Megosztás a következőn keresztül:

Virtualizációalapú biztonság (VBS)

A virtualizáláson alapuló biztonság vagy VBS hardvervirtualizálást és a Windows hipervizort használ egy izolált virtuális környezet létrehozásához, amely az operációs rendszer megbízhatóságának gyökerévé válik, amely feltételezi, hogy a kernel feltörhető. A Windows ezt az elszigetelt környezetet számos biztonsági megoldás üzemeltetésére használja, így jelentősen megnövelt védelmet nyújt az operációs rendszer biztonsági rései ellen, és megakadályozza a védelmet megkísérlő rosszindulatú támadások használatát. A VBS korlátozásokat kényszerít ki a létfontosságú rendszer és az operációs rendszer erőforrásainak védelme, illetve a biztonsági eszközök, például a hitelesített felhasználói hitelesítő adatok védelme érdekében.

Ilyen biztonsági megoldás a memóriaintegritás, amely kernelmódú kódintegritást futtatva védi és edzi a Windowst a VBS izolált virtuális környezetében. A kernel módkód integritása az a Windows-folyamat, amely az összes kernelmódú illesztőprogramot és bináris fájlt ellenőrzi azok elindítása előtt, és megakadályozza az aláíratlan vagy nem megbízható illesztőprogramok vagy rendszerfájlok betöltését a rendszermemóriába. A memória integritása korlátozza a rendszer veszélyeztetésére használható kernelmemória-foglalásokat is, biztosítva, hogy a rendszermag memórialapjai csak a kódintegritási ellenőrzések biztonságos futtatókörnyezeten belüli átadása után legyenek végrehajthatók, és maguk a végrehajtható lapok soha ne legyenek írhatók. Így még ha olyan biztonsági rések is vannak, mint például egy puffertúllépés, amely lehetővé teszi a kártevők számára a memória módosítását, a végrehajtható kódlapok nem módosíthatók, és a módosított memória nem hajtható végre.

Jegyzet

A memóriaintegritást néha hipervizor által védett kódintegritásnak ( HVCI) vagy hipervizor által kikényszerített kódintegritásnaknevezik, és eredetileg a Device Guardrészeként jelent meg. A Device Guard már nem használható, kivéve a memória integritását és a VBS-beállításokat a csoportházirendben vagy a Windows-beállításjegyzékben.

A VBS használatához a következő összetevőknek kell jelen lenniük és megfelelően konfigurálva kell lenniük.

Hardverkövetelmény Részletek
64 bites processzor A virtualizációalapú biztonsághoz (VBS) a Windows hipervizor szükséges, amely csak 64 bites, virtualizálási bővítményekkel rendelkező IA-processzorokon támogatott, beleértve az Intel VT-X és az AMD-v-t.
Második szintű címfordítás (SLAT) A VBS azt is megköveteli, hogy a processzor virtualizálási támogatása tartalmazza a második szintű címfordítást (SLAT), vagy az Intel VT-X2 bővített laptáblákkal (EPT), vagy a gyors virtualizációs indexeléssel (RVI) rendelkező AMD-v-t.
IOMMUs vagy SMMUs (Intel VT-D, AMD-Vi, Arm64 SMMUs) A DMA-ra képes összes I/O-eszköznek IOMMU vagy SMMU mögött kell lennie. Az IOMMU-k a rendszer memóriatámadásokkal szembeni rugalmasságának fokozására használhatók.
Megbízható platformmodul (TPM) 2.0 További információ: Trusted Platform Module (TPM) 2.0.
Belső vezérlőprogram támogatása az SMM-védelemhez A rendszer belső vezérlőprogramjának be kell tartania a Windows SMM biztonsági kockázatcsökkentési táblázat (WMST) specifikációjábanleírt SMM-kód korlátozására vonatkozó javaslatokat. A WSMT-specifikáció a VBS-funkciókat támogató Windows operációs rendszerekhez létrehozott ACPI-tábla részleteit tartalmazza. A belső vezérlőprogramnak implementálnia kell a WSMT specifikációban leírt védelmet, és be kell állítania a specifikációban leírt megfelelő védelmi jelzőket, hogy jelentse az operációs rendszer számára ezeknek a követelményeknek való megfelelést.
Unified Extensible Firmware Interface (UEFI) Memóriajelentés Az UEFI belső vezérlőprogramnak be kell tartania a következő memóriatérkép-jelentéskészítési formátumot és a memóriafoglalási irányelveket annak érdekében, hogy a belső vezérlőprogram kompatibilis legyen a VBS-sel.

  • UEFI v2.6 memóriaattribútumok táblázata (MAT) – A VBS-sel való kompatibilitás biztosításához a belső vezérlőprogramnak tisztán el kell különítenie az EFI futtatókörnyezeti memóriatartományokat a kódhoz és az adatokhoz, és ezt jelentenie kell az operációs rendszernek. Az EFI futtatókörnyezeti memóriatartományok megfelelő elkülönítése és jelentése lehetővé teszi, hogy a VBS alkalmazza a szükséges lapvédelmet az EFI futtatókörnyezeti szolgáltatások kódlapjaira a VBS biztonságos régióján belül. Ezeket az információkat az operációs rendszer számára a EFI_MEMORY_ATTRIBUTES_TABLE használatával lehet továbbítani. Az UEFI MAT implementálásához kövesse az alábbi irányelveket:
    1. Ez a táblázat le kell, hogy írja a teljes EFI-futtatókörnyezetet.
    2. Az EfiRuntimeServicesData és az EfiRuntimeServicesCode lapok minden megfelelő attribútumát meg kell jelölni.
    3. Ezeket a tartományokat az oldalhatárokhoz (4KB) kell igazítani, és nem lehet átfedésben.
  • EFI-lapvédelem –Minden bejegyzésnek tartalmaznia kell az attribútumokat EFI_MEMORY_RO, EFI_MEMORY_XP vagy mindkettőt. Minden végrehajthatóként megjelölt UEFI-memóriának csak olvashatónak kell lennie. A írhatóként megjelölt memória nem futtatható. A bejegyzések nem hagyhatók el egyik attribútumkészlettel sem, ami végrehajtható és írható memóriát jelez.
    • Biztonságos memória felülírása kérelem (MOR) 2. változat A Secure MOR v2 egy UEFI biztonságos változóval védi a MOR-zárolási beállítást. Ez segít védekezni a fejlett memória támadások ellen. További információért lásd: Secure MOR megvalósítás.
    Memóriaintegritás-kompatibilis illesztőprogramok Győződjön meg arról, hogy minden rendszerillesztőt teszteltek és ellenőriztek, hogy kompatibilisek-e a memória integritásával. A Windows Illesztőprogram-készlet és Illesztőprogram-ellenőrző az illesztőprogramok memóriaintegritással való kompatibilitásának tesztelését tartalmazza. Az illesztőprogramok kompatibilitásának ellenőrzéséhez három lépés szükséges:
    1. Használja az Illesztőprogram-ellenőrzőt a kódintegritási kompatibilitás ellenőrzéseinek engedélyezésével.
    2. Futtassa a hipervizor kódintegritási készültségi tesztjét a Windows HLK-ban.
    3. Tesztelje az illesztőprogramot egy rendszeren, amelyen engedélyezve van a VBS és a memória integritása. Ez a lépés elengedhetetlen az illesztőprogram viselkedésének memóriaintegritással való ellenőrzéséhez, mivel a statikus kódelemző eszközök egyszerűen nem képesek észlelni a futásidőben lehetséges memóriaintegritási szabálysértéseket.
    Biztonságos rendszerindítás A biztonságos rendszerindítást engedélyezni kell a VBS-t használó eszközökön. További információért tekintse meg: Secure Boot

    A VBS olyan virtuális gépeken működik, amelyek beágyazott virtualizálási támogatással rendelkeznek, vagy vendég VSM van engedélyezve. Ez utóbbi alapértelmezés szerint engedélyezve van a Hyper-V 2. generációs virtuális gépei esetében. Ez magában foglalja a Microsoft Azure 2. generációs virtuális gépeit, valamint az 1. generációs virtuális gépeket is, amelyeken engedélyezve van a beágyazott virtualizálás. A támogatott Azure-beli virtuálisgép-sorozatok listáját az alábbi táblázatban találja.

    virtuálisgép-sorozat neve A beágyazott virtualizáció virtuális gép generáció
    Av2 Igen 1 (bizonyos belső méretek támogatják a 2. generációt)
    B Nem 1 és 2
    Dsv2/Dv2/Dv3/Ev3 Igen 1
    Dsv3/Ddsv3 Igen 1 és 2
    Dsv4/Ddsv4 Igen 1 és 2
    Esv3/Edsv3 Igen 1 és 2
    Esv4/Edsv4 Igen 1 és 2
    Ev4/Edv4 Igen Ev4 - csak 1
    Edv4 -1&2
    Dv4/Ddv4 Igen 1 és 2
    Dv5/Ddv5/Dsv5/Ddsv5 Igen 1 és 2
    Ev5/Edv5/Esv5/Edsv5 Igen 1 és 2
    Dasv5/Dadsv5/Easv5/ Eadsv5 Igen 1 és 2
    Ebsv5/Edbsv5 Igen 1 és 2
    Fsv2 Igen 1 és 2
    Fx Igen 2
    Lsv2 Igen 1 és 2

    További információ a Hyper-V-ről: Hyper-V a Windows Server 2016 esetén, vagy bevezetése a Hyper-V a Windows 10esetén. További információ a hipervizorról: Hipervizor specifikációi.