرى وهي استخدام PowerShell. باستخدام أوامر مثل Set-HVCIOptions يمكن تعديل خيارات HVCI تلقائيًا عبر أجهزة متعددة. وهذا مفيد جدًا في برامج النشر أو التكوين الأولي للمعدات.

إذا كنت تعمل مباشرة مع ملفات XML الخاصة بـ App Control، فيمكنك أيضًا تعديل قيمة العنصر. ضمن السياسة، يتم ضبط سلوك سلامة التعليمات البرمجية المحمية بواسطة المشرف بدقة دون المساس بالسجل واحداً تلو الآخر على كل جهاز.

لمنع المستخدم النهائي من تشغيل أو إيقاف تشغيل سلامة الذاكرة من واجهة أمان ويندوز، يمكن للمسؤول التلاعب بالمفتاح تم التمكين بواسطةيؤدي تعديل هذه القيمة أو إزالتها إلى ظهور واجهة المستخدم باهتة وعرض رسالة مثل "يتم إدارة هذا الإعداد بواسطة المسؤول الخاص بك".

كيفية التحقق من تفعيل VBS وسلامة الذاكرة

لا يكفي الاعتماد على مفتاح بسيط، خاصة في البيئات التي تُعدّ فيها الحماية أمرًا بالغ الأهمية. يوفر نظام ويندوز عدة طرق لـ تحقق من الحالة الفعلية لـ VBS وسلامة الذاكرة باستخدام WMI والأدوات الرسومية والسجلات.

تُعد فئة WMI واحدة من أكثر الفئات شمولاً. Win32_DeviceGuardيمكن الوصول إليه من خلال PowerShell بصلاحيات مرتفعة باستخدام الأمر Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuardتوضح المخرجات تفاصيل الحمايات المتاحة القائمة على الأجهزة والحمايات التي يتم تمكينها حاليًا.

تشمل النتائج مجالات مثل خصائص الأمان المتاحة. يشير هذا إلى ما إذا كان الجهاز يدعم برامج إدارة الأجهزة الافتراضية، أو التمهيد الآمن، أو حماية الوصول المباشر إلى الذاكرة، أو حماية NX، أو تخفيف مخاطر إدارة الذاكرة الخاصة، أو MBEC/GMET، أو محاكاة APIC. وتُمثل كل ميزة بقيمة عددية محددة.

وتشمل المجالات المهمة الأخرى ما يلي:

  • الخصائص الأمنية المطلوبةيلزم توفير ميزات الأمان لتفعيل VBS.
  • تم تكوين خدمات الأمان. للتحقق مما إذا كانت ميزات Credential Guard، وسلامة الذاكرة، وحماية التمهيد الآمن، وقياس البرامج الثابتة، وحماية المكدس المطبقة على الأجهزة، وما إلى ذلك، قد تم تكوينها.
  • خدمات الأمن قيد التشغيلالأمر نفسه كما سبق، ولكن بالنسبة للخدمات التي تعمل حاليًا.

من المهم أيضاً الانتباه إلى حالة الأمان القائمة على المحاكاة الافتراضيةحيث تشير قيمة محددة إلى ما إذا كان VBS معطلاً، أو ممكّناً ولكن لم يتم تشغيله، أو ممكّناً ويعمل. وأخيراً، يمكن التحقق من حالة سلامة الذاكرة المباشرة في مفتاح السجل المتطاير. HKLM\System\CurrentControlSet\Control\CI\State\HVCIEnabledوكذلك في المعلومات الواردة من MsInfo32 (في قسم "تنفيذ خدمات الأمان القائمة على المحاكاة الافتراضية").

SkTool وموارد متقدمة أخرى لتشخيص VBS

بالنسبة للسيناريوهات الأكثر تعقيدًا، مثل مشاكل المشرف الافتراضي، أو مفاتيح الأمان، أو أخطاء بدء تشغيل VBS، تُضمّن مايكروسوفت أداة مساعدة في Windows SDK تُسمى SkTool مما يبسط التشخيص بشكل كبير.

يوجد برنامج SkTool في المجلد بن من حزمة تطوير البرامج (SDK)، في مسار مثل "C:\Program Files (x86)\Windows Kits\10\bin\10.0.xxx\ "، أين يمكن أن يكون x64 أو arm64 أو ما شابه. عند تشغيله بدون معلمات، فإنه يعرض الحالة الحالية للمشرف الافتراضي وVBS، مما يشير بوضوح إلى سبب بدء تشغيله أو سبب فشل بدء تشغيله.

