Bảo mật dựa trên ảo hóa (Virtualization-Based Security - VBS) là gì và nó hoạt động như thế nào trong Windows?

La bảo mật dựa trên ảo hóa, hay VBSđã trở thành một trong những thành phần quan trọng của hệ sinh thái bảo mật Windows 10. cửa sổ 11 và Windows Server hiện đại. Đây là một trong những tính năng mà hầu hết người dùng không thấy, nhưng nó có thể tạo nên sự khác biệt giữa một cuộc tấn công kernel thành công và một hệ thống có thể chống chọi được ngay cả với các cuộc tấn công mạnh mẽ. phần mềm độc hại Rất tinh vi.

Đồng thời VBS và HCCI bày tỏ lo ngại về tác động của chúng đối với hiệu suất hoạt động.đặc biệt là trên máy tính chơi game hoặc các hệ thống có phần cứng Nhiều người dùng kỳ cựu hơn. Do đó, nhiều người thắc mắc chính xác công nghệ này làm gì, dùng để làm gì, làm thế nào để kích hoạt (hoặc vô hiệu hóa) nó, và những tác động thực sự của nó đối với bảo mật, FPS, độ trễ và mức sử dụng CPU.

Bảo mật dựa trên ảo hóa (VBS) trong Windows là gì?

La Bảo mật dựa trên ảo hóa (VBS) Đây là một tính năng bảo mật của Microsoft dựa trên ảo hóa phần cứng và... Trình ảo hóa Windows Mục đích là tạo ra một môi trường thực thi biệt lập bên trong hệ thống. Môi trường ảo này trở thành một dạng gốc tin cậy, từ đó giả định kịch bản xấu nhất: rằng nhân hệ điều hành Windows có thể bị xâm phạm nhưng các tài nguyên quan trọng vẫn cần được bảo vệ.

Trong thực tế, VBS lắp ráp một "hệ thống mini" nhỏ gọn và được bảo vệ. sử dụng khả năng ảo hóa của CPU (Intel VT-x, AMD-V, v.v.) và sử dụng nó để lưu trữ nhiều giải pháp bảo mật khác nhau: tính toàn vẹn bộ nhớ, Credential Guard, các biện pháp bảo vệ của khởi độngTrong số những lý do khác, vì nó tách biệt khỏi nhân hệ điều hành thông thường, môi trường này khó bị tấn công hơn nhiều, ngay cả với các lỗ hổng bảo mật chưa được vá (zero-day vulnerabilities) trong hệ điều hành.

Cơ chế này cho phép rằng hệ thống và tài nguyên bảo mật cực kỳ nhạy cảm (chẳng hạn như thông tin đăng nhập, khóa mã hóa hoặc cấu trúc nhân hệ điều hành nội bộ) vẫn nằm ngoài tầm với của mã chạy ở chế độ nhân "bình thường", chính xác là mục tiêu ưa thích của phần mềm độc hại cao cấp.

Một điểm quan trọng khác là VBS áp đặt những hạn chế rất nghiêm ngặt đối với cách quản lý bộ nhớ kernel.Một số vùng nhớ chỉ có thể được thực thi sau khi vượt qua các kiểm tra tính toàn vẹn trong môi trường bảo mật, và một khi đã được đánh dấu là có thể thực thi, chúng không thể bị sửa đổi. Do đó, lỗ hổng tràn bộ đệm hoặc lỗi hỏng bộ nhớ có thể cho phép ghi vào bộ nhớ, nhưng không thể chuyển đổi bộ nhớ đó thành mã thực thi làm tổn hại toàn bộ hệ thống.

Khi VBS được bật trong máy ảo, một biến thể của Hyper-V ngay trong chính khách hàng Và Windows sau đó chạy trong phân vùng gốc của trình ảo hóa nội bộ đó. Có vẻ như hệ điều hành tự bao bọc mình trong lớp ảo hóa riêng để tăng cường khả năng phòng thủ.

Tính toàn vẹn bộ nhớ và tính toàn vẹn mã ở chế độ nhân (HVCI)

Trong khuôn khổ chương trình VBS, một trong những phần quan trọng nhất là... tính toàn vẹn của bộ nhớ, còn được gọi là Tính toàn vẹn mã được thực thi bởi Hypervisor (HVCI) hoặc tính toàn vẹn mã được bảo vệ bởi trình ảo hóa. Chức năng này tăng cường bảo mật hệ thống bằng cách xác minh rằng tất cả mã chạy ở chế độ kernel đều tuân thủ các quy tắc ký và tin cậy nghiêm ngặt.

Nói một cách dễ hiểu, HVCI xác thực từng trình điều khiển và tệp nhị phân chế độ nhân. Trước khi tải. Nếu trình điều khiển không được ký đúng cách, đã bị sửa đổi hoặc đến từ một nguồn không đáng tin cậy, việc tải nó vào bộ nhớ sẽ bị chặn. Điều này loại bỏ một trong những phương thức tấn công kinh điển: cài đặt lén một trình điều khiển độc hại với quyền hạn cao.

Hơn nữa, tính toàn vẹn của bộ nhớ Nó hạn chế mạnh mẽ cách thức phân bổ bộ nhớ nhân hệ điều hành.Các trang bộ nhớ được chỉ định cho mã kernel có thể thực thi chỉ trở nên có thể thực thi sau khi vượt qua các kiểm tra tính toàn vẹn trong môi trường VBS và không bao giờ được chuyển đổi trở lại thành các trang có thể ghi. Điều này ngăn chặn các kỹ thuật khai thác điển hình, trong đó mã được tiêm vào bộ nhớ kernel và được thực thi ngay lập tức.

HCCI cũng bảo vệ các cấu trúc quan trọng như ảnh bitmap của Bộ bảo vệ dòng chảy điều khiển (CFG) Đối với các trình điều khiển nhân hệ điều hành và chính quy trình kiểm tra tính toàn vẹn mã nguồn, quy trình này xác minh các thành phần khác. Bằng cách này, Khả năng thao túng luồng thực thi của phần mềm độc hại bị giảm đi đáng kể. của các quy trình đặc quyền.

Tuy nhiên, tất cả sự bảo vệ này đều có cái giá của nó: Điều này sẽ gây ra một số gánh nặng cho CPU.Con số này có thể cao hơn hoặc thấp hơn tùy thuộc vào việc bộ xử lý có tích hợp khả năng tăng tốc phần cứng hay không, chẳng hạn như... MBEC (Điều khiển thực thi dựa trên chế độ) hoặc các công cụ tương đương, và loại khối lượng công việc (trò chơi, dựng hình, v.v.).

Yêu cầu về phần cứng và phần mềm để sử dụng VBS

Để bảo mật dựa trên ảo hóa được kích hoạt đầy đủ và ổn định, Windows yêu cầu một số cấu hình phần cứng và phần mềm tối thiểu.Chỉ có một hệ điều hành hiện đại thôi là chưa đủ; nền tảng đó phải cung cấp những khả năng nhất định cho hệ thống.

Đầu tiên, việc có một CPU 64-bit với các tiện ích mở rộng ảo hóaTrong thế giới x86, điều đó có nghĩa là hỗ trợ Intel VT-x hoặc AMD-V. Nếu không có hypervisor, sẽ không có VBS, vì tất cả các biện pháp bảo vệ đều được xây dựng trên lớp ảo hóa đó.

Khả năng tương thích với dịch địa chỉ cấp hai (SLAT)Trong Intel, điều này được thực hiện thông qua EPT (Extended Page Tables), còn trong AMD thì thông qua RVI hoặc NPT (Rapid Virtualization Indexing). SLAT giảm thiểu tổn thất hiệu năng thường gặp của ảo hóa và cho phép VBS hoạt động với mức chi phí chấp nhận được.

