Kas yra virtualizacijos pagrindu sukurta sauga (VBS) ir kaip ji veikia sistemoje „Windows“?

La virtualizacijos pagrindu sukurta apsauga arba VBS, tapo viena iš pagrindinių „Windows 10“ saugumo ekosistemos dalių, langai 11 ir šiuolaikinį „Windows Server“. Tai viena iš tų funkcijų, kurių dauguma vartotojų nemato, tačiau ji gali nulemti, ar branduolio ataka bus sėkminga, ar sistema atlaikys net ir prieš kenkėjiška programa labai rafinuotas.

Tuo pačiu metu VBS ir HCCI kelia susirūpinimą dėl jų poveikio našumuiypač žaidimų kompiuteriuose arba sistemose su techninė įranga labiau patyręs. Todėl daugelis vartotojų svarsto, ką tiksliai ši technologija daro, kam ji skirta, kaip ją įjungti (arba išjungti) ir kokį realų poveikį ji turi saugumui, FPS, delsai ir procesoriaus apkrovimui.

Kas yra virtualizacijos pagrindu sukurta sauga (VBS) sistemoje „Windows“?

La Virtualizacija pagrįsta sauga (VBS) Tai „Microsoft“ saugos funkcija, kuri remiasi aparatinės įrangos virtualizacija ir „Windows“ hipervizorius sukurti izoliuotą vykdymo aplinką pačioje sistemoje. Ši virtuali aplinka tampa savotišku pasitikėjimo šaltiniu, iš kurio daroma prielaida apie blogiausią scenarijų: kad „Windows“ branduolys gali būti pažeistas, tačiau vis tiek reikia apsaugoti svarbius išteklius.

Praktikoje, VBS surenka nedidelę, apsaugotą „mini sistemą“. naudojant procesoriaus virtualizacijos galimybes ("Intel" VT-x, AMD-V ir kt.) ir naudoja jį įvairiems saugumo sprendimams talpinti: atminties vientisumui, kredencialų apsaugai, duomenų apsaugai. bagažinėBe kita ko. Kadangi ši aplinka yra atskira nuo įprasto branduolio, ją daug sunkiau atakuoti, net ir turint operacinėje sistemoje nulinės dienos pažeidžiamumų.

Šis mechanizmas leidžia itin jautrūs sistemos ir saugumo ištekliai (pvz., kredencialai, kriptografiniai raktai arba vidinės branduolio struktūros) lieka nepasiekiami kodui, veikiančiam „įprastu“ branduolio režimu, o tai yra būtent mėgstamiausias pažangių kenkėjiškų programų taikinys.

Kitas svarbus momentas yra tas VBS taiko labai griežtus branduolio atminties valdymo apribojimusTam tikrus regionus galima vykdyti tik tada, kai jie sėkmingai praeina vientisumo patikrinimus saugioje aplinkoje, o kai jie pažymėti kaip vykdomieji, jų negalima modifikuoti. Taigi, buferio perpildymo arba atminties sugadinimo pažeidžiamumas gali leisti rašyti į atmintį, bet ne konvertuoti tos atminties į vykdomąjį kodą, kuris pakenktų visai sistemai.

Kai virtualioje mašinoje įjungta VBS, variantas „Hyper-V“ pačiame svečio serveryje Ir tada „Windows“ veikia to vidinio hipervizoriaus šakniniame skaidinyje. Tarsi operacinė sistema būtų įtraukta į savo virtualizacijos sluoksnį, kad sustiprintų savo apsaugą.

Branduolio režimo atminties vientisumas ir kodo vientisumas (HVCI)

VBS sistemoje vienas iš svarbiausių elementų yra atminties vientisumas, taip pat žinomas kaip Hipervizoriaus užtikrinamas kodo vientisumas (HVCI) Arba kodo vientisumas, apsaugotas hipervizoriaus. Ši funkcija sustiprina sistemos apsaugą, patikrindama, ar visas branduolio režimu veikiantis kodas atitinka griežtas pasirašymo ir pasitikėjimo taisykles.

