다음을 통해 공유

가상화 기반 보안 시스템 리소스 보호

  • 아티클

가상화 기반 보안 또는 VBS는 하드웨어 가상화 및 Windows 하이퍼바이저를 사용하여 커널이 손상될 수 있다고 가정하는 OS의 신뢰 루트가 되는 격리된 가상 환경을 만듭니다. Windows는 이 격리된 환경을 사용하여 다양한 보안 솔루션을 호스트하여 운영 체제의 취약성으로부터 크게 보호하고 보호를 무효화하려는 악의적인 악용의 사용을 방지합니다. VBS는 중요한 시스템 및 운영 체제 리소스를 보호하거나 인증된 사용자 자격 증명과 같은 보안 자산을 보호하기 위해 제한을 적용합니다.

VBS에 대한 자세한 내용은 VBS(가상화 기반 보안)을 참조하세요.

VBS는 신뢰 모델을 변경합니다.

VBS는 플랫폼 보안을 크게 개선시킬 뿐만 아니라 Windows PC의 신뢰 경계도 변경합니다. VBS를 사용하여 Windows 하이퍼바이저는 VBS 보안 환경의 기초를 제공하는 기본 하드웨어의 여러 측면을 제어합니다. 하이퍼바이저는 Windows 커널이 악성 코드에 의해 손상될 수 있다고 가정해야 하므로 보안 자산을 손상시킬 수 있는 방식으로 커널 모드에서 실행되는 코드에서 주요 시스템 리소스가 조작되지 않도록 보호해야 합니다.

프로세서 MSR 이해

하이퍼바이저가 악의적인 사용으로부터 보호해야 하는 중요한 시스템 리소스 영역 중 하나는 프로세서 MSR(모델별 레지스터)입니다. 최신 프로세서는 프로세서 동작의 주요 측면을 제어하는 많은 MSR을 지원합니다. MSR은 커널 모드 코드(즉, CPL0)에서만 읽거나 쓸 수 있습니다. MSR에 의해 제어되는 설정을 변경하면 악성 커널 모드 코드가 시스템의 동작을 변경하고 공격자가 제어권을 획득하여 보안을 손상시킬 수 있습니다. 또한 많은 MSR에는 추적 또는 진단 데이터와 같은 시스템 작동에 대한 데이터가 포함되어 있으며 보안 자산을 표시하거나 계산하는 데 사용할 수도 있습니다. 따라서 하이퍼바이저는 VBS의 보안 태세를 손상시킬 수 있는 MSR의 오용을 식별하고 보호해야 합니다.

MSR은 고유한 MSR 식별자인 인덱스를 통해 액세스됩니다. 역사적으로 많은 MSR이 아키텍처로 설정되었습니다. 즉, 그 존재와 기능은 여러 프로세서 세대에 걸쳐 아키텍처적으로 일관되게 유지됩니다. 이 경우, 문서화된 MSR 인덱스 및 정의가 있는 알려진 MSR을 사용하여 알려진 공개된 기능 집합을 제어할 수 있습니다. 그러나 프로세서마다 다른 MSR도 있으며 MSR 인덱스가 시간이 지남에 따라 용도가 변경되어 새로운 제어 집합을 참조하도록 재정의되는 경우가 있습니다. 광범위하게 사용 가능한 상용 소프트웨어에서 이러한 컨트롤에 대한 지식을 인코딩하고 유지 관리하는 것은 어렵기 때문에 시스템 수준 소프트웨어에 많은 문제를 야기합니다.

MSR에 대한 액세스 보호

강력한 보안 플랫폼을 제공하기 위해 MSR은 악성 커널 모드 코드의 오용으로부터 보호되어야 합니다. 이를 적용하기 위해 하이퍼바이저는 모든 MSR에 대한 액세스를 모니터링하고 제어합니다. 하이퍼바이저는 알려진 MSR 인덱스 목록을 유지 관리하며, 커널 모드 코드가 MSR 또는 MSR 내의 특정 비트에만 액세스할 수 있도록 허용하며, 이는 합리적이고 안전하다고 간주됩니다. 하이퍼바이저는 하이퍼바이저에 알려지지 않은 MSR 또는 공개된 정의를 통해 보안 위험을 나타내는 것으로 알려진 모든 MSR에 대한 액세스를 차단합니다. 경우에 따라 부분적인 액세스가 허용될 수 있습니다.

하이퍼바이저가 MSR에 대한 액세스를 차단하면 이벤트 뷰어의 Windows 시스템 로그에 이벤트를 기록하여 액세스 시도에 대한 세부 정보를 지정합니다.

MSR이 제어하는 수많은 기능을 감안할 때 MSR을 시작한 소프트웨어에 대한 MSR 액세스 방지의 부작용을 예측하는 것은 불가능합니다. 잘 작성된 소프트웨어는 오류 및 오류 사례를 정상적으로 처리해야 하지만 항상 그렇지는 않습니다.

MSR 액세스 이벤트 검토

하이퍼바이저는 VBS가 사용하도록 설정되고 실행 중인 경우에만 특정 MSR에 대한 액세스를 차단합니다. 하이퍼바이저가 MSR에 대한 액세스를 차단했는지 확인하려면 Windows 시스템 로그에서 Microsoft-Windows-Hyper-V-Hypervisor의 이벤트 ID 12550을 확인합니다. 이벤트 로그 항목 세부 정보에는 다음 정보가 포함됩니다.

ID: 12550
설명: Hyper-V가 제한된 MSR에 대한 액세스를 감지했습니다.
상세 정보:

  • Msr
  • IsWrite
  • MsrValue
  • AccessStatus
  • Pc
  • ImageBase
  • ImageChecksum
  • ImageTimestamp
  • ImageName

지원되는 Windows 버전

VBS는 Windows 10 및 Windows Server 2016 시작하는 모든 버전의 Windows에서 지원됩니다.