HVCI (Hypervisor Enforced Code Integrity) è una funzionalità di sicurezza introdotta in Windows 10 e versioni successive oltre che in Windows Server 2016 e seguenti che consente di proteggere il kernel di sistema da attacchi informatici che sfruttano vulnerabilità a livello di memoria o nei driver. Funziona come un’ulteriore misura di sicurezza che impedisce l’esecuzione di codice non autorizzato o potenzialmente dannoso all’interno del kernel di Windows.
Il funzionamento di HVCI si basa sull’utilizzo di un’architettura a due livelli: il primo livello è costituito dal sistema operativo stesso, che viene eseguito in modalità protetta (alla protezione del kernel contribuiscono una serie di funzionalità di sicurezza, come la firma digitale applicata ai vari processi e il controllo dell’integrità del codice); il secondo livello è un hypervisor, un software di virtualizzazione che consente di abilitare un isolamento dei processi dal resto del sistema garantendone la sicurezza.
L’hypervisor esegue un controllo sulla firma digitale e sull’integrità del codice di ogni driver o modulo di sistema che viene caricato, prima che il kernel lo esegua.
HVCI contribuisce perciò a impedire l’esecuzione di codice non autorizzato o potenzialmente dannoso all’interno del kernel di Windows. È parte integrante della piattaforma Virtualization-based Security (VBS) di Windows che sfrutta a sua volta la virtualizzazione in hardware per proteggere il sistema operativo da minacce avanzate.
Essendo una forma di protezione basata sulla virtualizzazione, tuttavia, si paga un certo scotto a livello prestazionale che in alcuni casi può risultare rilevabile: ne abbiamo parlato nell’articolo in cui vediamo come VBS può rallentare le prestazioni in Windows.
Venendo incontro alle istanze degli utenti, Microsoft ha rilasciato il nuovo strumento di controllo Memory Integrity Scan Tool. Scaricabile gratuitamente dal sito Microsoft, Memory Integrity Scan Tool si occupa di controllare che il dispositivo in uso sia effettivamente compatibile con la funzionalità di protezione HVCI.
Per utilizzare il software, basta effettuarne il download quindi selezionare la versione compatibile con l’architettura del sistema in uso e fare infine doppio clic sul file hvciscan.exe
da una finestra del terminale aperta con i privilegi amministrativi. Come ultimo passo, è bene esaminare attentamente il responso fornito alla ricerca di eventuali incompatibilità.
Come controllare se HVCI è abilitata
Per verificare se HVCI è attivata in Windows, è sufficiente seguire alcuni semplici passaggi. In primis si può digitare cmd
nella casella di ricerca del sistema operativo quindi scegliere la voce Esegui come amministratore. Nella finestra del terminale si deve quindi digitare il comando che segue:
Se analizzando l’output si trovasse hypervisorlaunchtype Auto
al di sotto di identificatore {current}
, significa che la funzonalità HVCI è abilitata e sta attivamente proteggendo il sistema. Se il risultato fosse hypervisorlaunchtype Off
, significa che HVCI non è attivata.
I seguenti comandi permettono, rispettivamente, di abilitare e disattivare HVCI:
Lo strumento rilasciato pubblicamente in questi giorni da Microsoft aiuta a verificare se con HVCI attivo possano presentarsi eventuali problemi.