Включить безопасность на основе виртуализации Windows, что это такое
Обновлено: 21.11.2024
Защита на основе виртуализации использует гипервизор Windows для создания изолированных областей памяти от стандартных операционных систем. Windows может использовать эту функцию безопасности для размещения решений безопасности, обеспечивая при этом значительно улучшенную защиту от уязвимостей в операционной системе.
Что обеспечивает безопасность на основе виртуализации?
Безопасность на основе виртуализации (VBS) – это технология, которая отделяет компьютерные процессы от базовой операционной системы и, в некоторых случаях, от оборудования. Он изолирует эти процессы друг от друга с целью защиты операционной системы (ОС) и устройства от вредоносных программ и других атак.
Как отключить безопасность на основе виртуализации Windows?
Перейдите к разделу HKEY_LOCAL_MACHINESystemCurrentControlSetControlDeviceGuard. Добавьте новое значение DWORD с именем EnableVirtualizationBasedSecurity. Задайте для этого параметра реестра значение 1, чтобы включить безопасность на основе виртуализации, и значение 0, чтобы отключить ее.
Что такое Microsoft VBS?
Безопасность на основе виртуализации, или VBS, использует функции аппаратной виртуализации для создания и изоляции безопасной области памяти от обычной операционной системы. Гипервизор, самый привилегированный уровень системного программного обеспечения, устанавливает и применяет права доступа к страницам во всей системной памяти.
Что делает виртуализация в Windows?
Одной из функций, включенных в Windows 10, является возможность создавать виртуальные машины. Виртуальная машина — это упакованная операционная система, которая может работать поверх «хостовой» операционной системы. Виртуализация позволяет запускать на одном хосте несколько «гостевых» операционных систем и легко перемещать виртуальные машины между хостами.
Должен ли я использовать безопасность на основе виртуализации?
Безопасность на основе виртуализации эффективно уменьшает поверхность атаки Windows, поэтому даже если злоумышленник получит доступ к ядру ОС, защищенный контент может предотвратить выполнение кода и доступ к секретам, таким как системные учетные данные.
Каковы преимущества виртуализации?
Преимущества виртуализации
- Снижение капитальных и эксплуатационных затрат.
- Сведение к минимуму или устранение простоев.
- Повышение производительности, эффективности, гибкости и оперативности ИТ-отдела.
- Ускоренная подготовка приложений и ресурсов.
Должен ли я отключить VBS?
Эти функции являются превентивной мерой, разработанной в ответ на недавнюю серию атак программ-вымогателей, жертвами которых стали многие организации. Отключение протоколов безопасности VBS в Windows 11 не рекомендуется, поэтому действуйте на свой страх и риск.
Как узнать, включен ли VBS?
Нажмите клавишу "Win", чтобы открыть меню "Пуск", или просто нажмите кнопку "Поиск" в Windows, чтобы открыть панель поиска.
- Теперь введите «MSInfo32» и нажмите клавишу ВВОД.
- После того как вы прокрутите до конца приложение «Информация о системе», вы увидите, включен ли VBS на вашем ПК.
Как отключить виртуализацию в Windows 10?
Отключить гипервизор Hyper-V
- Нажмите клавишу Windows + X и выберите Приложения и компоненты.
- Прокрутите вниз и нажмите ссылку "Программы и компоненты".
- Затем нажмите ссылку Включение или отключение компонентов Windows на левой панели.
- Найдите параметр Hyper-V и снимите с него отметку.
- Нажмите "ОК", чтобы сохранить изменения и перезагрузить компьютер.
VBS мертв?
VBScript больше нет. Когда-то язык сценариев, конкурирующий с JavaScript в веб-браузерах, теперь VBScript по умолчанию отключен в Internet Explorer во всех поддерживаемых версиях Windows после недавнего обновления Windows. Но VBScript исчезает уже много лет.
Что может VBS?
VBScript («Microsoft Visual Basic Scripting Edition») — это язык Active Scripting, разработанный Microsoft по образцу Visual Basic. Он позволяет системным администраторам Microsoft Windows создавать мощные инструменты для управления компьютерами с обработкой ошибок, подпрограммами и другими сложными конструкциями программирования.
