Блог VMware vSphere

Безопасность на основе виртуализации Microsoft, также известная как «VBS», является функцией операционных систем Windows 10 и Windows Server 2016. Он использует аппаратную и программную виртуализацию для повышения безопасности системы Windows за счет создания изолированной специализированной подсистемы с ограничениями гипервизора. Начиная с vSphere 6.7, вы можете включить Microsoft (VBS) в поддерживаемых гостевых операционных системах Windows.

Возможно, вы знакомы или не знакомы с этими новыми функциями Windows. Основываясь на моих разговорах с сотрудниками службы безопасности, вы, возможно, захотите познакомиться! В первую очередь вы услышите требование «Credential Guard», поэтому я добавил это в заголовок. Чтобы выровнять разговор в этом блоге, я расскажу о функциях, связанных с установкой Windows с нуля, а затем с виртуальной машиной Windows на ESXi.

Bare Metal .vs. Виртуализированные

Далее следует моя интерпретация технологий Microsoft на основе общедоступной документации и веб-сайтов, за которыми я следил с тех пор, как эти функции стали общедоступными.

Как всегда, поскольку мы говорим о функциях Microsoft в их ОС, вам следует проконсультироваться с их документация с точными формулировками и руководством.

Windows on Bare Metal

Чтобы подготовить почву и помочь вам лучше понять, что такое необходим для включения VBS на платформе на основе гипервизора, давайте начнем с разговора о включении VBS на ноутбуке или настольном компьютере, где Windows является установкой с нуля.

Чтобы включить VBS на ноутбуке или настольном компьютере, вы должны необходимо убедиться, что определенные настройки BIOS/прошивки включены и Windows установлена ​​на основе некоторых из этих настроек. Краткий список того, что нужно установить, включает:

  • Прошивка UEFI
  • Безопасная загрузка
  • Аппаратная виртуализация (Intel Параметры VT/AMD-V) и IOMMU.
  • Windows, установленная со всеми вышеперечисленными настройками

Только после этого вы можете включить VBS в ОС Microsoft Windows . На следующем рисунке показано, как Windows 10 устанавливается на оборудование и используемые компоненты при включении VBS.

После того, как вы настроили VBS в Windows, система перезагрузится и загрузится гипервизор Microsoft, а затем Windows. Гипервизор также будет использовать виртуализацию для вывода дополнительных компонентов Windows (например, подсистемы управления учетными данными) в отдельное пространство памяти.

TPM 2.0 (Trusted Platform Module)

Большинство современные системы имеют устройство TPM 2.0, встроенное в оборудование. (представлен на рисунке выше). Если этот параметр включен, Windows будет использовать его для защиты учетных данных, хранящихся в подсистеме учетных данных. Если аппаратный TPM не включен в BIOS или не включен на оборудовании, Windows по-прежнему будет использовать VBS, и вы по-прежнему можете включить Credential Guard, но учетные данные не будут такими безопасными..

Передача хэша и защиты учетных данных

В традиционной установке Windows хешированные учетные данные, включая учетные данные Active Directory, были доступны практически любому, у кого было достаточно прав локальной ОС, потому что они жили в той же памяти, что и Windows. Это было известно как эксплойт Pass the Hash. Включение функции VBS под названием Credential Guard сохранит хеш-информацию учетной записи за пределами области/памяти экземпляра Windows. Это снижает риск эксплойта Pass the Hash согласно Microsoft.

Все коммуникации между Windows и дополнительными компонентами Windows осуществляются через вызовы RPC, выполняемые через канал связи на основе гипервизора Microsoft.

ESXi на Bare Metal

Хорошо, теперь давайте добавим vSphere. Некоторое время назад вы могли установить Windows 10 или Server 2016 в качестве виртуальной машины. Вот пример стандартной виртуальной машины под управлением Windows 10 на сервере ESXi.

В мире vSphere ESXi — это установка без покрытия. Для поддержки Windows 10 с VBS вам необходимо предоставить виртуальной машине Windows 10 тот же уровень BIOS/прошивки/оборудования. Только в этом случае виртуальная машина не имеет доступа к «голому железу», поэтому функциональность будет виртуализирована.

Чтобы включить VBS, виртуальная машина должна работать с виртуальным оборудованием версии 14. Новые версии виртуального оборудования предоставить более новую функциональность и поддержку VBS в версии 14.