Paprasčiau tariant, HVCI patikrina kiekvieną tvarkyklę ir branduolio režimo dvejetainį failą prieš įkeliant. Jei tvarkyklė nėra tinkamai pasirašyta, buvo pakeista arba gauta iš nepatikimo šaltinio, jos įkėlimas į atmintį blokuojamas. Tai pašalina vieną iš klasikinių atakos vektorių: kenkėjiškos tvarkyklės su padidintomis teisėmis įkėlimą.

Be to, atminties vientisumas Tai agresyviai riboja branduolio atminties paskirstymą.Vykdomam branduolio kodui skirti atminties puslapiai tampa vykdomais tik praėjus vientisumo patikrinimus VBS aplinkoje ir niekada negrąžinami į rašomus puslapius. Tai užkerta kelią tipiniams spragų išnaudojimo metodams, kai kodas įšvirkščiamas į branduolio atmintį ir padaromas vykdomu iš karto.

HCCI taip pat apsaugo kritines struktūras, tokias kaip bitų žemėlapiai Valdymo srauto apsauga (CFG) branduolio tvarkyklėms ir pačiam kodo vientisumo procesui, kuris tikrina kitus komponentus. Tokiu būdu, Kenkėjiškos programos gebėjimas manipuliuoti vykdymo srautu yra smarkiai sumažintas. privilegijuotų procesų.

Tačiau visa ši apsauga kainuoja: Tai šiek tiek apkrauna procesorių.kuris gali būti didesnis arba mažesnis, priklausomai nuo to, ar procesorius turi aparatinės įrangos spartinimus, pvz. MBEC (režimu pagrįsta vykdymo kontrolė) arba lygiaverčiai, ir darbo krūvio tipas (žaidimai, renderinimas ir kt.).

Aparatinės ir programinės įrangos reikalavimai VBS naudojimui

Kad virtualizacijos pagrindu veikianti apsauga būtų visiškai ir stabiliai aktyvuota, „Windows“ reikalauja minimalių aparatinės ir programinės įrangos reikalavimųNepakanka turėti modernią operacinę sistemą; platforma turi suteikti sistemai tam tikras galimybes.

Pirma, privaloma turėti 64 bitų procesorius su virtualizacijos plėtiniaisX86 pasaulyje tai reiškia „Intel VT-x“ arba „AMD-V“ palaikymą. Be hipervizoriaus nėra VBS, nes visa apsauga sukurta ant šio virtualizacijos sluoksnio.

Suderinamumas su antrojo lygio adresų vertimas (SLAT)„Intel“ sistemoje tai įgyvendinama naudojant EPT (išplėstines puslapių lenteles), o AMD – naudojant RVI arba NPT (greitojo virtualizacijos indeksavimo technologiją). SLAT sumažina tipinę virtualizacijos našumo žalą ir leidžia VBS veikti su priimtinomis sąnaudomis.

Kitas svarbus komponentas yra turėti IOMMU arba SMMU (Intel VT-d, AMD-Vi arba SMMU Arm64 platformose). Šie įrenginiai leidžia valdyti DMA prieigą prie įvesties/išvesties įrenginių, kad... negali savavališkai įrašyti į atmintįVisi DMA palaikantys įrenginiai turi būti „už“ IOMMU, kad sistema galėtų sušvelninti tiesioginės atminties prieigos atakas.

Be to, VBS labai priklauso nuo TPM 2.0 (patikimos platformos modulis)Šis lustas, integruotas į pagrindinę plokštę arba įdiegtas per programinę-aparatinę įrangą, saugiai saugo kredencialus, šifravimo raktus ir įkrovos matavimus. VBS gali pakartotinai naudoti TPM apsaugotą atminties erdvę itin slaptai informacijai, pvz., kredencialams ar autentifikavimo duomenims, saugoti.

Programinė įranga taip pat turi šias pareigas: UEFI turi atitikti tam tikras atminties paskirstymo ir ataskaitų teikimo gaires. kad operacinė sistema žinotų, kuriuos regionus galima naudoti smėlio dėžės aplinkoje. Panašiai turite įdiegti apsaugas Sistemos valdymo režimas (SMM), deklaruojama per ACPI lentelę „Windows SMM“ saugumo mažinimo lentelė (WMST/WSMT), nurodant, kad jis atitinka reikalavimus, kurių „Windows“ tikisi, kad įjungtų VBS funkcijas.