يدعم البرنامج العديد من مُعدِّلات سطر الأوامر، مثل /حالة (معلومات عامة حول برنامج إدارة الأجهزة الافتراضية ونواة النظام الآمنة)، /lkey (حالة المفتاح الرئيسي لـ VSM) أو /التخفيفات (إجراءات التخفيف النشطة). يُعدّ مُعامل المفتاح الرئيسي مفيدًا جدًا في دراسة مشاكل ميزة Windows Hello أو غيرها من ميزات الأمان المحسّنة عندما لا يقبل النظام رمز PIN أو خاصية التعرف على الوجه.

على سبيل المثال، إذا تم تعطيل ميزة التمهيد الآمن أو طرأ تغيير ما على الحالة التي يقيسها جهاز TPM، فقد يعكس برنامج SkTool ذلك. لا يمكن فتح مفتاح VSM الرئيسي، مع الإشارة إلى رمز الخطأ المحدد وشرح أنه تم إنشاء مفتاح جديد وتخزينه في متغير UEFI.

بالإضافة إلى أداة SkTool، للتحقق مما حدث مع التفعيل التلقائي لسلامة الذاكرة أثناء التثبيت، يمكنك الرجوع إلى ملف setupact.logابحث عن سلسلة HVCI وتحقق مما إذا تم تفعيلها بشكل صحيح أو ما إذا قرر النظام عدم تمكينها لأنها لم تستوفِ بعض المتطلبات، مع الإشارة إلى رموز مثل: مشاكل التوافق مع VBS مع تفاصيل عن حالات عدم التوافق التي تم اكتشافها (بنية غير مدعومة، نقص في SLAT، غياب جدول سمات ذاكرة UEFI، قرص صغير جدًا، لا يوجد SSD، إلخ).

التأثير على الأداء والألعاب: هل يستحق تعطيله؟

يُعدّ التوازن بين الأمان والأداء، وخاصةً في مجال الألعاب، أحد أهمّ الأسئلة التي تشغل بال العديد من المستخدمين. وهناك أدلة وتوصيات، حتى من مايكروسوفت نفسها، تشير إلى ذلك. يمكن أن تؤدي سلامة الذاكرة ووظائف VBS الأخرى إلى تقليل معدل الإطارات في الثانية (FPS) بنسبة مئوية معينة.حوالي 5% في المتوسط ​​اعتمادًا على اللعبة والأجهزة.

في بعض تحديثات نظام التشغيل ويندوز 11، لوحظت حالات حيث، بالإضافة إلى ميزات أخرى مثل منصة الآلة الافتراضية (على سبيل المثال، عند استخدامها لتشغيل تطبيقات أندرويد)، كان التأثير على بعض العناوين أكثر وضوحًا، خاصة في فرق ذات موارد عادلة أو مع وحدات معالجة الرسومات حيث تكون أي تكاليف إضافية ملحوظة.

أوصت مايكروسوفت، في الوثائق والبيانات المتعلقة بمشاكل أداء الألعاب، حتى المستخدمين الأكثر تطلبًا قم بتعطيل كل من VBS وسلامة الذاكرة مؤقتًا عندما يحين وقت تشغيلها، ثم إعادة تنشيطها بعد ذلك. تكمن المشكلة العملية في أن هذه التغييرات تتطلب عادةً إعادة تشغيل الكمبيوتر، مما يجعل العملية مرهقة بعض الشيء عند القيام بها يوميًا.

من وجهة نظر أمنية، يجدر التذكير بأن هذه الميزة تعقد الهجمات على النواة و يقوم بإيقاف برامج التشغيل أو الوحدات النمطية ذات التوقيعات المشكوك فيها أو المعرضة للخطر.إذا كنت تستخدم برنامج Windows Defender فقط، وتقوم بتنزيل البرامج من مصادر لا تتحكم بها دائمًا، ولا ترغب عمومًا في تحمل الكثير من المخاطر، فإن تعطيل سلامة الذاكرة بشكل دائم يجعلك أكثر عرضة لأنواع معينة من البرامج الضارة المتقدمة.

يتضمن القرار العملي عادةً تقييم مستوى المخاطر لديك: ما إذا كانت المعدات مخصصة للعمل، أو كنت تدير معلومات حساسة، أو كنت تميل إلى تثبيت عدد أقل من الأشياء "غير العادية". يُنصح بترك خاصية سلامة الذاكرة مُفعّلة.إذا كان جهاز الكمبيوتر الخاص بك مخصصًا للألعاب فقط ويسعى إلى استخراج كل إطار في الثانية، فقد تفكر في إيقاف تشغيله أثناء اللعب، مع العلم أنك تتحمل مستوى أعلى من المخاطر، خاصة إذا قمت بتنزيل الملفات التنفيذية من مصادر غير موثوقة.

حلول خطوة بخطوة عند فشل تشغيل خاصية سلامة الذاكرة

عندما يصر النظام على أنه لا يستطيع تمكين سلامة الذاكرة، يمكن اتباع عدة حلول، من الأقل إلى الأكثر "عدوانية"، حتى يتم استعادة الوظيفة التشغيلية دون المساس باستقرار المعدات.

