Windows 10 企业版中的虚拟安全模式 (VSM)

在Windows 10 Enterprise（仅此版本）中，出现了一个新的Hyper-V组件 - 虚拟安全模式（VSM）。 VSM 是在虚拟机管理程序上运行的受保护容器（虚拟机），与 Windows 10 主机及其内核分离。从安全角度来看，至关重要的系统组件在这个受保护的虚拟容器内运行。 VSM中不能执行任何第三方代码，并且会不断检查代码完整性以进行修改。即使主机Widows 10的内核受到损害，该架构也可以保护VSM中的数据，因为即使是内核也无法直接访问VSM。

VSM容器无法连接到网络，并且任何人都无法在其中获得管理权限。加密密钥、用户身份验证数据和其他从妥协角度来看的关键信息可以存储在虚拟安全模式容器中。因此，黑客将无法使用域用户帐户的本地缓存数据渗透公司结构。

以下系统组件可以在 VSM 内工作：

1. LSASS（本地安全子系统服务）是负责本地用户身份验证和隔离的组件。 （因此，系统可以免受“传递哈希”类型和此类工具（如 mimikatz 链接）的攻击。）这意味着即使具有本地管理员权限的用户也无法使用在系统中注册的用户的密码（和/或哈希）。

2. 虚拟 TPM (vTPM) 是虚拟机的合成 TPM 设备，用于加密磁盘内容

3. 监控操作系统代码完整性的系统可保护代码免遭修改

注意。诸如屏蔽虚拟机和设备防护之类的安全技术也可以在 VSM 中使用。主机和来宾操作系统还可以使用 API 接口与虚拟安全模式容器交互。

要使用VSM，环境必须满足以下硬件要求：

• UEFI、安全启动和可信平台模块 (TPM) 支持安全密钥存储

• 硬件虚拟化支持（VT-x、AMD-V 或更高版本）

如何在 Windows 10 中启用虚拟安全模式 (VSM)

让我们看看如何启用 Windows 10 虚拟安全模式。

• 必须启用 UEFI 安全启动。

• Windows 10 必须包含在域中。 （VSM仅保护域用户帐户，不保护本地帐户。）

• 必须在 Windows 10 中安装 Hyper-V 角色。（在我们的示例中，我们必须首先安装 Hyper-V 平台，然后安装 Hyper-V 管理工具）

  

• 必须在组策略编辑器 (gpedit.msc) 的特殊策略中启用虚拟安全模式 (VSM)：计算机配置 -> 管理模板 -> 系统 -> Device Guard -> 打开基于虚拟化的安全性。 启用此策略并在选择平台安全级别中选择安全启动选项。另请在此处选中启用 Credential Guard（LSA 隔离）。

  

• bcdedit /set vsmlaunchtype auto

• 重启你的电脑

如何确保 VSM 已开启

如果任务管理器中存在安全系统进程，您可以确保 VSM 处于活动状态。

或者，如果系统日志中存在“Credential Guard (Lsalso.exe) 已启动并将保护 LSA 凭据”事件。

如何测试 VSM 安全性

使用域帐户登录启用了VSM的机器，并以本地管理员权限运行以下mimikatz命令：

mimikatz.exe privilege::debug sekurlsa::logonpasswords exit

我们可以看到LSA运行在一个隔离的环境中，无法获取用户密码哈希值。

如果在禁用 VSM 的计算机上执行相同操作，我们可以获得用户密码的 NTLM 哈希值，该哈希值可用于哈希传递攻击。