Является ли VBS вирусом?
Сводка. Вирус:VBS/Invadesys. A — это вирус VBScript, который заражает другие файлы сценариев, распространяется на съемные носители, прерывает процессы и может удалять файлы с определенными расширениями.
Безопасна ли виртуализация в Windows 10?
Да, ИТ-отдел устанавливает брандмауэр и принимает другие меры безопасности, но хакеры могут обойти эти меры и в любом случае проникнуть в сеть. Microsoft добавила новые функции безопасности на основе виртуализации Windows 10, такие как режим изолированного пользователя, Credential Guard и Device Guard, для усиления защиты ОС.
Что делает включение виртуализации?
Основная идея аппаратной виртуализации заключается в интеграции множества небольших физических серверов в один большой физический сервер для эффективного использования процессора.Операционная система, работающая на физическом сервере, преобразуется в ОС, работающую внутри виртуальной машины.
Замедляет ли виртуализация процессор?
совсем нет. Вся цель виртуализации состоит в том, чтобы заставить виртуальную машину работать быстрее и лучше. если вы отключите виртуализацию, виртуальная машина (когда вы решите ее запустить) потребует больше ресурсов от системы, что замедлит все.
Безопасность на основе виртуализации Microsoft, также известная как «VBS», является функцией операционных систем Windows 10 и Windows Server 2016. Он использует аппаратную и программную виртуализацию для повышения безопасности системы Windows за счет создания изолированной, ограниченной гипервизором специализированной подсистемы. Начиная с vSphere 6.7, теперь вы можете включить Microsoft (VBS) в поддерживаемых гостевых операционных системах Windows.
Вы можете быть знакомы с этими новыми функциями Windows, а могут и не быть. Основываясь на разговорах, которые я вел с командами безопасности, возможно, вам захочется познакомиться! В первую очередь вы услышите требование «Credential Guard», поэтому я добавил это в заголовок. Чтобы выровнять разговор в этом блоге, я расскажу о функциях, связанных с установкой Windows на «голое железо», а затем с виртуальной машиной Windows на ESXi.
Голый металл .vs. Виртуализированный
Далее я интерпретирую технологии Microsoft на основе общедоступной документации и веб-сайтов, за которыми я следил с тех пор, как эти функции стали общедоступными.
Как всегда, поскольку мы говорим о функциях Microsoft в их ОС, вам следует ознакомиться с их документацией для получения точной формулировки и рекомендаций.< /p>
Windows на «голом железе»
Чтобы подготовить почву и помочь вам лучше понять, что необходимо для включения VBS на платформе с гипервизором, давайте начнем с обсуждения включения VBS на ноутбуке или настольном компьютере, где Windows представляет собой установку с нуля. р>
Чтобы включить VBS на ноутбуке или настольном компьютере, необходимо убедиться, что определенные параметры BIOS/прошивки включены, а Windows установлена на основе некоторых из этих параметров. Краткий список того, что нужно установить, включает:
- Прошивка UEFI
- Безопасная загрузка
- Аппаратная виртуализация (настройки Intel VT/AMD-V) и IOMMU
- Windows установлена со всеми указанными выше настройками
Только тогда вы сможете включить VBS в ОС Microsoft Windows. На следующем рисунке показано, как Windows 10 устанавливается на оборудование и какие компоненты используются при включении VBS.
После того как вы настроили VBS в Windows, система перезагрузится, загрузится гипервизор Microsoft, а затем Windows. Гипервизор также будет использовать виртуализацию для запуска дополнительных компонентов Windows (например, подсистемы управления учетными данными) в отдельном пространстве памяти.
TPM 2.0 (доверенный платформенный модуль)
В большинство современных систем встроено устройство TPM 2.0. (представлено на рисунке выше) Если этот параметр включен, Windows будет использовать его для защиты учетных данных, хранящихся в подсистеме учетных данных. Если аппаратный доверенный платформенный модуль не включен в BIOS или не включен в оборудование, Windows по-прежнему будет использовать VBS, и вы по-прежнему можете включить Credential Guard, но учетные данные не будут такими безопасными.