Một yếu tố quan trọng khác là phải có IOMMU hoặc SMMU (Intel VT-d, AMD-Vi, hoặc SMMU trên nền tảng Arm64). Các đơn vị này cho phép kiểm soát quyền truy cập DMA vào các thiết bị I/O, do đó không thể ghi dữ liệu vào bộ nhớ một cách tùy ýTất cả các thiết bị hỗ trợ DMA phải được đặt "phía sau" một IOMMU để hệ thống có thể giảm thiểu các cuộc tấn công truy cập bộ nhớ trực tiếp.

Hơn nữa, VBS phụ thuộc rất nhiều vào... TPM 2.0 (Mô-đun nền tảng đáng tin cậy)Con chip này, được tích hợp trên bo mạch chủ hoặc triển khai thông qua phần mềm nhúng, lưu trữ an toàn thông tin đăng nhập, khóa mã hóa và các thông số khởi động. VBS có thể tái sử dụng không gian bộ nhớ được bảo vệ bởi TPM để lưu trữ thông tin nhạy cảm cao như thông tin đăng nhập hoặc dữ liệu xác thực.

Phần mềm nhúng cũng có những trách nhiệm: Giao diện UEFI phải tuân thủ một số hướng dẫn nhất định về phân bổ bộ nhớ và báo cáo. để hệ điều hành biết được những vùng nào có thể được sử dụng cho môi trường hộp cát. Tương tự, bạn phải triển khai các biện pháp bảo vệ cho Chế độ quản lý hệ thống (SMM), được khai báo thông qua bảng ACPI của Bảng biện pháp giảm thiểu rủi ro bảo mật SMM của Windows (WMST/WSMT)Điều này cho thấy nó đáp ứng các yêu cầu mà Windows mong đợi để kích hoạt các tính năng của VBS.

Liên quan đến điều này, các yếu tố sau đây sẽ phát huy tác dụng: Yêu cầu ghi đè bộ nhớ (MOR) v2Nó sử dụng một biến UEFI bảo mật để bảo vệ cấu hình khóa ghi đè bộ nhớ, giúp chống lại các cuộc tấn công nâng cao nhằm mục đích tái sử dụng nội dung bộ nhớ sau khi khởi động lại.

Cuối cùng, điều cần thiết là Tất cả các trình điều khiển đã cài đặt đều tương thích với tính toàn vẹn bộ nhớ.Microsoft cung cấp các bài kiểm tra cụ thể trong Windows Driver Kit và Driver Verifier để xác nhận rằng trình điều khiển không vi phạm các quy tắc HVCI. Kết quả điển hình là:

• Chạy Trình kiểm tra trình điều khiển với tùy chọn kiểm tra tính toàn vẹn mã và khả năng tương thích được bật.
• Vượt qua bài kiểm tra tính toàn vẹn mã của hypervisor trên Windows HLK.
• Kiểm tra trình điều khiển trên các hệ thống có bật VBS và tính năng toàn vẹn bộ nhớ khi chạy.

Nhiều hệ thống triển khai trong doanh nghiệp cũng yêu cầu hệ thống phải khởi động ở chế độ boot. HỘP BẢO MẬTNhờ đó, chỉ có firmware và bootloader đã được ký mới được tải, hoàn thiện chuỗi tin cậy từ UEFI đến môi trường VBS.

VBS, HCCI và sự tích hợp của chúng vào Hyper-V và môi trường ảo.

VBS không chỉ đơn thuần là về trang thiết bị vật chất; Nó cũng có thể được sử dụng trong máy ảoĐây là lúc Hyper-V và các nền tảng ảo hóa khác như VMware ESXi phát huy tác dụng, vì chúng đã cung cấp hỗ trợ cụ thể cho các tính năng bảo mật này.

Trong môi trường Hyper-V, tính năng này có thể được kích hoạt. Khách VSM để máy ảo Windows có môi trường VBS riêng bên trong hệ điều hành khách. Ví dụ, trong Azure, Các máy ảo thế hệ 2 đã được bật tính năng này theo mặc định. Trong nhiều dòng sản phẩm của nó, ảo hóa lồng nhau cũng được hỗ trợ trong một số dòng sản phẩm khác.