الخطوة الأولى عادةً هي المراجعة و تثبيت جميع التحديثات المتوفرة من الإعدادات > تحديث ويندوز. في كثير من الأحيان، يؤدي تحديث برنامج التشغيل أو تصحيح التوافق إلى حل المشكلة دون الحاجة إلى إجراء أي تغييرات أخرى.

بعد ذلك، انتقل إلى أمان ويندوز > أمان الجهاز > عزل النواة، وعند ظهور رسالة الخطأ، انقر على "التحقق من وجود برامج تشغيل غير متوافقة". إذا كان برنامج تشغيل معين مدرجًا هناك، فإن أفضل إجراء هو محاولة قم بتحديثه من إدارة الأجهزة عن طريق البحث عن برامج التشغيل حسب الشركة المصنعة أو عن طريق تنزيل أحدث إصدار مباشرة من موقع المورد الإلكتروني.

إذا لم تُظهر القائمة بوضوح الملف الذي يُسبب المشكلة، يمكنك استخدام موجه الأوامر بصلاحيات المسؤول. ومن هناك، يمكنك تشغيل أوامر مثل: dism /online /get-drivers /format:table لعرض قائمة بجميع برامج التشغيل المثبتة. ومن ثم، يتم تحديد "الاسم المنشور" الخاص ببرنامج التشغيل المشبوه وتدوينه لاستخدامه في عمليات أخرى.

في الحالات الأكثر تطرفاً، عندما يتعذر التحديث، إلغاء تثبيت برنامج التشغيل قسراً باستخدام أدوات مثل pnputil، يمكنك إزالة الحزمة من النظام ثم تثبيت إصدار متوافق أو بديل. يُنصح دائمًا بإنشاء نسخة احتياطية قبل محاولة هذا النوع من الإجراءات.

إجراءات إصلاح أخرى عند فشل جميع الحلول الأخرى

لا تنجم جميع مشاكل سلامة الذاكرة عن برامج التشغيل. في بعض الأحيان توجد مشاكل أخرى كامنة. ملفات النظام التالفة، أو البرامج الضارة، أو نظام ويندوز مخترق بشدة بسبب سنوات من الاستخدام، أو تغييرات في الأجهزة، أو أخطاء في سجل النظام.

تُعد خطوة استخدام مدقق ملفات النظام (SFC) وعندما تشك في وجود مشكلة في الجهاز، قم بتشغيل Memtest64فتح موجه الأوامر كمسؤول وتشغيله sfc /scannowيقوم نظام ويندوز بفحص ملفات النظام الأساسية واستبدال أي ملفات تالفة أو مفقودة. بعد الفحص، يُنصح بإعادة تشغيل الجهاز ومحاولة تفعيل خاصية سلامة الذاكرة مرة أخرى من خلال إعدادات أمان ويندوز.

من الجيد أيضاً أن تقضي بعض الوقت تحليل كامل للبرمجيات الخبيثة يمكنك إزالة الفيروس باستخدام أمان ويندوز (الحماية من الفيروسات والتهديدات > خيارات الفحص > فحص كامل) أو باستخدام حل موثوق من جهة خارجية. تعتمد بعض الإصابات على التلاعب بالعمليات والخدمات في الذاكرة، وقد تتداخل مع تفعيل هذه الميزة.

إذا ظل النظام عنيداً على حاله، فإن الخيار الوحيد المتبقي هو... الوضع الآمنإعادة التشغيل واختيار الإقلاع في الوضع الآمن يُحمّل الحد الأدنى من برامج التشغيل فقط. ومن هناك، يمكنك تجربة تفعيل سلامة الذاكرة ومراجعة الأحداث. كما يمكنك تنظيف البرامج التي تُسبب مشاكل بأقل قدر من التداخل.

في الحالات الخطيرة للغاية، حيث يصبح الجهاز غير مستقر أو ببساطة لا يبدأ التشغيل بشكل صحيح بعد محاولة فرض VBS أو HVCI، يمكنك اللجوء إلى بيئة استرداد Windows (Windows RE)هناك يمكنك تعطيل سياسات المجموعة ذات الصلة، وتعديل مفاتيح التسجيل لوضعها مُمكّن=0 في تكوين سلامة الذاكرة وإعادة النظام إلى حالة أساسية أكثر تسمح له بالتشغيل بشكل طبيعي.

Hyper-V ويندوز 11

سلامة الذاكرة داخل الأجهزة الافتراضية Hyper-V

لا تقتصر سلامة الذاكرة على الأجهزة المادية فقط، بل يمكنها أيضًا حماية الآلات الافتراضية المستندة إلى Hyper-V تقريبًا بنفس الطريقة التي يحمي بها جهاز الكمبيوتر العادي، بشرط استيفاء متطلبات معينة.