Прохождение хэша и защиты учетных данных
В традиционной установке Windows хешированные учетные данные, включая учетные данные Active Directory, были доступны практически всем, у кого было достаточно прав в локальной ОС, поскольку они находились в той же памяти, что и Windows. Это было известно как эксплойт Pass the Hash. Включение функции VBS под названием Credential Guard будет хранить хеш-информацию об учетной записи за пределами области/памяти экземпляра Windows. По словам Microsoft, это снижает вероятность использования эксплойта Pass the Hash.
Вся связь между Windows и дополнительными компонентами Windows осуществляется через вызовы RPC, выполняемые через канал связи на основе гипервизора Microsoft.
ESXi на «голом железе»
Хорошо, а теперь давайте представим vSphere. Уже некоторое время вы можете установить Windows 10 или Server 2016 в качестве виртуальной машины. Вот пример стандартной виртуальной машины под управлением Windows 10 на сервере ESXi.
В мире vSphere ESXi — это установка на «голое железо». Чтобы поддерживать Windows 10 с VBS, вы должны предоставить виртуальной машине Windows 10 тот же уровень BIOS/микропрограммы/оборудования. Только в этом случае у ВМ нет доступа к «голому железу», поэтому функциональность будет виртуализирована.
Чтобы включить VBS, виртуальная машина должна работать на виртуальном оборудовании версии 14. Новые версии виртуального оборудования предоставляют новые функции, а поддержка VBS предоставляется в версии 14.
Виртуальная машина нуждается в аппаратной виртуализации и IOMMU, которые будут доступны/предоставлены виртуальной машине.Это более известно как «вложенная виртуализация». Зачем нам нужно запускать виртуальную машину Windows «вложенной»? Потому что гипервизор Microsoft будет загружаться первым, чтобы он мог предоставить Windows необходимые возможности для VBS.
Кроме того, на виртуальной машине должна быть включена безопасная загрузка и она должна загружаться с микропрограммы EFI. Как в нашем примере с ноутбуком/настольным компьютером.
Примечание. Если вы создаете новые виртуальные машины Windows 10 или Windows 2016, перед установкой убедитесь, что вы выбрали прошивку UEFI! Переход с традиционного BIOS на UEFI («EFI» в параметрах VM) «болезненный». Переключение постфактум требует дополнительных действий.
На изображении ниже вы можете видеть новый флажок «Включить» для безопасности на основе виртуализации. Когда вы установите этот флажок, все необходимые изменения будут внесены. Виртуальная машина теперь имеет открытые расширения виртуализации ЦП, IOMMU включен, встроенное ПО EFI и безопасная загрузка включены.
Виртуальный доверенный платформенный модуль 2.0
Обратите внимание, что «виртуальный доверенный платформенный модуль» не включен по умолчанию при выборе VBS. vSphere 6.7 позволяет добавить «виртуальное устройство TPM 2.0», но это потребует дополнительных требований. Вам необходимо шифрование виртуальных машин vSphere. Вот почему.
Аппаратные доверенные платформенные модули могут безопасно хранить информацию в аппаратном «хранилище». Виртуальный доверенный платформенный модуль не имеет аппаратного «хранилища»*, поэтому данные, которые должны быть защищены в доверенном платформенном модуле, записываются в файл «.nvram», который шифруется с помощью шифрования виртуальной машины. Это обеспечивает ряд ключевых функций:
- Данные, записываемые в vTPM, защищены очень надежным шифрованием.
- Поскольку мы используем шифрование виртуальных машин, мы сохраняем переносимость виртуальных машин.
- Виртуальная машина с vTPM может быть подвергнута vMotion, резервному копированию с помощью существующих инструментов и т. д. ол>
- Это защищает доступ к консоли, предотвращает загрузку ВМ из хранилища данных и обеспечивает операционную модель «наименьших привилегий». ол>
- Влияние на производительность минимально, поскольку мы шифруем всего несколько сотен килобайт/мегабайт файлов в хранилище данных.
- 64-разрядный процессор с функциями аппаратного ускорения, такими как Intel VT-X и AMD-V.
- Доверенный платформенный модуль (TPM) 2.0
- UEFI
- Драйверы, совместимые с Hypervisor-Enforced Code Integrity (HVCI)
- Как использовать VMware vSAN ReadyNode Configurator — пятница, 17 декабря 2021 г.
