vSphere6.7新特性—基于虚拟化的安全(VBS)
VBS 简介
基于虚拟化的安全 (VBS – Virtulization Based Security) 是微软专门 Windows 10 或 Windows Server 2016 在虚拟化环境下新增的⼀个安全特性,VBS 综合利⽤了 CPU 硬件、系统固件、Hypervisor 所提供的安全特性,在内存中隔离出⼀块安全区域供虚机使⽤,虚机中的 Windows 系统能够利⽤ VBS 所提供的“虚拟安全模式”来实现⼀些安全解决⽅案,让它们很⼤程度上免受恶意软件的攻击,从⽽提⾼系统的安全性。VBS 利⽤ Hypervisor 来进⼊“虚拟安全模式”来强制保护⼀些重要的系统资源,例如⽤户帐号密码。即便恶意软件攻陷了操作系统的核⼼代码,它能造成的威胁也被极⼤地遏制了,因为在 VBS 安全模式下, Hypervisor 能够有效地阻⽌恶意软件的各种⾏为,包括执⾏代码或访问系统机密数据。
Hypervisor 强制的代码⼀致性检查 HVCI (Hypervisor-Enforced Code Integrity) 就是 VBS 安全解决⽅案的⼀个例⼦,在代码运⾏之前,利⽤ VBS 所提供的安全特性来强制执⾏代码⼀致检查。
核⼼模式代码:所有的操作系统核⼼模式驱动和代码在运⾏之前都要执⾏⼀致性检查,然后才能被装载进内存执⾏,未经过微软数字签名的代码或系统⽂件将被彻底阻⽌。
⽤户模式代码:所有应⽤代码在运⾏之前都要经过检查,只有被已知的开发商正确数字签名的代码才会被执⾏。
HVCI 在 VBS 所提供的⼀个安全环境中进⾏代码⼀致性检查,从⽽实现对系统内核级病毒和恶意代码的隔离。Hypervisor 作为权限最⾼的系统软件,对所有的系统内存设置了页⾯访问权限,内存页⾯中的代码只有通过⼀致性检查后才能被执⾏,并且包含可执⾏代码内存页⾯是只读的。这样⼀来,恶意代码利⽤系统漏洞 (如缓存溢出) 来改写内存代码就办不到了。
VBS 安全机制可不是在 Windows 操作系统层⾯可以单独实现的,需要服务器 CPU、TPM、系统固件满⾜相关的条件 (详情请见),并且在 Hypervisor 层⾯提供⽀持。vSphere 6.7 中实现了对于 VBS 的⽀持,从⽽为运⾏ Windows 操作系统的虚机提供更⾼安全等级的保护,满⾜企业在信息安全⽅⾯的合规要求。
vSphere 6.7 对于 VBS 的⽀持
前提条件
为了激活 VBS 功能,虚机的配置必须满⾜以下条件:windows server2016
虚机的硬件版本必须是版本14或以后的版本,必须安装以下两种操作系统:
Windows 10 Enterprise, 64-bit
Windows Server 2016
注意:务必安装上所有的操作系统更新,不然 VBS 可能不起作⽤。
激活 Windows 2016 中的 VBS 功能
创建虚机的时候指定安装的操作系统是 Windows Server 2016。
虚机创建好之后勾选“Enable Virtualization Based Security”选项开关。
当 Windows Server 2016 启动后,再完成以下两个步骤。
在组策略设置中激活 VBS
在 Windows Server 2016 上激活 Hyper-V
运⾏ gpedit.msc 来启动组策略编辑器,访问:Computer Configuration > Administrative Templates > System > Device Guard > Turn On Virtualization Based Security。把组策略设置为 Enabled,并且设置好以下参数,完成后选择重启系统。
Select Platform Security level : Secure Boot and DMA Protection
Virtualization Based Protection of Code Integrity : Enabled with UEFI lock
Credential Guard Configuration : Enabled with UEFI lock;如果选择 ”Enabled without UEFI lock” 的话,允许你远程修改这个设置。
接下来在 Windows Server 2016 上激活 Hyper-v:启动 Server Manager,在 Dashboard 下选择 “Add roles and features”。
点击  Next 并接受缺少配置,在 Server Roles ⾥选中 Hyper-V,并且把 “Include Management tools” 选项打上勾,然后点击 OK;继续剩余的步骤并且选择缺省选项,最后点击 Finish 完成设置。
检查 VBS 安全功能是否⽣效
激活 Hyper-V 特性后重启 Windows 系统,运⾏ 命令,在 System Summary 下你可以看到 “Device Guard Security Services Configured” 已经配置好了 Credential Guard, Hypervisor Enforced Code Integrity,这表明 VBS 安全功能已经⽣效。
本⽂主要内容来⾃于Rajesh Radhakrishnan 的博客⽂章 。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。