Windows 10安全特性深度解析
1. 基于虚拟化的安全(VBS)
在系统内存中保护凭据,需要借助基于虚拟化的安全(VBS)和凭据防护(Credential Guard)。VBS,也称为隔离用户模式(IUM),为系统软件提供了新的信任边界。它包含在Windows 10的企业版(包括LTSB)、教育版和物联网企业版中。VBS利用平台虚拟化,通过限制对高价值安全资产的访问来增强平台安全性,即使是来自管理模式代码(CPL)的访问也会受到限制。
VBS提供了一个安全的执行环境,保护诸如LSA凭据隔离和内核模式代码完整性(KMCI)等多个Windows 10服务。在服务器操作系统中,它还提供虚拟TPM(vTPM)。VBS使用虚拟机监控程序,通过在系统内存中强制执行读、写和执行权限,来保护迷你内核和操作系统的其他重要部分/服务。
通过分离这些服务,VBS增强了操作系统对内核模式攻击和其他攻击的防护能力。即使恶意软件获得了对内核的访问权限,其影响也是有限的,因为虚拟机监控程序会阻止恶意软件执行代码。新的安全特性,如凭据防护、设备防护和应用防护,都使用了VBS模式。因此,要使用这三个安全特性中的任何一个,都需要先激活VBS。
1.1 使用VBS的硬件要求
要使用VBS,必须使用x64架构(以支持Hyper - V),并且硬件需要具备并激活一些特性。以下是启用VBS的最低要求:
- 64位CPU
- 64位操作系统
- UEFI 2.3.1c或更高版本的固件
- 未激活传统/BIOS模式
- 激活安全启动
- 激活Hyper - V虚拟机监控程序功能
- 虚拟化支持:
- 虚拟化扩展