Виртуальной машине требуется виртуализация оборудования и IOMMU, которые должны быть предоставлены/предоставлены виртуальной машине. Это более широко известно как «вложенная виртуализация». Почему нам нужно запускать виртуальную машину Windows «вложенную»? Потому что гипервизор Microsoft будет загружаться первым, чтобы он мог предоставить Windows необходимые возможности для VBS.

Кроме того, на виртуальной машине должна быть включена безопасная загрузка и она должна загружаться с прошивки EFI. Как и в нашем примере ноутбука/настольного компьютера.

Примечание. Если вы создаете новые виртуальные машины Windows 10 или Windows 2016, убедитесь, что вы выбрали прошивку UEFI перед установкой! Переход с традиционного BIOS на UEFI («EFI» в параметрах ВМ) «болезненный». При переключении постфактум требуются дополнительные действия.

На изображении ниже вы можете видеть новый флажок «Включить» для безопасности на основе виртуализации. Когда вы устанавливаете этот флажок, вносятся все необходимые изменения. Теперь виртуальной машине доступны расширения виртуализации ЦП, включен IOMMU и включены встроенное ПО EFI и безопасная загрузка.

Virtual TPM 2.0

Обратите внимание, что «виртуальный TPM» не включен по умолчанию при выборе VBS. vSphere 6.7 позволяет добавлять устройство «виртуальный TPM 2.0», но при этом возникает дополнительное требование. Вам необходимо vSphere VM Encryption. И вот почему.

Аппаратный TPM может безопасно хранить информацию в аппаратном «хранилище».. Виртуальный TPM не имеет аппаратного «хранилища» *, поэтому данные, которые необходимо защитить в TPM, записываются в файл «.nvram», который зашифрован с помощью шифрования виртуальной машины. Это обеспечивает ряд ключевых функций:

  1. Данные, записанные в vTPM, защищены очень надежным шифрованием.
  2. Поскольку мы используем шифрование виртуальной машины, мы сохранить переносимость виртуальных машин.
    1. Для виртуальной машины с vTPM можно использовать vMotion, резервное копирование с помощью существующих инструментов и т. д.
  3. Поскольку виртуальная машина зашифрована , предопределенная роль «Администратор без криптографии» теперь может использоваться для ограничения разрешений на виртуальной машине.
    1. Это защищает доступ к консоли, предотвращает загрузку виртуальной машины из хранилища данных и применяет операционную модель «минимальных привилегий».
  4. Шифрование выполняется только для «домашних» файлов виртуальной машины, а не для файлов VMDK, если вы не решите зашифровать файлы VMDK.
    1. Влияние на производительность минимально, так как мы шифруем только несколько сотен килобайт/мегабайт файлов в хранилище данных.
  5. vTPM не зависит от физического TPM.

* Физический TPM имеет ряд технических проблем. Он не предназначен для хранения учетных данных сотнями или тысячами виртуальных машин. Это слишком мало для этого. Хранение в TPM измеряется в килобайтах, а не в гигабайтах. Это также последовательное устройство, поэтому оно очень медленное.

Подробнее об использовании ESXi аппаратного TPM и о том, как работает vTPM, читайте в другой статье блога.

Windows с VBS на vSphere

Вот пример стандартной виртуальной машины Windows 10 и виртуальной машины Windows 10 с включенным VBS, работающих на vSphere:

Все дело в« виртуальном оборудовании »

Как видите, в этой статье блога мы в первую очередь говорим о поддержке виртуального оборудования . Виртуальная машина, которой требуется VBS, представлена ​​вложенной виртуализацией, виртуализированным TPM, поддержкой микропрограмм/BIOS для безопасной загрузки и UEFI и т. Д. То же, что и в примере ноутбука/настольного компьютера. vSphere 6.7 обеспечивает необходимую поддержку виртуального оборудования, чтобы Windows 10 и Windows 2016 могли функционировать должным образом.

Например, когда вы добавляете виртуальное устройство TPM 2.0 к виртуальной машине, гостевая ОС Windows воспринимает это как стандартное устройство TPM 2.0 с использованием существующих драйверов Windows.