Su tuo susiję šie dalykai: Atminties perrašymo užklausa (MOR) v2, kuris naudoja saugų UEFI kintamąjį, kad apsaugotų atminties perrašymo užrakto konfigūraciją ir padėtų apsiginti nuo pažangių atakų, kuriomis bandoma pakartotinai naudoti atminties turinį po perkrovimo.

Galiausiai, būtina, kad visos įdiegtos tvarkyklės yra suderinamos su atminties vientisumu„Microsoft“ pateikia specialius testus „Windows“ tvarkyklių rinkinyje ir tvarkyklių tikrintuve, kad patvirtintų, jog tvarkyklė nepažeidžia HVCI taisyklių. Įprasti rezultatai yra šie:

• Paleiskite tvarkyklės tikrintuvą įjungę kodo vientisumo suderinamumo patikrinimus.
• Išlaikykite hipervizoriaus kodo vientisumo parengties testą „Windows HLK“.
• Išbandykite tvarkyklę sistemose, kuriose įjungtas VBS ir vykdymo laiko atminties vientisumas.

Daugeliui įmonių diegimų taip pat reikia, kad sistema būtų paleidžiama įkrovos režimu Saugus Įkėlimokad būtų įkeliamos tik pasirašytos programinės įrangos ir įkrovos įkrovikliai, taip užbaigiant pasitikėjimo grandinę nuo UEFI iki VBS aplinkos.

VBS, HCCI ir jų integravimas į Hyper-V ir virtualias aplinkas

VBS yra ne tik fizinė įranga; Jis taip pat gali būti naudojamas viduje virtualios mašinosČia praverčia „Hyper-V“ ir kiti hipervizoriai, tokie kaip „VMware ESXi“, nes jie jau siūlo konkretų šių saugumo funkcijų palaikymą.

„Hyper-V“ aplinkose tai galima įjungti Svečio VSM kad „Windows“ virtualioji mašina turėtų savo VBS aplinką svečio viduje. Pavyzdžiui, „Azure“ sistemoje Antros kartos virtualiose mašinose ši funkcija įjungta pagal numatytuosius nustatymus. daugelyje savo serijų, o įdėtoji virtualizacija taip pat palaikoma keliose šeimose.

Kai kurios „Azure“ serijos, palaikančios įdėtąją virtualizaciją ir (arba) svečio VSM, apima tokias šeimas kaip Av2, Dsv2/Dv2/Dv3, Esv3/Edsv3, Fsv2, Lsv2 ir naujesnių kartų, tokių kaip Dv4/Dv5, ESv5 ir kt. Konkrečios detalės skiriasi priklausomai nuo kartos (1 ar 2) ir dydžio, tačiau idėja yra ta, kad Didelė dalis šiuolaikinio „Azure“ katalogo gali vykdyti VBS virtualiose mašinose..

„VMware“ sistemoje iš „vSphere 6.7“ ir naujesnės versijos su „Intel“ procesoriais (ir nuo „vSphere 7 Update 2“, skirto palaikomiems AMD procesoriams) leidžiama įjungti VBS „Windows“ svečių virtualiose mašinose. Būtina naudoti naujausias VM aparatinės įrangos versijas (pvz., 14 ar naujesnės versijos „Intel“ aparatinė įranga y 18 ar naujesnė versija AMD sistemoje) ir svečių, pvz., „Windows 10“ 64 bitų, „Windows Server 2016“ arba „2019“.

„VMware“ kliente („VMware Host Client“) Kurdami virtualią mašiną galite pasirinkti parinktį „Įjungti „Windows“ virtualizacija pagrįstą saugumą“. arba vėliau aktyvuoti esamoje virtualioje mašinoje. Tai automatiškai įgalina:

• UEFI programinė įranga su Saugus Įkėlimo.
• Aparatinės įrangos virtualizacijos demonstracija svečiui.
• IOMMU ir kiti reikalingi mechanizmai.

Įjungdami VBS esamoje virtualioje mašinoje, turite įsitikinti, kad Jis jau naudoja UEFI programinę įrangą.Vėlesnis pakeitimas BIOS EFI paveldėjimas gali būti keblus ir pareikalauti papildomų veiksmų, kad svečias negalėtų paleisti.