- Новые функции VMware Tanzu Kubernetes Toolkit версии 1.3 — пятница, 10 декабря 2021 г.
- Стратегии аварийного восстановления для виртуальной машины устройства vCenter Server — пятница, 26 ноября 2021 г.
- Отказоустойчивость VMware (FT)
- Проход через vSphere PCI
- Горячее добавление vSphere для ЦП или памяти
- ВМ с виртуальным оборудованием 14
- Аппаратная виртуализация и модуль управления памятью ввода-вывода (IOMMU), доступный для виртуальной машины.
- Безопасная загрузка включена
- Прошивка EFI
- 64-разрядный процессор
- Блоки управления системной памятью Intel VT-d или AMD-Vi ARM64 (SMMU)
- ТПМ 2.0
- Выключите виртуальную машину и установите флажок "Включить" рядом с пунктом "Безопасность на основе виртуализации" в разделе "Параметры виртуальной машины".
- В виртуальной машине откройте gpedit.msc и перейдите к:
- Выберите уровень безопасности платформы: безопасная загрузка и защита DMA
- Защита целостности кода на основе виртуализации: включено с блокировкой UEFI
- Конфигурация Credential Guard: включена с блокировкой UEFI
*У физического TPM есть ряд технических проблем. Он не предназначен для хранения учетных данных сотен или тысяч виртуальных машин. Он слишком мал для этого. Хранилище в TPM измеряется в килобайтах, а не в гигабайтах. Это также последовательное устройство, поэтому оно очень медленное.
Подробнее об использовании аппаратного TPM в ESXi и о том, как работает vTPM, читайте в другой статье блога.
Windows с VBS на vSphere
Все дело в «виртуальном оборудовании»
Как видите, в этой статье блога мы в основном говорим о поддержке виртуального оборудования. Виртуальная машина, которой требуется VBS, представлена вложенной виртуализацией, виртуализированным TPM, поддержкой встроенного ПО/BIOS для безопасной загрузки и UEFI и т. д. То же, что и в примере с ноутбуком/настольным компьютером. vSphere 6.7 обеспечивает необходимую поддержку виртуального оборудования, позволяющую Windows 10 и Windows 2016 функционировать должным образом.
Например, когда вы добавляете виртуальное устройство TPM 2.0 к виртуальной машине, гостевая ОС Windows видит его как стандартное устройство TPM 2.0, использующее существующие драйверы Windows.
Мы никогда не говорим о чем-то «особенном», что нужно установить и запустить в гостевой ОС, чтобы все это заработало. После включения всех параметров на уровне vSphere вы можете использовать стандартные методы Microsoft для включения VBS в гостевой ОС.
Насколько это просто?
Очень! Это основано на нашей цели сделать безопасность простой в реализации. В моем тестировании в лаборатории это сработало довольно хорошо. Я использовал средство проверки готовности оборудования Microsoft Device Guard и Credential Guard, чтобы проверить соответствие VBS и включить Credential Guard. Инструмент представляет собой простой в использовании сценарий PowerShell. VBS также можно включить с помощью групповых политик.
Пожалуйста, обратитесь к документации Microsoft, чтобы узнать, как лучше всего включить эти функции в вашей гостевой ОС и среде Windows.
Операции
Я обнаружил, что многие люди сравнивают работу операционной системы на "голом железе" с работой на vSphere, как яблоки с яблоками. На самом деле это не так. Это действительно больше яблок, чем апельсинов. Отличие заключается в том, что запуск виртуальных машин на гипервизоре приносит с собой новые методы работы и элементы управления. Вам нужно больше думать о виртуальных машинах как об объектах и о том, как вы можете управлять ими в масштабе.
Ноутбук — это единый объект с рядом аппаратных элементов управления. Вы можете заблокировать конечного пользователя от системного BIOS и установить требования для таких вещей, как шифрование, на основе его учетных данных. Но в среде виртуализированных рабочих столов вам это на самом деле не нужно, поскольку конечные пользователи не имеют доступа к базовому оборудованию или уровню управления виртуальной машиной.Использование тех же методов, что и для защиты ноутбука, не влияет напрямую на то, как вы будете защищать виртуальную машину, и некоторые из них могут фактически мешать тому, как должным образом защитить их в центре обработки данных. Итак, будьте открыты для понимания различных вариантов использования. Не пытайтесь вставить квадратный штифт в круглое отверстие.
