Windows 10
 Computer >> コンピューター >  >> システム >> Windows 10

Windows 10 Enterpriseの仮想セキュアモード(VSM)

Windows 10 Enterprise(このエディションのみ)では、新しいHyper-Vコンポーネントが登場しました–仮想 安全 モード(VSM) 。 VSMは、ハイパーバイザー上で実行される保護されたコンテナー(仮想マシン)であり、ホストのWindows10ホストとそのカーネルから分離されています。セキュリティの観点から重要なのは、システムコンポーネントがこの保護された仮想コンテナ内で実行されることです。 VSMでサードパーティのコードを実行することはできず、コードの整合性は常に変更がないかチェックされます。このアーキテクチャでは、ホストWidows 10のカーネルが危険にさらされている場合でも、カーネルでさえVSMに直接アクセスできないため、VSM内のデータを保護できます。

VSMコンテナはネットワークに接続できず、誰もその中で管理者権限を取得できません。暗号化キー、ユーザー認証データ、および侵害の観点からのその他の重要な情報は、仮想セキュアモードコンテナに保存できます。したがって、ハッカーは、ドメインユーザーアカウントのローカルにキャッシュされたデータを使用して企業構造に侵入することはできません。

Windows 10 Enterpriseの仮想セキュアモード(VSM)

次のシステムコンポーネントは、VSM内で機能します。

  1. LSASS(ローカルセキュリティサブシステムサービス) ローカルユーザーの認証と分離を担当するコンポーネントです。 (したがって、システムは「ハッシュを渡す」タイプの攻撃や、mimikatz –link1、link2などのツールから保護されます。)これは、システムに登録されているユーザーのパスワード(および/またはハッシュ)が使用可能にならないことを意味します。ローカル管理者権限を持つユーザーの場合。
  2. 仮想TPM(vTPM) は、ディスクコンテンツの暗号化に必要なゲストマシン用の合成TPMデバイスです
  3. 監視用のシステム OSコードの整合性により、コードが変更されないように保護されます
注。 シールドされた仮想マシンやデバイスガードなどのこのようなセキュリティテクノロジーは、VSMでも機能します。ホストOSとゲストOSは、APIインターフェイスを使用して仮想セキュアモードコンテナと対話することもできます。

VSMを使用するには、環境が次のハードウェア要件を満たしている必要があります。

  • UEFI、セキュアブート、およびセキュアキーストレージのトラステッドプラットフォームモジュール(TPM)のサポート
  • ハードウェア仮想化のサポート(VT-x、AMD-V以降)

Windows 10で仮想セキュアモード(VSM)を有効にする方法

仮想セキュアモードのWindows10を有効にする方法を見てみましょう。

  • UEFIセキュアブートを有効にする必要があります。
  • Windows10がドメインに含まれている必要があります。 (VSMはドメインユーザーアカウントのみを保護し、ローカルアカウントは保護しません。)
  • Hyper-Vの役割はWindows10にインストールする必要があります(この場合、最初にHyper-Vプラットフォームをインストールしてから、Hyper-V管理ツールをインストールする必要がありました) Windows 10 Enterpriseの仮想セキュアモード(VSM)
  • 仮想セキュリティモード(VSM)は、グループポリシーエディター(gpedit.msc )の特別なポリシーで有効にする必要があります:コンピューターの構成->管理用テンプレート->システム->デバイスガード->仮想化ベースをオンにするセキュリティ有効にする このポリシーを選択し、セキュアブートを選択します プラットフォームセキュリティレベルの選択のオプション 。 CredentialGuardを有効にするもチェックしてください (LSA分離)ここ。 Windows 10 Enterpriseの仮想セキュアモード(VSM)
  • 最後に行うことは、VSMでWindows10を起動するようにBCDを構成することです。 
    bcdedit /set vsmlaunchtype auto

    bcdedit / set vsmlaunchtype auto

  • コンピューターを再起動します

VSMがオンになっていることを確認する方法

セキュアシステムの場合、VSMがアクティブであることを確認できます プロセスはタスクマネージャにあります。

Windows 10 Enterpriseの仮想セキュアモード(VSM)

または、「 Credential Guard(Lsalso.exe)が開始され、LSA資格情報を保護します」というイベントが発生した場合 」をシステムログに記録します。

Windows 10 Enterpriseの仮想セキュアモード(VSM)

VSMセキュリティをテストする方法

VSMが有効になっているマシンにドメインアカウントでログインし、ローカル管理者権限で次のmimikatzコマンドを実行します。

mimikatz.exe privilege::debug sekurlsa::logonpasswords exit

mimikatz.exe特権::debugsekurlsa ::loginpasswords exit

LSAは隔離された環境で実行されており、ユーザーのパスワードハッシュを取得できないことがわかります。

Windows 10 Enterpriseの仮想セキュアモード(VSM)

VSMが無効になっているマシンで同じことを行うと、ユーザーパスワードのNTLMハッシュを取得できます。これは、パスザハッシュ攻撃で使用できます。

Windows 10 Enterpriseの仮想セキュアモード(VSM)

参照:Windows 10 Enterprise Build 10130で仮想セキュアモード(VSM)を有効にする


  1. Windows 10 セーフ モードを終了する方法

    セーフ モードでの起動は、Windows OS に誤動作の問題があると思われる場合に考慮されるオプションです。セーフ モードでは、Windows は、その特定のコンピューターまたはラップトップで動作する限られたセットのファイルとドライバーで起動されます。これは、潜在的な問題の数を絞り込むことで、解決策の原因を見つけるのに役立ちます。システムがセーフ モードで正常に動作する場合は、システムのデフォルトのドライバーと構成が損なわれておらず、原因ではないことを意味します。 しかし、どうすれば Windows 10 セーフ モードから抜け出すことができますか。 Windows 10 セーフ モードを

  2. Windows 10 でキオスク モードを有効にする方法

    Microsoft の Windows 10 には驚くべき機能が数多くありますが、そのほとんどは過大評価されています。ただし、これは Windows 10 オペレーティング システムでデフォルトで利用できる過小評価された機能の 1 つであり、あまり普及していません。その機能は Windows 10 のキオスク モードで、マシンをキオスクに変換し、ユーザーは 1 つの事前定義されたアプリケーションのみを使用できます。 キオスク デバイスに変換された PC は、Microsoft Store からのアプリである必要がある指定されたタスクのみを実行できます。他のすべてのアクセス、設定、さらにはデス