مقدم برنامج فرط-V يجب أن يكون قيد التشغيل على الأقل ويندوز سيرفر 2016 أو ويندوز 10 الإصدار 1607بالإضافة إلى ذلك، يجب أن تكون الآلة الافتراضية من الجيل الثاني بنظام تشغيل ضيف حديث (Windows 10 أو Windows 11 أو Windows Server 2016 أو أحدث). داخل الآلة الافتراضية نفسها، تتشابه خطوات تفعيل VBS وسلامة الذاكرة تقريبًا مع تلك الخاصة بالآلة الفعلية.

تركز الحماية التي توفرها على منع البرامج الضارة التي تعمل داخل الجهاز الظاهري من اختراق نواته. ومع ذلك، فهي لا تعزز أمان المضيف بشكل إضافي. ولا يزال بإمكان مسؤول المضيف التحكم في، على سبيل المثال، تعطيل سلامة ذاكرة الجهاز الظاهري باستخدام أوامر مثل Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true.

هناك بعض القيود. عناصر مثل محولات قناة الألياف الافتراضية لا تتوافق هذه الخيارات مع سلامة الذاكرة، وإذا كنت ترغب في استخدامها، فيجب عليك استبعاد الجهاز الظاهري من VBS من خلال إعدادات أمان الجهاز الظاهري. وينطبق الأمر نفسه على خيارات مثل AllowFullSCSICommandSet على الأقراص ذات التمرير المباشر، والتي لا تتوافق مع HVCI.

في نظام ويندوز مع تقنية المحاكاة الافتراضية المتداخلة، يمكنك تثبيت دور Hyper-V داخل جهاز افتراضي مُفعّل فيه أيضًا تكامل الذاكرة. مع ذلك، يجب عليك اتباع تسلسل تكوين محدد والتأكد من استيفاء كل من الجهاز الافتراضي المضيف والضيف للمتطلبات.

متى يجب إبقاءه نشطاً ومتى يجب تعطيله؟

السؤال الأهم، خاصةً إذا كنت مهتمًا بمعدل الإطارات في الثانية في الألعاب، هو ما إذا كان من المجدي إبقاء هذه الميزة مُفعّلة دائمًا. في معظم أجهزة الكمبيوتر الحديثة وللاستخدام العام، إن التضحية بالأداء معقولة مقارنة بالقفزة النوعية في السلامة. التي تحصل عليها ضد ثغرات نواة النظام الخبيثة وبرامج التشغيل.

إذا كنت لا تستخدم برامج مكافحة فيروسات خارجية، وتعتمد على برنامج Windows Defender، وتقوم بتنزيل البرامج بشكل متكرر من مواقع غير موثوقة، فإن سلامة الذاكرة تُضيف طبقة حماية إضافية مهمة. فهي تُقلل من مساحة الهجوم وتُجبر برامج تشغيل الأجهزة على الخضوع لفحص أكثر صرامة.

من ناحية أخرى، إذا كانت أولويتك المطلقة هي الأداء التنافسي في الألعاب وكل إطار مهم، فيمكنك التفكير في استراتيجية متوسطة: قم بتعطيل VBS وسلامة الذاكرة عندما تعلم أنك ستقضي وقتك في لعب الألعاب فقط. ويمكنك إعادة تفعيلها للتصفح اليومي، وتطبيقات المكتب، وما إلى ذلك. لكن تذكر أن هذه التغييرات تتطلب إعادة تشغيل الجهاز. الأمر ليس سهلاً كضغط زر واحد.

بالنسبة للمستخدمين المتقدمين أو المسؤولين، يكمن المفتاح في فهم شامل للبيئة. بدءًا من محطات العمل التي تتعامل مع البيانات الحساسة وصولًا إلى محطات العمل الإدارية، يستفيد الجميع عادةً من تفعيل سلامة الذاكرة كجزء من استراتيجية أمنية شاملة. مدعوم من النسخ الاحتياطي وسياسات تحديث صارمة.

في نهاية المطاف، يتيح فهم كيفية عمل VBS، وكيفية تفاعله مع برامج التشغيل والبرامج الثابتة والأداء، وكيفية تشخيص أخطائه، اتخاذ قرارات أكثر استنارة: الحفاظ على سلامة ذاكرة نظام التشغيل ويندوز كحليف قوي ضد الهجمات المتطورةأو تعطيله في أوقات محددة للغاية، مع العلم التام بما يتم كسبه وخسارة كل حالة.

قائمة التحقق من الأجهزة قبل الترقية إلى ويندوز 11
المادة ذات الصلة:
قائمة التحقق من الأجهزة قبل الترقية إلى ويندوز 11