Подведение итогов
Поддержка VBS и виртуального TPM была одним из самых интересных моментов в моей карьере в VMware. С того момента, как я представил технологию нескольким людям после того, как она была анонсирована на MS Tech Ed пару лет назад, до ее сегодняшнего выпуска был диким и веселым путешествием.
Я хотел бы снять шляпу перед инженерами VMware, которые сделали это ОЧЕНЬ быстрым. Microsoft тесно сотрудничала с этой командой инженеров, чтобы мы могли предоставить поддерживаемый уровень виртуального оборудования, который могла бы использовать операционная система Microsoft. Я также хотел бы поблагодарить Microsoft за поддержку этих усилий.
Ожидайте больше информации об этой и других функциях версии 6.7 по мере приближения к VMworld! Как всегда, вы можете связаться со мной в Твиттере по адресу @vspheresecurity или @mikefoley. Вероятно, это самый простой и быстрый способ задать вопрос и получить ответ.
Майк Фоли
Майк Фоули (Mike Foley) — штатный архитектор по техническому маркетингу в группе vSphere в VMware. С 2013 по 2020 год Майк был лучшим, когда дело касалось vSphere Security. Теперь он…
Безопасность на основе виртуализации (VBS) является важной частью Windows 11, но что это такое?
Безопасность на основе виртуализации была функцией Windows 10 в течение многих лет. Для многих это осталось незамеченным, потому что Microsoft не применяла его; однако это изменится с выходом Windows 11.
Давайте подробнее рассмотрим VBS, посмотрим, что это такое, а также как его включить и отключить.
Что такое безопасность на основе виртуализации (VBS)?
Безопасность на основе виртуализации (VBS) использует гипервизор Windows для виртуальной изоляции сегмента основной памяти от остальной части операционной системы. Windows использует эту изолированную, безопасную область памяти для хранения важных решений безопасности, таких как учетные данные для входа в систему и код, отвечающий за безопасность Windows, среди прочего.
Причина размещения решений безопасности в изолированной части памяти состоит в том, чтобы защитить решения от эксплойтов, направленных на взлом этих средств защиты. Вредоносное ПО часто нацелено на встроенные механизмы безопасности Windows, чтобы получить доступ к критически важным системным ресурсам. Например, вредоносный код может получить доступ к ресурсам на уровне ядра, преодолев методы проверки подлинности кода Windows.
VBS решает эту проблему, отделяя решения безопасности Windows от остальной части ОС. Это делает Windows более безопасным, поскольку уязвимости не могут обойти средства защиты ОС, поскольку у них нет доступа к этим средствам защиты. Одной из таких мер защиты является обеспечение целостности кода гипервизором (HVCI) или целостность памяти.
HVCI использует VBS для расширенной проверки целостности кода. Эти проверки аутентифицируют драйверы и программы режима ядра, чтобы убедиться, что они получены из надежных источников. Таким образом, HVCI гарантирует, что в память загружается только доверенный код.
Короче говоря, VBS — это механизм, с помощью которого Windows отделяет критически важные решения по обеспечению безопасности от всего остального. В случае взлома системы решения и информация, защищенные VBS, останутся активными, поскольку вредоносный код не сможет внедриться и отключить/обойти их.
Необходимость безопасности на основе виртуализации в Windows
Чтобы понять потребность Windows 11 в VBS, мы должны понять угрозы, для устранения которых предназначена VBS. VBS — это в основном механизм защиты от вредоносного кода, с которым не справляются традиционные механизмы безопасности.
Другими словами, VBS предназначен для борьбы с вредоносными программами режима ядра.
Ядро — это ядро любой ОС. Это код, который управляет всем и позволяет различным аппаратным компонентам работать вместе. Как правило, пользовательские программы не работают в режиме ядра. Они работают в пользовательском режиме. Программы пользовательского режима имеют ограниченные возможности, поскольку у них нет повышенных разрешений. Например, программа пользовательского режима не может перезаписать виртуальное адресное пространство другой программы и нарушить ее работу.