VM viduje VBS įjungimo procesas paprastai apima vaidmens įdiegimą "Hyper-V" (jei tai „Windows Server“) ir vėliau sukonfigūruoti saugos strategijas (pavyzdžiui, gpedit.msc skiltyje „Įrenginių apsauga“ > „Įjungti virtualizacijos pagrindu veikiančią apsaugą“), pasirinkdami tokius lygius kaip „Secure Boot“ ir DMA apsauga, HVCI įjungimas su UEFI užraktu ir kredencialų apsaugos konfigūracija.

VBS kaip saugumo priemonė virtualiose mašinose ir infrastruktūrose

Be grynai techninių aspektų, VBS yra integruotas į virtualizuotų aplinkų saugumo strategijoskur virtualios mašinos tvarko tokią pat vertingą informaciją kaip ir pats fizinis kompiuteris arba net vertingesnę.

Daugelyje organizacijų virtualios mašinos yra ne tik testavimo aplinkos: Jie teikia paslaugas gamybos programoms, duomenų bazės ir sistemos, kurios apdoroja jautrius duomenisDėl to jie tampa pagrindiniu užpuolikų taikiniu, kurie siekia pažeisti tiek virtualiąją mašiną, tiek, jei įmanoma, pereiti prie pagrindinio kompiuterio ir likusio tinklo.

VBS čia naudingas, nes izoliuoja VM nuo fizinio kompiuterio Kalbant apie prieigą prie aparatinės įrangos, tinklo sąsajų ir, tam tikrais atvejais, net tapatybės valdymo. Naudojant kartu su „Active Directory“ tapatybės valdymu, prieiga prie tam tikrų virtualių mašinų gali būti tiesiogiai priklausoma nuo įmonės kredencialių, o ne nuo vietinių vartotojo vardų / slaptažodžių.

Šis metodas leidžia greitai atšaukti prieigą prie jautrių virtualių mašinų Jei darbuotojas išeina iš įmonės, aptinkama įtartina veikla arba įvyksta saugumo pažeidimas, užuot keitus slaptažodžius kiekvienam įrenginiui, pakanka pakoreguoti teises „Active Directory“ ir su tais virtualiais ištekliais susijusias politikas.

Be to, VBS padeda apriboti iš pačios VM kylančių atakų poveikį. Net jei užpuolikui pavyksta padidinti privilegijas svečio serveryje, VBS sluoksnis gali ir toliau apsaugoti svarbiausius branduolio kredencialus ir kodą.todėl daug sunkiau pavogti paslaptis arba naudoti šoninio judėjimo metodus, pagrįstus kenkėjiškais vairuotojais.

Atminties vientisumas, visų pirma, sustiprina šį modelį, nes apsaugo nuo nepatikimų tvarkyklių įkėlimo ir blokuoja kelis įprastus privilegijų eskalavimo vektorius virtualizuotose „Windows“ sistemose.

VBS ir HCCI „Windows“ žaidimuose: poveikis našumui ir kada juos išjungti

Filmas gana stipriai pasikeičia šioje srityje Kompiuteriniai žaidimai„Microsoft“ pagal numatytuosius nustatymus įjungia VBS ir atminties vientisumą tam tikrose švariose „Windows 10“ ir ypač „Windows 11“ instaliacijose, o tai sukėlė daug diskusijų dėl galimo našumo praradimas žaidimuose.

Tiesa ta Poveikis labai priklauso nuo įrangos ir apkrovos tipo.Santykinai moderniuose procesoriuose, palaikančiuose MBEC ar kitus techninės įrangos sprendimus, atliekant daugelį įprastų užduočių, pridėtinės išlaidos gali svyruoti nuo 3 iki 5 %. Konkrečiais atvejais arba naudojant procesorius be MBEC (pvz., AMD Zen+ platformose), HVCI įjungimo nuostolis sintetiniuose etaloniniuose testuose gali siekti apie 10–12 %.

