Zabezpečení na základě virtualizace (VBS)
Zabezpečení založené na virtualizaci neboli VBS používá virtualizaci hardwaru a hypervisor Windows k vytvoření izolovaného virtuálního prostředí, které se stane kořenem důvěryhodnosti operačního systému, který předpokládá, že jádro může být ohroženo. Systém Windows používá toto izolované prostředí k hostování řady řešení zabezpečení, které jim poskytuje výrazně zvýšenou ochranu před ohroženími zabezpečení v operačním systému a brání použití škodlivých zneužití, která se pokoušejí porazit ochranu. VBS vynucuje omezení k ochraně důležitých systémových a operačních systémů nebo k ochraně prostředků zabezpečení, jako jsou ověřené přihlašovací údaje uživatele.
Jedním z takových příkladů řešení zabezpečení je integrita paměti, která chrání Windows zajištěním integrity kódu v jádrovém režimu v izolovaném virtuálním prostředí VBS. Integrita kódu režimu jádra je proces Windows, který před spuštěním kontroluje všechny ovladače a binární soubory režimu jádra a zabraňuje načtení nepodepsaných nebo nedůvěryhodných ovladačů nebo systémových souborů do systémové paměti. Integrita paměti také omezuje přidělení paměti jádra, které by mohlo být použito k ohrožení systému, a zajišťuje, aby stránky paměti jádra se staly spustitelnými pouze po úspěšném provedení kontroly integrity kódu v zabezpečeném běhovém prostředí a samotné spustitelné stránky nikdy nejsou zapisovatelné. To znamená, že i kdyby došlo k ohrožením jako přetečení vyrovnávací paměti, které umožňují malwaru pokusit se upravit paměť, spustitelné stránky kódu nelze upravit a upravenou paměť nelze učinit spustitelnou.
Poznámka
Integrita paměti se někdy označuje jako hypervisorem chráněná integrita kódu (HVCI) nebo hypervisorem vynucená integrita kódua původně byla uvedena jako součást Device Guard. Device Guard se už nepoužívá s výjimkou vyhledání integrity paměti a nastavení VBS v zásadách skupiny nebo registru Windows.
VBS vyžaduje, aby byly k dispozici a správně nakonfigurované následující komponenty.
Požadavek na hardware | Podrobnosti |
---|---|
64bitový procesor | Zabezpečení založené na virtualizaci (VBS) vyžaduje hypervisor Windows, který je podporován pouze na 64bitových procesorech IA s rozšířeními virtualizace, včetně Intel VT-X a AMD-v. |
Překlad adres druhé úrovně (SLAT) | VBS také vyžaduje, aby podpora virtualizace procesoru zahrnovala překlad adres druhé úrovně (SLAT), a to buď Intel VT-X2 s rozšířenými stránkovacími tabulkami (EPT), nebo AMD-v s rychlým indexováním virtualizace (RVI). |
IoMMU nebo SMMU (Intel VT-D, AMD-Vi, Arm64 SMMU) | Všechna V/V zařízení, která podporují DMA, musí být za IOMMU nebo SMMU. IoMMU lze použít ke zvýšení odolnosti systému proti útokům na paměť. |
TPM (Trusted Platform Module) 2.0 | Další informace naleznete v tématu Trusted Platform Module (TPM) 2.0. |
Podpora firmwaru pro ochranu SMM | Firmware systému musí dodržovat doporučení pro posílení zabezpečení kódu SMM popsaného ve specifikaci tabulky WMST (Windows SMM Security Mitigations Table). Specifikace WSMT obsahuje podrobnosti o tabulce ACPI, která byla vytvořena pro použití s operačními systémy Windows, které podporují funkce VBS. Firmware musí implementovat ochranu popsanou ve specifikaci WSMT a nastavit odpovídající příznaky ochrany, jak je popsáno ve specifikaci, aby ohlásil dodržování těchto požadavků operačnímu systému. |
Generování sestav paměti rozhraní UEFI (Unified Extensible Firmware Interface) | Firmware rozhraní UEFI musí dodržovat následující pokyny pro generování sestav map paměti a pokyny pro přidělování paměti, aby firmware zajistil kompatibilitu s VBS.
|
Žádost o přepsání zabezpečené paměti (MOR) – revize 2 | Zabezpečení MOR v2 je vylepšené, aby chránilo nastavení zámku MOR pomocí zabezpečené proměnné UEFI. To pomáhá chránit před pokročilými útoky na paměť. Pro podrobnosti se podívejte na implementaci zabezpečeného MOR . |
Ovladače kompatibilní s integritou paměti | Ujistěte se, že jsou všechny systémové ovladače testovány a ověřeny, aby byly kompatibilní s integritou paměti.
Windows Driver Kit a Driver Verifier obsahují testy kompatibility ovladačů s integritou paměti. K ověření kompatibility ovladačů existují tři kroky:
|
Zabezpečené spouštění | Na zařízeních využívajících VBS musí být povolené zabezpečené spouštění. Další informace naleznete v části zabezpečené spouštění |
VBS funguje na virtuálních počítačích s podporou vnořené virtualizace nebo s povolenou funkcí Guest VSM. Druhá možnost je ve výchozím nastavení povolená pro virtuální počítače generace 2 v Hyper-V. To zahrnuje také všechny virtuální počítače 2. generace v Microsoft Azure a virtuální počítače 1. generace s povolenou vnořenou virtualizací. Seznam podporovaných řad virtuálních počítačů Azure najdete v následující tabulce.
název řady virtuálních počítačů | Vnořená virtualizace | generování VM |
---|---|---|
Av2 | Ano | 1 (některé z interních velikostí podporují generaci 2) |
B | Ne | 1 a 2 |
Dsv2/Dv2/Dv3/Ev3 | Ano | 1 |
Dsv3/Ddsv3 | Ano | 1 a 2 |
Dsv4/Ddsv4 | Ano | 1 a 2 |
Esv3/Edsv3 | Ano | 1 a 2 |
Esv4/Edsv4 | Ano | 1 a 2 |
Ev4/Edv4 | Ano | Ev4 – pouze 1 Edv4 -1&2 |
Dv4/Ddv4 | Ano | 1 a 2 |
Dv5/Ddv5/Dsv5/Ddsv5 | Ano | 1 a 2 |
Ev5/Edv5/Esv5/Edsv5 | Ano | 1 a 2 |
Dasv5/Dadsv5/Easv5/ Eadsv5 | Ano | 1 a 2 |
Ebsv5/Edbsv5 | Ano | 1 a 2 |
Fsv2 | Ano | 1 a 2 |
Forex | Ano | 2 |
Lsv2 | Ano | 1 a 2 |
Související témata
Další informace o technologii Hyper-V najdete v tématu Hyper-V ve Windows Serveru 2016 nebo Úvod k Hyper-V ve Windows 10. Další informace o hypervisoru najdete v tématu Specifikace hypervisoru.