Windows 11 — операционная система следующего поколения для персональных компьютеров и рабочих станций, разработанная корпорацией Microsoft в рамках семейства Windows NT, является наследницей Windows 10.
Advanced member
Статус: Не в сети Регистрация: 16.05.2010 Откуда: Ленинград Фото: 634
Phenomenum писал(а):
А они планируют как-то оптимизировать свою "Защиту целостности ядра", чтобы она в Кубейсе мне не долбила пиками по ЦП? Пока идут нафиг со всеми своими защитами.
Кубик лицушный?, неужели на 7900x цпу там проблемы могут быть?)) , если в кубике "играете"/"пишете" через Wasapi,Direct sound, или MME - звук пойдёт в том числе через системный микшер- Audiodg.exe, а он может внутри передескредетировать поток под настройки Ос, и в целом давать пики. Ms его вынесла из ядра недавно в пользовательское пространство, + он теперь работает в защищённом контейнере, по этому если на него навешены внутри эффекты обработки, или куча dsp плагинов через кубик "дёргают его" - могут быть разные сюрпризы. в ASIO по идее не должно быть проблем.
На вашу систему, кстати, вышла новая AGESA ComboAM5 PI 1.3.0.1b., https://rog.asus.com/ru/motherboards/ro ... desk_bios/ , если работаете в режимах с изоляцией памяти, я бы обновил frimware , драйвер чипсета и ось. Для начала. Т.к амд постоянно пилила инициализацию GMET и закрывала её баги через UEFI/Agesa frimware апдейты, а это напрямую влияет на скорость работы в HCVI режиме в том числе. Дело ваше конечно. Но кто не ленится обновлять софт - у тех обычно всё ок. 7900x всё таки более чем актуальный цпу и с GMET в кремнии, там максимум должно быть 1-2% штрафа с VBS+HCVI
я просто удивлён что там может не переварить такой процессор да же в этих режимах))
Member
Статус: Не в сети Регистрация: 23.06.2019 Фото: 0
kiberman Дело не в ЦП конечно же. Как-то Core Isolation взаимодействует с Кубиком, что DSP дает постоянные пики. И это ASIO ессно. В пустом проекте. На прошлый выхах попробовал ещё раз — такая же фигня. Отключаешь CI — всё ок.
Advanced member
Статус: Не в сети Регистрация: 16.05.2010 Откуда: Ленинград Фото: 634
Phenomenum писал(а):
В пустом проекте. На прошлый выхах попробовал ещё раз — такая же фигня. Отключаешь CI — всё ок.
ну если кубик ломанный, тут гарантий не дам - как будет себя вести он в конкретных условиях, это вам самому надо смотреть списки драйверов и какой ещё компонент DAW или связанный с ним при работе, может давать проблему. А по frimware, и драйвер чипсета - последние версии, с последней осью и прошей, очень желательны. Тем более все новые пакеты на чипсет идут как CETCOMPACT совместимые - Амд не просто так их обновляет, как и Интел свои IPP/DTT пакеты.
Main Character
Статус: Не в сети Регистрация: 03.12.2004
stockclock писал(а):
изоляцию ядра лучше включать с Secure boot
На личном ПК это не дает примерно ничего. С изоляцией или без пользователь может одним кликом подгрузить драйвер, который получит полный контроль над системой. Вся разница сводится к потерянной производительности, а иногда и различным глюкам, как правило из-за тех же драйверов. Только при работе под ограниченной учеткой есть хоть какой-то смысл в этой фиче.
_________________ Исследования показывают, что хранить лестницу в доме опаснее, чем ружье. Поэтому у меня 10 ружей, на случай, если какой-нибудь псих попытается протащить лестницу.
С изоляцией или без пользователь может одним кликом подгрузить драйвер, который получит полный контроль над системой.
Винда блочит загрузку неподписанных или известных дырявых драйверов если включена эта опция:
>
Вложение:
MVDB.jpg [ 43.57 КБ | Просмотров: 860 ]
Даже пользователь не сможет их загрузить. У меня к примеру весьма распространённый драйвер для системных утилит - winring0x64.sys блочится не только Виндой, но и Defender его в карантин вносит. Основная задача Core Isolation - это саму Винду уберечь от попыток взлома. Memory integrity(HCVI) блочит смену флага страниц памяти с чтение на исполнение, так что записать и исполнить код в пространстве другого драйвера нельзя, а Kernel-Mode Stack Protection от атак переполнения буфера защищает, путём хранения копии стека. Ну и куча опций в Exploit protection разделе. В целом небесполезная вещь в теории. Одна проблема: основной источник заразы ломанный софт/игры и просто сомнительные утилиты. Обычно сам пользователь даёт им достаточно прав при установке или запуске для того чтобы прописаться в автозагрузку и получить доступ к сети, а большего им и не надо, могут майнить или работать на ботнет и так. Так что защита эта против каких-то сетевых эксплоитов которые могут ломать Винду удалённо, без участия пользователя, поднимать привилегии, шифровать диски и распространять себя дальше. Теперь это все по дефолту включено и поэтому давненько уже не слышно о массовых атаках подобного рода. P.S. Я CI у себя вырубаю. Терять производительность на ровном месте смысла не вижу.