Senesniuose kompiuteriuose arba kompiuteriuose su tam tikrų kartų „Intel“ ir AMD procesoriais matėme kraštutiniai nuostolių atvejai, artimi 25–28 % kai kuriuose konkrečiuose žaidimuose ar sintetiniuose testuose, ypač derinant VBS, HVCI ir kitus apsaugos sluoksnius, ir kai žaidimai labai priklauso nuo vieno srauto procesoriaus našumo.

Keletas turinio kūrėjų ir našumo ekspertų įrodė, kad tam tikruose kompiuteriuose Išjungus atminties vientisumą, hipervizorius gali grąžinti pastebimą FPS kiekį.Tai ypač pastebima žaidimuose, kuriuose procesoriaus apkrovos labai priklauso (strateginiai žaidimai su daugybe skaičiavimų, sudėtingi simuliatoriai, prastai optimizuoti žaidimai ir kt.).

Nepaisant to, „28 % fiksuotų“ praradimas, kurį kai kurios antraštės išpopuliarino Tai nėra universali tiesa. Daugelyje nešiojamieji O naujausiuose staliniuose kompiuteriuose testai rodo daug kuklesnį kritimą – apie 3 %, jei aktyvus tik VBS be HVCI, ir šiek tiek labiau pastebimą, kai atminties vientisumas yra priverstinai taikomas procesoriams, kurie nėra tam optimizuoti.

Taigi, ar prasminga jį išjungti? Kompiuteryje, kuris beveik išimtinai naudojamas žaidimams ir kuris... netvarko itin jautrių duomenųGali būti protinga išjungti HVCI arba net VBS, jei norite išspausti iš sistemos kiekvieną kadrą, su sąlyga, kad vartotojas laikosi gerų saugumo praktikų: atnaujinta sistema, aktyvi antivirusinė programa, nėra kitų problemų. piratinė programinė įranga nei „įtartinų“ vykdomųjų failų.

Tačiau profesinėje aplinkoje, darbo komandose, kurios tvarko klientų informaciją, arba pareigose, kur saugumas yra prioritetas, Negerai aukoti VBS mainais į kelis FPS.Čia apsauga nuo pažangių kenkėjiškų programų ir branduolio atakų yra daug svarbesnė nei našumo padidėjimas žaidimuose, kurie gali net neveikti tuose kompiuteriuose.

Kaip sužinoti, ar VBS aktyvus, ir kaip jį valdyti sistemoje „Windows“

Norėdami patikrinti, ar virtualizacijos pagrindu veikianti sauga veikia „Windows 10“ arba „11“ kompiuteryje, galite naudoti kelis pačios sistemos pateiktus įrankius. Tai leidžia jums Peržiūrėkite VBS, HVCI ir kitų susijusių funkcijų būseną..

Vienas iš tiesiausių būdų yra atidaryti msinfo32.exe (sistemos informacija) Sistemos suvestinėje slinkite žemyn iki eilutės „Virtualizacija pagrįsta sauga“. Joje bus aiškiai nurodyta, ar ji išjungta, įjungta, bet neveikia, ar veikia.

Dar viena, sudėtingesnė parinktis – naudoti PowerShell " su administratoriaus teisėmis ir užklausti WMI klasę Win32_DeviceGuard su komanda:

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

Šios konsultacijos rezultatas – labai detalus suskirstymas: galimos aparatinės įrangos saugumo savybės (hipervizorius, saugus įkrovimas, DMA apsauga, MBEC ir kt.), sukonfigūruotos ir veikiančios paslaugos („Credential Guard“, atminties vientisumas), VBS būsena, SMM izoliacijos lygis ir kiti parametrai.

į valdyti VBS ir atminties vientisumą Įmonės lygmeniu „Microsoft“ rekomenduoja naudoti grupių strategijas, „Device Guard“ šablonus arba registro scenarijus, kurie nustato tokius raktus kaip:

• EnableVirtualizationBasedSecurity norint įjungti / išjungti VBS.
• RequirePlatformSecurityFeatures reikalauti tik saugaus įkrovimo arba saugaus įkrovimo + DMA apsaugos.
• Mandatory kad įkrovos procesas nepavyktų, jei negalima įkelti hipervizoriaus arba saugaus branduolio.
• Raktai po Scenarios\HypervisorEnforcedCodeIntegrity įjungti HCCI ir nuspręsti, ar jį blokuoti per UEFI.