Программы в режиме ядра, как следует из названия, имеют полный доступ к ядру Windows и, в свою очередь, полный доступ к ресурсам Windows. Они могут совершать системные вызовы, получать доступ к важным данным и беспрепятственно подключаться к удаленным серверам.
Короче говоря, программы режима ядра имеют более высокие разрешения, чем даже антивирусные программы. Таким образом, они могут обходить брандмауэры и другие средства защиты, установленные Windows и сторонними приложениями.
Во многих случаях Windows даже не узнает о наличии вредоносного кода с доступом на уровне ядра. Это делает обнаружение вредоносных программ режима ядра чрезвычайно сложным, а в некоторых случаях даже невозможным.
VBS стремится изменить это.
Как упоминалось в предыдущем разделе, VBS создает защищенную область памяти с помощью гипервизора Windows.Гипервизор Windows имеет самый высокий уровень разрешений в системе. Он может проверять и применять ограничения на системную память.
Таким образом, если вредоносная программа режима ядра изменила страницы в системной памяти, проверки целостности кода, проводимые гипервизором, исследуют страницы памяти на наличие потенциальных нарушений целостности в защищенной области памяти. Только когда фрагмент кода получает зеленый сигнал от этих проверок целостности, он становится исполняемым за пределами этой области памяти.
Короче говоря, Windows нуждается в VBS, чтобы свести к минимуму риск вредоносных программ режима ядра в дополнение к работе с вредоносным кодом пользовательского режима.
Как Windows 11 использует VBS?
Если мы внимательно посмотрим на аппаратные требования Windows 11, то увидим, что большинство функций, которые Microsoft требует для ПК с Windows 11, необходимы для работы VBS. Microsoft подробно описывает аппаратное обеспечение, необходимое для работы VBS, на своем веб-сайте, в том числе:
Из этого списка совершенно ясно, что основные требования Windows 11 к оборудованию, включая процессоры Intel 8-го поколения или выше, предназначены для поддержки VBS и функций, которые она обеспечивает. Одной из таких функций является обеспечение целостности кода гипервизором (HVCI).
Напоминаем, что VBS использует гипервизор Windows для создания среды виртуальной памяти отдельно от остальной ОС. Эта среда действует как корень доверия ОС. Другими словами, доверяют только коду и механизмам безопасности, находящимся внутри этой виртуальной среды. Программы и решения, находящиеся снаружи, включая любой код режима ядра, не являются доверенными до тех пор, пока они не будут аутентифицированы. HVCI — это ключевой компонент, укрепляющий виртуальную среду, создаваемую VBS.
В области виртуальной памяти HVCI проверяет код режима ядра на наличие нарушений целостности. Рассматриваемый код режима ядра может выделять память только в том случае, если код получен из надежного источника и если выделение не представляет угрозы для безопасности системы.
Как видите, HVCI — это очень важно. Поэтому Windows 11 включает эту функцию по умолчанию на всех совместимых системах.
Как узнать, включен ли VBS на вашем компьютере
Microsoft по умолчанию включает VBS на совместимых предварительно собранных и OEM-машинах с Windows 11. К сожалению, VBS может снизить производительность на целых 25%. Итак, если вы используете Windows 11 и не нуждаетесь в передовых средствах защиты, обязательно отключите VBS.
Чтобы проверить, включена ли VBS на вашем компьютере, нажмите клавишу Windows, введите «информация о системе» и выберите соответствующий результат. Когда приложение откроется, прокрутите вниз до пункта Безопасность на основе виртуализации и посмотрите, включена ли она.
Чтобы включить или отключить VBS, нажмите клавишу Windows, введите "изоляция ядра" и выберите соответствующий результат. В разделе «Изоляция ядра» включите или выключите целостность памяти.
Наконец, перезагрузите компьютер.
VBS может значительно повысить безопасность Windows 11. но есть недостатки
Большие функции безопасности Windows 11, такие как HVCI, в значительной степени зависят от VBS, и не зря. VBS — это эффективный способ победить вредоносный код и защитить ОС от нарушений безопасности. Но поскольку VBS полагается на виртуализацию, она может значительно снизить производительность вашей системы.
Для корпоративных клиентов Майкрософт этот удар по безопасности, даже если он достигается за счет производительности, не представляет никакой сложности. Но для обычных людей, которым нужна быстрая работа Windows, особенно во время игр, стоимость производительности VBS может быть трудно проглотить.
К счастью, Microsoft позволяет отключить VBS на вашем компьютере. Но не беспокойтесь об отключении VBS. Windows 11 намного безопаснее, чем Windows 10, даже без VBS.
В версии 6.7 VMware добавила в пакет vSphere поддержку функции безопасности на основе виртуализации (VBS) Windows 10. Microsoft VBS также доступен для операционных систем Windows Server 2016 (ОС).
Владан Сегет — независимый консультант, профессиональный блогер, vExpert 2009–2021, VCAP-DCA/DCD и MCSA. Более 20 лет работает системным инженером.
Что такое безопасность на основе виртуализации (VBS)? ^
VBS использует аппаратные и программные функции виртуализации для повышения безопасности системы Windows за счет создания изолированной, ограниченной гипервизором специализированной подсистемы.
По сути, Microsoft использует роль (или компонент) Windows, называемую ролью Hyper-V, которая загружает ОС. Этот гипервизор позволяет Microsoft изолировать некоторую конфиденциальную информацию в местах, обычно доступных для ОС. Здесь мы можем подумать о кэшированных учетных данных и подобных вещах.
В большинство современных систем встроен доверенный платформенный модуль (TPM) 2.0. Однако кто-то должен был сделать это программно. И это цель. Чтобы дать вам представление, вот скриншот из сообщения в блоге VMware.
Как видите, у виртуальной машины Windows 10 активна роль гипервизора, а учетные данные хранятся в другом месте.
Каковы ограничения для виртуальных машин с поддержкой VBS? ^
VBS можно использовать только в Windows 10 и Windows Server 2016, и существуют функции vSphere, несовместимые с VBS:
Каковы требования vSphere для VBS? ^
Как включить VBS? ^
В клиенте VMware vSphere сначала подключитесь к vSphere и выберите виртуальную машину, для которой вы хотите включить VBS.
Примечание. Виртуальная машина должна загружаться с EFI (а не с BIOS), чтобы соответствовать требованиям. Если вы создаете новые виртуальные машины Windows 10 или Windows 2016, перед установкой убедитесь, что вы выбрали прошивку UEFI. После установки системы переключиться довольно сложно.
И как только виртуальная машина будет запущена, нам потребуется активировать роль Hyper-V. Вы можете сделать это с помощью простой команды appwiz.cpl, которая автоматически вызывает окно, в котором мы выбираем «Добавить/удалить», «Включить и отключить функции Windows». Оказавшись там, мы можем найти раздел Hyper-V и установить флажок Hyper-V Hypervisor.
Включение гипервизора Hyper V
Если вы хотите добавить роль Hyper-V в Windows Server 2016, используйте мастер добавления ролей и компонентов в диспетчере серверов.
После того, как вы закончите, вам будет предложено перезагрузить систему.
Продолжим после того, как запустится виртуальная машина.
Конфигурация компьютера > Административные шаблоны > Система > Device Guard > Включить безопасность на основе виртуализации. Установите для него значение Включить и настройте параметры следующим образом:
Если вы хотите удаленно отключить Credential Guard в Защитнике Windows, выберите Включено без блокировки.
Конфигурация Credential Guard
Если вы хотите активировать VBS для нескольких систем, вы можете сделать это с помощью групповой политики в своем домене.
Заключительные слова ^
Я думаю, что в Windows Server 2019 VBS получит дальнейшее развитие. Это отличная функция, помогающая защитить Windows от вредоносных программ и всех видов атак, в которых задействованы учетные данные.
Подпишитесь на рассылку новостей 4sysops!
Эта функция реализована в VMware vSphere 6.7 в сотрудничестве с Microsoft. Приятно видеть, что эти два гиганта теперь рука об руку работают над функциями, повышающими безопасность.
Читайте также: