Hap*_*ins 5 windows virtualization operating-system virtual-machine hypervisor
我发现这篇来自 Raymond Chen 的博客文章声称:
严格来说,它实际代表的是其他虚拟机的资源,因为Windows本身是在hypervisor下的虚拟机中运行的。您可能没有明确使用管理程序,但一些其他功能构建在管理程序之上。
我找不到任何支持此声明的来源。
主机 Windows 操作系统是否真的在虚拟机管理程序下的虚拟机中运行?
VBS 基于虚拟化的安全
\n\n基于虚拟化的安全性 (VBS) 使用硬件虚拟化功能来创建安全内存区域并将其与正常操作系统隔离。Windows 可以使用此“虚拟安全模式”来\n托管许多安全解决方案,为它们提供\n大大增强的针对操作系统漏洞的保护,并\n防止使用试图破坏保护的恶意攻击。
\n此类示例安全解决方案之一是管理程序强制执行的代码\n完整性 (HVCI),通常称为内存完整性,\n它使用\nVBS 来显着加强代码完整性策略的实施。\n内核模式代码完整性在所有内核模式驱动程序和二进制文件\n之前对其进行检查\n启动,并阻止未签名的驱动程序或系统文件\n加载到系统内存中。
\nVBS 使用 Windows 虚拟机管理程序创建此虚拟安全模式,\n并强制实施限制,以保护重要的系统和操作系统资源,或保护安全资产,例如经过身份验证的用户凭据。通过 VBS 提供的增强的保护,即使恶意软件获得了操作系统内核的访问权限,也可以极大地限制和遏制可能的利用,因为虚拟机管理程序可以阻止恶意软件执行代码或访问平台机密。
\n同样,用户模式可配置代码完整性策略会在加载应用程序之前检查应用程序,并且仅启动由已知的、批准的签名者签名的可执行文件。HVCI 利用 VBS 在安全环境中运行代码完整性服务,提供针对内核病毒和恶意软件的更强保护。管理程序是系统软件的最高特权级别,它在所有系统内存中设置和强制执行页面权限。仅当安全区域内的代码完整性检查通过后,页面才可执行,并且可执行页面不可写入。这样,即使存在缓冲区溢出等允许恶意软件尝试修改内存的漏洞,代码页也无法被修改,并且修改后的内存也无法成为可执行文件。
\n
VSM 虚拟安全模式
\n\n虚拟安全模式 (VSM) 是一组为主机和来宾分区提供的管理程序功能和启示,可在操作系统软件内创建和管理新的安全边界。VSM 是 Windows\n安全功能(包括 Device Guard、Credential Guard、虚拟\nTPM 和受防护的 VM)所基于的虚拟机管理程序工具。这些安全功能已在 Windows 10 和 Windows Server 2016 中引入。
\nVSM 使根分区和来宾分区中的操作系统软件能够创建隔离的内存区域,用于存储和处理系统安全资产。对这些隔离区域的访问仅通过虚拟机管理程序进行控制和授予,虚拟机管理程序是系统\xe2\x80\x99s 可信计算库\n(TCB) 的高度\n特权、高度信任的部分。由于虚拟机管理程序运行在比操作系统软件更高的权限级别,并且对关键系统\n硬件资源具有独占控制权,例如在系统初始化的早期\nCPU MMU 和 IOMMU 中的内存访问权限控制\n,虚拟机管理程序可以\n保护这些隔离区域防止未经授权的访问,甚至来自具有管理程序模式访问(即 CPL0 或 \xe2\x80\x9cRing 0\xe2\x80\x9d)的操作系统软件(例如操作系统内核和设备驱动程序)。
\n借助此架构,即使在管理程序模式下运行的正常系统级软件(例如内核、驱动程序等)受到恶意软件的危害,受管理程序保护的隔离区域中的资产仍可保持安全。
\n
| 归档时间: |
|
| 查看次数: |
140 次 |
| 最近记录: |