Taip pat sąsajoje galite valdyti atminties vientisumo parinkties matomumą. "Windows Defender"pritemdykite jį ir rodykite pranešimus, pvz., „Šį nustatymą tvarko jūsų administratorius“, kad neleisti vartotojui jo pakeisti savarankiškai.

Jei įjungus HVCI kyla rimtų stabilumo problemų (mėlyni ekranai paleidžiant, tvarkyklių gedimai ir pan.), galite kreiptis į „Windows“ atkūrimo aplinka („Windows RE“) Norėdami paleisti atkūrimo režimą, prieš paleisdami iš naujo, išjunkite atitinkamas politikas ir pakoreguokite registro raktus, kad atminties vientisumas būtų išjungtas.

Geriausios saugumo praktikos virtualioms mašinoms ir kompiuteriams su VBS arba be jos

VBS padeda, bet Tai nepakeičia pagrindinės saugos higienosTai taikoma tiek fizinėms mašinoms, tiek virtualizuotoms aplinkoms. Tiesą sakant, daugelis geriausios praktikos pavyzdžių nepriklauso nuo to, ar šis sluoksnis įjungtas, ar ne.

Vienas iš ramsčių yra naudoti stiprūs ir unikalūs slaptažodžiai kiekvienai virtualiai mašinai ir slaptai paskyraiSlaptažodžių tvarkyklė (arba integruotos VPN ar katalogų sprendimų funkcijos) labai supaprastina stiprių, pakartotinai nenaudojamų slaptažodžių tvarkymą.

Kita esminė priemonė yra apsaugoti tinklo prievadusNereikalingų prievadų blokavimas ir prieigos apribojimas tik iki įgaliotų IP adresų arba tinklo segmentų labai sumažina virtualių mašinų atakų paviršių, apsaugodamas vidines paslaugas nuo pažeidžiamumo iš bet kurios vietos.

Tam tikrais atvejais kai kurios organizacijos pasirenka tokius metodus kaip Virtualių mašinų „apvyniojimas“ arba sustiprinta izoliacijaTai sukuria apsaugos perimetrą aplink VM ir jos pagrindinį kompiuterį, užkertantį kelią tiesioginei sąveikai iš likusio tinklo. Tai leidžia, pavyzdžiui, karantinuoti įtariamą VM nepažeidžiant visos infrastruktūros.

Laikykite visa programinė įranga atnaujinta Tai lygiai taip pat svarbu. Neištaisyta pasenusi programinė įranga yra žinomų spragų židinys, todėl, jei reikia naudoti pasenusias programas, patartina jas naudoti tik labai izoliuotose virtualiose mašinose, turinčiose minimalią prieigą prie likusio tinklo.

Žinoma, nepamirškite įdiegti Į virtualią aplinką integruoti kenkėjiškų programų prevencijos sprendimaikurios kontroliuoja srautą, procesus ir nuotolinę prieigą prie virtualių mašinų. Pageidautina užkirsti kelią atakai ir ją perimti, kol ji nepasiekė sistemos branduolio, net jei virtualios mašinų sistemos gali sušvelninti jos poveikį.

Galiausiai, bet kokia rimta strategija turėtų apimti tvirtą planą virtualių mašinų atsarginės kopijos ir momentinės kopijosJei virtualioji mašina yra pažeista, daug greičiau ir saugiau atkurti žinomą momentinę kopiją, nei bandyti išvalyti pažeistą gamybinę sistemą, o tai taip pat neleidžia užpuolikui toliau judėti tinkle.

Derinant saugumą ir našumą, ypač namų, žaidimų ar mišraus naudojimo kompiuteriuose, prasminga apsvarstyti, kokio lygio riziką esate pasirengę prisiimti, kokias užduotis atliekate ir ar verta palaikyti [būtinas saugumo priemones]. VBS ir HCCI viskas aktyvuota El Tiempo arba tik sistemose ir profiliuose, kuriuose branduolio ir kredencialų apsauga yra svarbesnė už bet kokį poveikį FPS ar CPU ištekliams.