Beveiliging op basis van virtualisatie (VBS)
Beveiliging op basis van virtualisatie, of VBS, maakt gebruik van hardwarevirtualisatie en de Windows-hypervisor om een geïsoleerde virtuele omgeving te creëren die de vertrouwensbasis van het besturingssysteem wordt, ervan uitgaand dat de kernel kan worden aangetast. Windows maakt gebruik van deze geïsoleerde omgeving om een aantal beveiligingsoplossingen te hosten, waardoor ze aanzienlijk betere bescherming bieden tegen beveiligingsproblemen in het besturingssysteem en het gebruik van schadelijke aanvallen die proberen beveiliging te verslaan. VBS dwingt beperkingen af om essentiële systeem- en besturingssysteemresources te beveiligen, of om beveiligingsassets zoals geverifieerde gebruikersreferenties te beveiligen.
Een voorbeeld van een dergelijke beveiligingsoplossing is geheugenintegriteit, waarmee Windows wordt beveiligd door de code-integriteit van de kernelmodus uit te voeren binnen de geïsoleerde virtuele omgeving van VBS. Integriteit van kernelmoduscode is het Windows-proces dat alle stuurprogramma's en binaire bestanden van de kernelmodus controleert voordat ze worden gestart, en voorkomt dat niet-ondertekende of niet-vertrouwde stuurprogramma's of systeembestanden in het systeemgeheugen worden geladen. Geheugenintegriteit beperkt ook kernelgeheugentoewijzingen die kunnen worden gebruikt om het systeem te compromitteren, zodat kernelgeheugenpagina's alleen uitvoerbaar worden gemaakt nadat code-integriteitscontroles in de beveiligde runtime-omgeving zijn doorgegeven en uitvoerbare pagina's zelf nooit beschrijfbaar zijn. Zelfs als er beveiligingsproblemen zijn, zoals een bufferoverloop, waardoor malware kan proberen geheugen te wijzigen, kunnen uitvoerbare codepagina's niet worden gewijzigd en kan het gewijzigde geheugen niet uitvoerbaar worden gemaakt.
Notitie
Geheugenintegriteit wordt soms aangeduid als HVCI (Hypervisor-Protected Code Integrity) of door de hypervisor afgedwongen code-integriteiten is oorspronkelijk uitgebracht als onderdeel van Device Guard. Device Guard wordt niet meer gebruikt, behalve voor het vinden van geheugenintegriteit en VBS-instellingen in groepsbeleid of het Windows-register.
VBS vereist dat de volgende onderdelen aanwezig en correct zijn geconfigureerd.
Hardwarevereiste | Bijzonderheden |
---|---|
64-bits CPU | Voor beveiliging op basis van virtualisatie (VBS) is de Windows-hypervisor vereist. Deze wordt alleen ondersteund op 64-bits IA-processors met virtualisatieextensies, waaronder Intel VT-X en AMD-v. |
Tweede Niveau Adresvertaling (SLAT) | VBS vereist ook dat de virtualisatieondersteuning van de processor SLAT (Second Level Address Translation) omvat, ofwel Intel VT-X2 met Extended Page Tables (EPT), of AMD-v met Rapid Virtualization Indexing (RVI). |
IOMMUs of SMMUs (Intel VT-D, AMD-Vi, Arm64 SMMUs) | Alle I/O-apparaten die geschikt zijn voor DMA, moeten zich achter een IOMMU of SMMU bevindt. Een IOMMU kan worden gebruikt om de systeemtolerantie tegen geheugenaanvallen te verbeteren. |
Trusted Platform Module (TPM) 2.0 | Zie TPM (Trusted Platform Module) 2.0voor meer informatie. |
Firmwareondersteuning voor SMM-beveiliging | Systeemfirmware moet voldoen aan de aanbevelingen voor het beveiligen van SMM-code die wordt beschreven in de specificatie Windows SMM Security Mitigations Table (WMST). De WSMT-specificatie bevat details van een ACPI-tabel die is gemaakt voor gebruik met Windows-besturingssystemen die VBS-functies ondersteunen. Firmware moet de beveiligingen implementeren die worden beschreven in de WSMT-specificatie en de bijbehorende beveiligingsvlagmen instellen zoals beschreven in de specificatie om naleving van deze vereisten aan het besturingssysteem te rapporteren. |
UEFI-geheugenrapportage (Unified Extensible Firmware Interface) | UEFI-firmware moet voldoen aan de volgende geheugenoverzichtsrapportage-indeling en richtlijnen voor geheugentoewijzing om compatibiliteit met VBS te waarborgen.
|
Secure Memory Overwrite Request (MOR) revisie 2 | Secure MOR v2 is verbeterd om de MOR-vergrendelingsinstelling te beveiligen met behulp van een UEFI-beveiligde variabele. Dit helpt u te beschermen tegen geavanceerde geheugenaanvallen. Zie Secure MOR-implementatievoor meer informatie. |
Stuurprogramma's die compatibel zijn met geheugenintegriteit | Zorg ervoor dat alle systeemstuurprogramma's zijn getest en geverifieerd om compatibel te zijn met de geheugenintegriteit. De Windows Driver Kit en Driver Verifier tests bevatten voor de compatibiliteit van stuurprogramma's met geheugenintegriteit. Er zijn drie stappen om de compatibiliteit van stuurprogramma's te controleren:
|
Beveiligd opstarten | Beveiligd opstarten moet zijn ingeschakeld op apparaten die gebruikmaken van VBS. Zie Beveiligd opstarten voor meer informatie |
VBS werkt op VM's die ofwel ondersteuning voor geneste virtualisatie hebben of waarbij Gast-VSM is ingeschakeld. De laatste functie is standaard ingeschakeld voor vm's van de tweede generatie op Hyper-V. Dit omvat ook alle virtuele machines van de tweede generatie op Microsoft Azure en virtuele machines van de eerste generatie waarvoor geneste virtualisatie is ingeschakeld. Een lijst met ondersteunde Azure VM-serie wordt beschreven in de onderstaande tabel.
VM-serienaam | geneste virtualisatie | voor VM-generatie |
---|---|---|
Av2 | Ja | 1 (bepaalde interne grootten ondersteunen generatie 2) |
B | Nee | 1 en 2 |
Dsv2/Dv2/Dv3/Ev3 | Ja | 1 |
Dsv3/Ddsv3 | Ja | 1 en 2 |
Dsv4/Ddsv4 | Ja | 1 en 2 |
Esv3/Edsv3 | Ja | 1 en 2 |
Esv4/Edsv4 | Ja | 1 en 2 |
Ev4/Edv4 | Ja | Ev4 - 1 enkel Edv4 -1&2 |
Dv4/Ddv4 | Ja | 1 en 2 |
Dv5/Ddv5/Dsv5/Ddsv5 | Ja | 1 en 2 |
Ev5/Edv5/Esv5/Edsv5 | Ja | 1 en 2 |
Dasv5/Dadsv5/Easv5/ Eadsv5 | Ja | 1 en 2 |
Ebsv5/Edbsv5 | Ja | 1 en 2 |
Fsv2 | Ja | 1 en 2 |
Fx | Ja | 2 |
Lsv2 | Ja | 1 en 2 |
Verwante onderwerpen
Zie Hyper-V op Windows Server 2016 of Inleiding tot Hyper-V in Windows 10voor meer informatie over Hyper-V. Zie Hypervisor Specificationsvoor meer informatie over hypervisor.