Advanced member
Статус: Не в сети Регистрация: 16.05.2010 Откуда: Ленинград Фото: 634
4e_alex писал(а):
С изоляцией или без пользователь может одним кликом подгрузить драйвер, который получит полный контроль над системой. Вся разница сводится к потерянной производительности, а иногда и различным глюкам, как правило из-за тех же драйверов. Только при работе под ограниченной учеткой есть хоть какой-то смысл в этой фиче.
Имеет смысл, т.к во первых работает блэк лист узязвимых драйверов и потенциально опасных, всяких wing0Ring.sys и им подобных, +с потенциальными дырами -уязвимые старые версии этих драйверов, и в целом через которые можно получить большие привилегии, о чём ос сообщает, в принципе эти привилегии доступны через софт мп - для тюнинга, от Асус/Гигабайт/Асрок и прочее, так как этими утилитами можно на лету крутить некоторые параметры биоса/кулеров, через свои low-level драйверы.
Второй момент, вкусный, под 25H2 - который добавили в конце 2024 года, можно работать под админкой, в режиме одобрения администратором с защитой администратора, суть фишки, раньше при работе с профилем администратора, создавался сплит токен, с правами обычного пользователя и администратора - они были привязаны к одному профилю и учётке. На этом горела вся безопасность и базировались механизмы обхода UAC в том числе. Сейчас если хочется работать под админом с высокой безопасностью -этот режим и добавили: профиль работает теперь как обычный пользователь, а при запросе прав на повышение - на время исполнения включается учётка SMAA - шэдоу админа, и создаётся административный токен только на время работы приложения(на лету), которое запросило эти права, потом уничтожается и нигде не хранится.
Режим по умолчанию не включен в политиках, а стоит традиционный. В комплексе с запросом прав на безопасном рабочем столе, + запрос учётных, работать так удобно и вполне безопасно.
Можно выставить например так
а вместо обычного пароля использовать пин код для авторизации на безопасном рабочем столе при повышении прав. При включённом tpm/secure boot, это достаточно непробиваемый режим, без критичных проблем с совместимостью. Не лишая себя удобства работы, не плодя лишних user учёток c обычными правами.
Member
Статус: Не в сети Регистрация: 25.03.2004 Откуда: Россия
А никто не заметил на последних патчах пересла работаь Inyel APO? - Все дрова актуализировал в биосе все включено необходимое. Просто перестало работать - неподдерживаемы процессор пишет - 14900k ) Работало с месяц назад точно...
_________________ Поступай так, словно это сон. Действуй смело и не ищи оправданий. ASUS Z790 STRIX-E | 14900KF@5.7k4.4k | P.GR 5090 | 64 G.SKILL@7000Mhz
Advanced member
Статус: Не в сети Регистрация: 16.05.2010 Откуда: Ленинград Фото: 634
Crazy_AG писал(а):
А никто не заметил на последних патчах пересла работаь Inyel APO? - Все дрова актуализировал в биосе все включено необходимое. Просто перестало работать - неподдерживаемы процессор пишет - 14900k ) Работало с месяц назад точно...
всё работает, но если актуализировали последний IPP пакет интел и APO, с сайта Интел, Gui там какой то нестабильный, у меня иногда закрывался с ошибкой или терял связь с framework, c cайта мп PPP и APO пакет работает как часы, там DTT драйвер, и Gui не самые свежие - но нареканий с ним ноль на текущем билде, вот запустил - без проблем инициализируется с Фреймворком и драйвером, и закрывается без ошибок.
Main Character
Статус: Не в сети Регистрация: 03.12.2004
stockclock писал(а):
Винда блочит загрузку неподписанных или известных дырявых драйверов если включена эта опция:
И то и другое легко обходится. Защитит такое только от скрипт-кидди, которые берут готовые драйверы.
stockclock писал(а):
Одна проблема: основной источник заразы ломанный софт/игры и просто сомнительные утилиты. Обычно сам пользователь даёт им достаточно прав при установке
Вот именно. Если пользователь может кнопкой выдать права приложению, то более высокая степень изоляции разных уровней автоматически теряет смысл. Поэтому дома нет смысла включать защиты, которые имеют отрицательные стороны (а у изоляции ядра они очевидны).
Добавлено спустя 20 минут 2 секунды:
kiberman писал(а):
Второй момент, вкусный, под 25H2 - который добавили в конце 2024 года, можно работать под админкой, в режиме одобрения администратором с защитой администратора,
Да вроде уже и это обходят https://projectzero.google/2026/26/wind ... ction.html Плюс пропадает самый большой плюс UAC (понятно, что это одновременно и источник дыр) - это единый профиль. Довольно часто надо именно чтобы профиль остался тем же. А так конечно система дырявая. На личных компах я ставлю там максимальный уровень (т.е. выключаю автоповышение для встроенных программ), это закрывает самые простые эксплоиты, и на этом все.
_________________ Исследования показывают, что хранить лестницу в доме опаснее, чем ружье. Поэтому у меня 10 ружей, на случай, если какой-нибудь псих попытается протащить лестницу.
Advanced member
Статус: Не в сети Регистрация: 16.05.2010 Откуда: Ленинград Фото: 634
stockclock писал(а):
Одна проблема: основной источник заразы ломанный софт/игры и просто сомнительные утилиты. Обычно сам пользователь даёт им достаточно прав при установке или запуске для того чтобы прописаться в автозагрузку и получить доступ к сети, а большего им и не надо, могут майнить или работать на ботнет и так. Так что защита эта против каких-то сетевых эксплоитов которые могут ломать Винду удалённо, без участия пользователя, поднимать привилегии, шифровать диски и распространять себя дальше. Теперь это все по дефолту включено и поэтому давненько уже не слышно о массовых атаках подобного рода. P.S. Я CI у себя вырубаю. Терять производительность на ровном месте смысла не вижу.
90% кряков, за исключением Denuvo Hypervisor Bypass - выполняются в режиме Ring 3, и они особой угрозы не представляют, ну майнер какой нибудь максимум подцепишь или троян -который Ав увидит на этом уровне привелегий.
А вот Denuvo-hypervisor кряк который для работы просят поотключать HCVI/SECUREBOOT - это техника обхода гипервизора(hypervisor bypass), это сразу можно мп потом теоретически в утиль. Ну или как минимум делать слепок программатором до этого, и чистить потом SPI, либо шить как минимум через flashback и делать secure erase дисков -хоть для какой то гарантии. Т.к вероятность что не пролезет и не закрепится что-то в системе, чего не увидит пользователь или ав, никаких. Запуск такого взломанного продукта, с выполнением требований по отключению проверки целостности загрузки и изоляции памяти, по сути равносилен добровольному запуску серьёзного руткита у себя на Пк. Притом заразу не факт что заметит пользователь или Ав. А комп превратится в ботнет клиент или просто вредоносный спам ящик, это в лучшем случае ещё))
stockclock писал(а):
P.S. Я CI у себя вырубаю. Терять производительность на ровном месте смысла не вижу.
Разве у i9-12900HX там какой-то штраф есть выше 1-2%?, на новых корках его совсем нет. Смысл отказываться от базовой защиты
Добавлено спустя 18 минут 6 секунд:
4e_alex писал(а):
Да вроде уже и это обходят https://projectzero.google/2026/26/wind ... ction.html Плюс пропадает самый большой плюс UAC (понятно, что это одновременно и источник дыр) - это единый профиль. Довольно часто надо именно чтобы профиль остался тем же. А так конечно система дырявая. На личных компах я ставлю там максимальный уровень (т.е. выключаю автоповышение для встроенных программ), это закрывает самые простые эксплоиты, и на этом все.
это уже пофикшено - притом почти сразу, сам автор там и указывает.
The fix Microsoft implemented was to prevent creating the DOS device object directory when impersonating a shadow administrator token at identification level. As this fix was added into the final released build as part of the optional update KB5067036 it doesn’t have a security bulletin associated with it. I would like to thank the Administrator Protection team and MSRC for the quick response in fixing all the issues and demonstrating that this feature will be taken seriously as a security boundary. I’d also like to thank them for providing additional information such as the design document which aided in the research.
Так что это не проблема. Для дома базовой HCVI и этих политик с головой, в любом случае не нужно всё подряд ставить и разрешать, холодная голова и разум в этом вопросе -лучшая защита.
Advanced member
Статус: Не в сети Регистрация: 16.05.2010 Откуда: Ленинград Фото: 634
Phenomenum писал(а):
Такое мы не используем.
Это был взломанный RE Requiem, одни из первых кряков для быстрого обхода Denuvo -были такие . Проблема в том что такие вещи совсем нельзя запускать на Пк.
Member
Статус: Не в сети Регистрация: 04.08.2011 Откуда: Москва
После обновления KB5095093 (Build 26100.8737) Preview для Windows 11 = перестал Windows PowerShell запускаться из контекстного меню Пуск.
Не удаётся найти "C:\Users\....\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows PowerShell\Windows PowerShell.lnk"
а из места расположения "C:\Users\...\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows PowerShell\Windows PowerShell.lnk" - запускается!
Если дописать 5.1 в "C:\Users\...\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows PowerShell\Windows PowerShell 5.1.lnk" = запускается из контекстного меню Пуск.
_________________ Будьте вежливы! И, Вам аукнется!
Последний раз редактировалось Sealxo 26.06.2026 17:19, всего редактировалось 1 раз.
Main Character
Статус: Не в сети Регистрация: 03.12.2004
Не требует. Просто почему-то пихнули в тот же раздел. Логика UI никогда не была сильной стороной мелких
_________________ Исследования показывают, что хранить лестницу в доме опаснее, чем ружье. Поэтому у меня 10 ружей, на случай, если какой-нибудь псих попытается протащить лестницу.
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 20
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения