vmware.com/china/2018/07/27/vsphere-6-7-%E6%96%B0%E7%89%B9%E6%80%A7-%E5%9F%BA%E4%BA%8E%E8%99%9A%E6%8B%9F%E5%8C%96%E7%9A%84%E5%AE%89%E5%85%A8-vbs/" style="box-sizing: border-box; outline: none; margin: 0px; padding: 0px; text-decoration-line: none; cursor: pointer; color: rgb(78, 161, 219); overflow-wrap: break-word;">https://blogs.vmware.com/china/2018/07/27/vsphere-6-7-%E6%96%B0%E7%89%B9%E6%80%A7-%E5%9F%BA%E4%BA%8E%E8%99%9A%E6%8B%9F%E5%8C%96%E7%9A%84%E5%AE%89%E5%85%A8-vbs/
windows-hardware/design/device-experiences/oem-vbs" style="box-sizing: border-box; outline: none; margin: 0px; padding: 0px; text-decoration-line: none; cursor: pointer; color: rgb(78, 161, 219); overflow-wrap: break-word;">https://docs.microsoft.com/zh-cn/windows-hardware/design/device-experiences/oem-vbs
VBS 简介
基于虚拟化的安全 (VBS – Virtulization Based Security) 是微软专门 Windows 10 或 Windows Server 2016 在虚拟化环境下新增的一个安全特性,VBS 综合利用了 CPU 硬件、系统固件、Hypervisor 所提供的安全特性,在内存中隔离出一块安全区域供虚机使用,虚机中的 Windows 系统能够利用 VBS 所提供的“虚拟安全模式”来实现一些安全解决方案,让它们很大程度上免受恶意软件的攻击,从而提高系统的安全性。VBS 利用 Hypervisor 来进入“虚拟安全模式”来强制保护一些重要的系统资源,例如用户帐号密码。即便恶意软件攻陷了操作系统的核心代码,它能造成的威胁也被极大地遏制了,因为在 VBS 安全模式下, Hypervisor 能够有效地阻止恶意软件的各种行为,包括执行代码或访问系统机密数据。
Hypervisor 强制的代码一致性检查 HVCI (Hypervisor-Enforced Code Integrity) 就是 VBS 安全解决方案的一个例子,在代码运行之前,利用 VBS 所提供的安全特性来强制执行代码一致检查。
HVCI 在 VBS 所提供的一个安全环境中进行代码一致性检查,从而实现对系统内核级病毒和恶意代码的隔离。Hypervisor 作为权限最高的系统软件,对所有的系统内存设置了页面访问权限,内存页面中的代码只有通过一致性检查后才能被执行,并且包含可执行代码内存页面是只读的。这样一来,恶意代码利用系统漏洞 (如缓存溢出) 来改写内存代码就办不到了。
VBS 安全机制可不是在 Windows 操作系统层面可以单独实现的,需要服务器 CPU、TPM、系统固件满足相关的条件 (详情请见微软相关文档),并且在 Hypervisor 层面提供支持。vSphere 6.7 中实现了对于 VBS 的支持,从而为运行 Windows 操作系统的虚机提供更高安全等级的保护,满足企业在信息安全方面的合规要求。
vSphere 6.7 对于 VBS 的支持
前提条件
为了激活 VBS 功能,虚机的配置必须满足以下条件:
虚机的硬件版本必须是版本14或以后的版本,必须安装以下两种操作系统:
注意:务必安装上所有的操作系统更新,不然 VBS 可能不起作用。
激活 Windows 2016 中的 VBS 功能
创建虚机的时候指定安装的操作系统是 Windows Server 2016。
虚机创建好之后勾选“Enable Virtualization Based Security”选项开关。
当 Windows Server 2016 启动后,再完成以下两个步骤。
运行 gpedit.msc 来启动组策略编辑器,访问:Computer Configuration > Administrative Templates > System > Device Guard > Turn On Virtualization Based Security。把组策略设置为 Enabled,并且设置好以下参数,完成后选择重启系统。
Select Platform Security level : Secure Boot and DMA Protection
Virtualization Based Protection of Code Integrity : Enabled with UEFI lock
Credential Guard Configuration : Enabled with UEFI lock;如果选择 ”Enabled without UEFI lock” 的话,允许你远程修改这个设置。
接下来在 Windows Server 2016 上激活 Hyper-v:启动 Server Manager,在 Dashboard 下选择 “Add roles and features”。
点击 Next 并接受缺少配置,在 Server Roles 里选中 Hyper-V,并且把 “Include Management tools” 选项打上勾,然后点击 OK;继续剩余的步骤并且选择缺省选项,最后点击 Finish 完成设置。
检查 VBS 安全功能是否生效
激活 Hyper-V 特性后重启 Windows 系统,运行 msinfo32.exe 命令,在 System Summary 下你可以看到 “Device Guard Security Services Configured” 已经配置好了 Credential Guard, Hypervisor Enforced Code Integrity,这表明 VBS 安全功能已经生效。
本文主要内容来自于Rajesh Radhakrishnan 的博客文章 virtualization-based-security-vbs-in-vsphere-6-7/" style="box-sizing: border-box; outline: none; margin: 0px; padding: 0px; text-decoration-line: none; cursor: pointer; color: rgb(78, 161, 219); overflow-wrap: break-word;">Virtualization Based Security (VBS) in vSphere 6.7。
微信支付宝扫一扫,打赏作者吧~
官码2024000195号
萌ICP备20248119号