Một số dòng sản phẩm Azure hỗ trợ ảo hóa lồng nhau và/hoặc VSM khách bao gồm các dòng như sau: Av2, Dsv2/Dv2/Dv3, Esv3/Edsv3, Fsv2, Lsv2 và các thế hệ gần đây hơn như Dv4/Dv5, ESv5, cùng nhiều thế hệ khác. Chi tiết cụ thể khác nhau tùy thuộc vào thế hệ (1 hoặc 2) và kích thước, nhưng ý tưởng chung là... Phần lớn các ứng dụng trong danh mục Azure hiện đại có thể chạy VBS bên trong máy ảo..

Trong VMware, từ vSphere 6.7 trở lên với CPU Intel (và kể từ vSphere 7 Update 2 đối với các CPU AMD được hỗ trợ) việc bật VBS trong máy ảo khách Windows được cho phép. Cần sử dụng các phiên bản phần cứng VM mới nhất (ví dụ: phần cứng 14 trở lên trên Intel y 18 trở lên trên AMD) và các hệ điều hành khách như Windows 10 64-bit, Windows Server 2016 hoặc 2019.

Trong ứng dụng khách VMware (VMware Host Client), Bạn có thể chọn tùy chọn "Bật bảo mật dựa trên ảo hóa Windows" khi tạo máy ảo. hoặc kích hoạt nó sau này trên máy ảo hiện có. Thao tác này sẽ tự động kích hoạt:

• Phần mềm UEFI với HỘP BẢO MẬT.
• Trình diễn ảo hóa hỗ trợ phần cứng cho khách mời.
• IOMMU và các cơ chế cần thiết khác.

Khi kích hoạt VBS trên máy ảo hiện có, bạn cần đảm bảo rằng Nó đã sử dụng firmware UEFI rồi.Một sự thay đổi tiếp theo của BIOS Việc kế thừa EFI có thể phức tạp và đòi hỏi các bước bổ sung để tránh tình trạng máy ảo không thể khởi động.

Trong máy ảo, quá trình kích hoạt VBS thường bao gồm việc cài đặt vai trò của... Hyper-V (trong trường hợp Windows Server) và sau đó cấu hình các chính sách bảo mật (ví dụ: bằng cách) Mở gpedit.msc trong Device Guard > Bật bảo mật dựa trên ảo hóa), lựa chọn các cấp độ như Khởi động an toàn và Bảo vệ DMA, bật HVCI với khóa UEFI và cấu hình Bảo vệ thông tin xác thực.

VBS như một công cụ bảo mật trong máy ảo và cơ sở hạ tầng

Ngoài các khía cạnh kỹ thuật thuần túy, VBS còn được tích hợp vào các chiến lược bảo mật cho môi trường ảo hóaTrong đó, máy ảo xử lý thông tin có giá trị tương đương, hoặc thậm chí hơn, với máy chủ vật lý.

Trong nhiều tổ chức, máy ảo không chỉ là môi trường thử nghiệm: Họ cung cấp dịch vụ cho các ứng dụng sản xuất. cơ sở dữ liệu và các hệ thống xử lý dữ liệu nhạy cảmĐiều này khiến chúng trở thành mục tiêu hàng đầu cho những kẻ tấn công, những kẻ tìm cách xâm nhập cả máy ảo và, nếu có thể, chuyển hướng sang máy chủ và phần còn lại của mạng.

VBS rất hữu ích ở đây vì cách ly máy ảo khỏi máy chủ vật lý Về quyền truy cập vào phần cứng, giao diện mạng và, trong một số trường hợp, thậm chí cả quản lý danh tính. Khi được sử dụng kết hợp với quản lý danh tính Active Directory, quyền truy cập vào một số máy ảo có thể được thiết lập để phụ thuộc trực tiếp vào thông tin đăng nhập của công ty thay vì tên người dùng/mật khẩu cục bộ.

Cách tiếp cận này cho phép Thu hồi quyền truy cập nhanh chóng vào các máy ảo nhạy cảm Nếu một nhân viên rời công ty, phát hiện hoạt động đáng ngờ hoặc xảy ra vi phạm bảo mật, thay vì phải thay mật khẩu từng máy một, chỉ cần điều chỉnh quyền truy cập trong Active Directory và các chính sách liên quan đến các tài nguyên ảo đó là đủ.

Hơn nữa, VBS giúp hạn chế tác động của các cuộc tấn công bắt nguồn từ chính máy ảo. Ngay cả khi kẻ tấn công успеет leo thang đặc quyền trong máy ảo khách, Lớp VBS có thể tiếp tục bảo vệ thông tin xác thực và mã nguồn quan trọng của nhân hệ điều hành.Điều này khiến việc đánh cắp bí mật hoặc sử dụng các kỹ thuật di chuyển ngang dựa trên trình điều khiển độc hại trở nên khó khăn hơn nhiều.

Tính toàn vẹn của bộ nhớ, đặc biệt, củng cố mô hình này, vì ngăn chặn các trình điều khiển không đáng tin cậy tải và ngăn chặn một số phương thức leo thang đặc quyền phổ biến trong các hệ thống Windows ảo hóa.

VBS và HCCI trong chơi game trên Windows: tác động đến hiệu năng và khi nào nên tắt chúng

Điểm khác biệt đáng kể của bộ phim nằm ở khía cạnh... Chơi game PCMicrosoft đã mặc định kích hoạt VBS và tính toàn vẹn bộ nhớ trong một số bản cài đặt Windows 10 sạch và đặc biệt là Windows 11, điều này đã gây ra nhiều tranh luận do tiềm ẩn rủi ro. sự suy giảm hiệu năng trong trò chơi.

Thực tế là Tác động phụ thuộc rất nhiều vào phần cứng và loại tải.Trên các bộ xử lý tương đối hiện đại, có hỗ trợ MBEC hoặc các biện pháp giảm thiểu phần cứng khác, mức hao phí có thể dao động từ 3-5% trong nhiều tác vụ thông thường. Trong các trường hợp cụ thể hoặc với CPU không có MBEC (ví dụ: nền tảng AMD Zen+), mức hao phí do bật HVCI có thể lên tới khoảng 10-12% trong các bài kiểm tra hiệu năng tổng hợp.

Trên các máy tính cũ hơn hoặc những máy sử dụng bộ xử lý Intel và AMD thuộc một số thế hệ nhất định, chúng ta đã thấy Trong những trường hợp cực đoan, tổn thất có thể lên tới gần 25-28%. Trong một số trò chơi cụ thể hoặc các bài kiểm tra tổng hợp, đặc biệt là khi kết hợp VBS, HVCI và các lớp bảo vệ khác, và khi các tựa game phụ thuộc nhiều vào hiệu năng CPU đơn luồng.

Một số nhà sáng tạo nội dung và chuyên gia về hiệu năng đã chứng minh rằng, trên một số máy tính cá nhân nhất định, Việc vô hiệu hóa tính toàn vẹn bộ nhớ có thể khiến hypervisor trả về một lượng FPS đáng kể.Điều này đặc biệt dễ nhận thấy ở những tựa game phụ thuộc nhiều vào CPU (game chiến lược với nhiều phép tính, game mô phỏng phức tạp, game tối ưu hóa kém, v.v.).

Tuy nhiên, việc mất đi con số "28% cố định" mà một số tiêu đề đã phổ biến Đây không phải là một chân lý phổ quát.. Ở nhiều nơi máy tính xách tay Và trên các máy tính để bàn đời mới, các bài kiểm tra cho thấy mức giảm khiêm tốn hơn nhiều, khoảng 3% nếu chỉ kích hoạt VBS mà không có HVCI, và có phần rõ rệt hơn khi buộc phải duy trì tính toàn vẹn bộ nhớ trên các CPU không được tối ưu hóa cho tính năng này.

Vậy, liệu có nên tắt nó đi không? Trên một chiếc PC hầu như chỉ dùng để chơi game và... không xử lý dữ liệu nhạy cảm caoCó thể việc vô hiệu hóa HVCI hoặc thậm chí VBS là hợp lý nếu bạn muốn tận dụng tối đa từng khung hình của hệ thống, với điều kiện người dùng duy trì các biện pháp bảo mật tốt: hệ thống được cập nhật, phần mềm diệt virus đang hoạt động, và không có vấn đề nào khác. phần mềm lậu cũng không phải là các tập tin thực thi "đáng ngờ".

Tuy nhiên, trong môi trường chuyên nghiệp, trong các nhóm làm việc xử lý thông tin khách hàng, hoặc trong các vị trí mà bảo mật là ưu tiên hàng đầu, Việc hy sinh VBS để đổi lấy vài FPS không phải là một ý tưởng hay.Ở đây, việc bảo vệ chống lại phần mềm độc hại tiên tiến và các cuộc tấn công vào nhân hệ điều hành quan trọng hơn nhiều so với việc tăng hiệu năng trong các trò chơi có thể thậm chí không chạy được trên các máy đó.

Làm thế nào để biết VBS có đang hoạt động hay không và cách quản lý nó từ Windows?

Để kiểm tra xem bảo mật dựa trên ảo hóa có hoạt động trên máy tính Windows 10 hoặc 11 hay không, bạn có thể sử dụng một số công cụ do chính hệ thống cung cấp. Điều này cho phép bạn Xem trạng thái của VBS, HVCI và các tính năng liên quan khác..

Một trong những cách trực tiếp nhất là mở msinfo32.exe (Thông tin hệ thống) Và trong phần tóm tắt hệ thống, hãy cuộn xuống dòng "Bảo mật dựa trên ảo hóa". Nó sẽ hiển thị rõ ràng liệu tính năng này đang bị vô hiệu hóa, được kích hoạt nhưng không chạy, hay đang chạy.

Một lựa chọn nâng cao hơn nữa là sử dụng PowerShell với quyền quản trị và truy vấn lớp WMI Win32_DeviceGuard với lệnh:

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

Kết quả của cuộc tham vấn này mang lại một phân tích rất chi tiếtCác thuộc tính bảo mật phần cứng khả dụng (hypervisor, Secure Boot, bảo vệ DMA, MBEC, v.v.), các dịch vụ đã cấu hình và đang chạy (Credential Guard, tính toàn vẹn bộ nhớ), trạng thái VBS, mức độ cách ly SMM, cùng các tham số khác.

đến quản lý VBS và tính toàn vẹn bộ nhớ Ở cấp độ doanh nghiệp, Microsoft khuyến nghị sử dụng chính sách nhóm, mẫu Device Guard hoặc tập lệnh registry để thiết lập các khóa như:

• EnableVirtualizationBasedSecurity Để kích hoạt/vô hiệu hóa VBS.
• RequirePlatformSecurityFeatures Chỉ yêu cầu Secure Boot hoặc Secure Boot + DMA protection.
• Mandatory Do đó, quá trình khởi động sẽ thất bại nếu hypervisor hoặc nhân hệ điều hành bảo mật không thể được tải.
• Các phím dưới Scenarios\HypervisorEnforcedCodeIntegrity để kích hoạt HCCI và quyết định xem có nên chặn nó thông qua UEFI hay không.

Bạn cũng có thể điều chỉnh khả năng hiển thị của tùy chọn kiểm tra tính toàn vẹn bộ nhớ trong giao diện. windows Defenderlàm mờ màn hình và hiển thị các thông báo như "Cài đặt này do quản trị viên của bạn quản lý" ngăn người dùng tự ý thay đổi nó..

Trong trường hợp gặp các sự cố ổn định nghiêm trọng sau khi kích hoạt HVCI (màn hình xanh khi khởi động, trình điều khiển bị lỗi, v.v.), bạn có thể sử dụng các biện pháp sau: Môi trường khôi phục Windows (Windows RE) Để khởi động vào chế độ phục hồi, hãy vô hiệu hóa các chính sách liên quan và điều chỉnh các khóa registry để giữ cho tính toàn vẹn bộ nhớ ở trạng thái bị vô hiệu hóa trước khi khởi động lại.

Các biện pháp bảo mật tốt nhất cho máy ảo và máy tính cá nhân có hoặc không có VBS

VBS có ích, nhưng Nó không thay thế các biện pháp vệ sinh an toàn cơ bản.Điều này áp dụng cho cả máy vật lý và môi trường ảo hóa. Trên thực tế, nhiều phương pháp thực hành tốt nhất không phụ thuộc vào việc lớp này có được bật hay không.

Một trong những trụ cột là sử dụng Mật khẩu mạnh và độc nhất cho mỗi máy ảo và tài khoản nhạy cảm.Trình quản lý mật khẩu (hoặc các tính năng tích hợp trong các giải pháp VPN hoặc thư mục) giúp đơn giản hóa đáng kể việc duy trì các mật khẩu mạnh, không được sử dụng lại.

Một biện pháp cơ bản khác là bảo vệ các cổng mạngChặn các cổng không cần thiết và giới hạn quyền truy cập chỉ cho các địa chỉ IP hoặc phân đoạn mạng được ủy quyền sẽ làm giảm đáng kể bề mặt tấn công của máy ảo, ngăn chặn các dịch vụ nội bộ bị dễ bị tổn thương từ bất kỳ đâu.

Trong một số trường hợp nhất định, một số tổ chức lựa chọn các kỹ thuật như sau: “Bao bọc” hoặc tăng cường cách ly các máy ảoĐiều này tạo ra một lớp bảo mật xung quanh máy ảo và máy chủ của nó, ngăn chặn sự tương tác trực tiếp từ phần còn lại của mạng. Ví dụ, điều này cho phép cách ly một máy ảo bị nghi ngờ mà không làm ảnh hưởng đến toàn bộ cơ sở hạ tầng.

Giữ tất cả phần mềm đã được cập nhật Điều này cũng vô cùng quan trọng. Phần mềm cũ chưa được vá lỗi là môi trường thuận lợi cho các lỗ hổng bảo mật đã biết, vì vậy nếu bắt buộc phải sử dụng các ứng dụng cũ, tốt nhất nên giới hạn chúng trong các máy ảo được cách ly cao với quyền truy cập tối thiểu vào phần còn lại của mạng.

Tất nhiên, đừng quên cài đặt Các giải pháp phòng chống phần mềm độc hại được tích hợp vào môi trường ảo.Chúng kiểm soát lưu lượng truy cập, các tiến trình và quyền truy cập từ xa vào các máy ảo. Tốt hơn hết là nên ngăn chặn và chặn đứng một cuộc tấn công trước khi nó tiếp cận lõi hệ thống, ngay cả khi VBS có thể giảm thiểu tác động của nó.

Cuối cùng, bất kỳ chiến lược nghiêm túc nào cũng nên bao gồm một kế hoạch vững chắc về... sao lưu và chụp ảnh nhanh máy ảoNếu máy ảo bị xâm nhập, việc khôi phục bản sao lưu đã biết sẽ nhanh hơn và an toàn hơn nhiều so với việc cố gắng khắc phục hệ thống sản xuất bị xâm nhập, điều này cũng ngăn chặn kẻ tấn công di chuyển xa hơn trong mạng.

Khi cân bằng giữa bảo mật và hiệu năng, đặc biệt là trên máy tính gia đình, máy tính chơi game hoặc máy tính đa năng, điều quan trọng là phải xem xét mức độ rủi ro bạn sẵn sàng chấp nhận, loại tác vụ bạn thực hiện và liệu việc duy trì các biện pháp bảo mật cần thiết có đáng giá hay không. VBS và HCCI mọi thứ đã được kích hoạt el tiempo hoặc chỉ trên các hệ thống và cấu hình mà việc bảo vệ nhân hệ điều hành và thông tin xác thực được ưu tiên hơn bất kỳ tác động nào đến FPS hoặc tài nguyên CPU.