Ни в коем случае время мы говорим о чем-то «особенном», которое необходимо установить и запустить в гостевой ОС, чтобы все это заработало. После того, как все настройки будут включены на уровне vSphere, вы должны использовать стандартные методы Microsoft для включения VBS в гостевой ОС.

Насколько это просто?

Очень! Это основано на нашей цели облегчить реализацию безопасности. В моем тестировании в лаборатории это сработало довольно хорошо. Я использовал инструмент готовности оборудования Microsoft Device Guard и Credential Guard , чтобы проверить соответствие VBS и включить Credential Guard.. Инструмент представляет собой простой в использовании скрипт PowerShell. VBS также можно включить с помощью групповых политик.

Обратитесь к документации Microsoft, чтобы узнать, как лучше всего включить эти функции в гостевой ОС Windows и в среде.

Операции

Я считаю, что многие сравнивают запуск операционной системы на голом железе с запуском на vSphere как яблоки с яблоками. На самом деле это не так. Это действительно больше яблок, чем апельсинов. Отличие состоит в том, что запуск виртуальных машин на гипервизоре приносит с собой новые методы работы и средства управления. Вам нужно больше думать о виртуальных машинах как об объектах и ​​о том, как управлять ими в масштабе.

Портативный компьютер — это единый объект с рядом аппаратных средств управления. Вы можете заблокировать доступ конечного пользователя к BIOS системы и установить требования для таких вещей, как шифрование, на основе их учетных данных. Но в среде виртуализированного рабочего стола это не нужно, потому что конечные пользователи не имеют доступа к базовому оборудованию или плоскости управления виртуальной машины. Использование тех же методов, что и защита ноутбука, не влияет напрямую на то, как вы будете защищать виртуальную машину, и некоторые из них могут фактически помешать тому, как правильно защитить их в центре обработки данных. Итак, будьте открыты для понимания различных вариантов использования. Не пытайтесь воткнуть квадратный штифт в круглое отверстие.

Заключение

Поддержка VBS и виртуального TPM была одним из самых интересных моментов в моей жизни. карьера в VMware до сих пор. С того момента, как я представил эту технологию ряду людей после того, как она была анонсирована на MS Tech Ed пару лет назад, до ее сегодняшнего выпуска была дикой и веселой поездкой.

Я хотел бы Снимаю шляпу перед инженерами VMware, которые сделали это ОЧЕНЬ быстрыми темпами. Microsoft тесно сотрудничала с этой группой инженеров, чтобы мы могли предоставить поддерживаемый уровень виртуального оборудования, которым могла бы воспользоваться операционная система Microsoft. Я также хотел бы поблагодарить Microsoft за поддержку этих усилий.

Ожидайте больше информации об этой и других функциях 6.7 по мере приближения к VMworld! Как всегда, вы можете связаться со мной в Твиттере по адресу @vspheresecurity или @mikefoley. Это, вероятно, самый простой и быстрый способ задать вопрос и получить ответ.

mike



Включение безопасности на основе виртуализации на виртуальной машине

Вы можете включить безопасность на основе виртуализации Microsoft (VBS) для поддерживаемых гостевых операционных систем Windows одновременно с создать виртуальную машину.

Включение VBS — это процесс, который включает сначала включение VBS на виртуальной машине, а затем включение VBS в гостевая ОС Windows.

Предварительные требования

Рекомендуются хосты Intel. См. Рекомендации по обеспечению безопасности на основе виртуализации для получения информации о приемлемых ЦП..

Создайте виртуальную машину, которая использует аппаратную версию 14 или новее и одну из следующих поддерживаемых гостевых операционных систем:

  • Windows 10 (64-разрядная версия)
  • Windows Server 2016 (64-разрядная версия)
  • Windows Server 2019 (64-разрядная версия)

Процедура

  1. Подключитесь к vCenter Server с помощью vSphere Client.
  2. Выберите в инвентаре объект, который является допустимым родительским объектом виртуальной машины, например, хост ESXi или кластер.
  3. Щелкните объект правой кнопкой мыши, выберите «Новая виртуальная машина» и следуйте инструкциям по созданию виртуальной машины.
    Option Действие
    Выберите тип создания Создайте виртуальную машину.
    Выберите имя и папку Укажите имя и целевое местоположение.
    Выберите вычислительный ресурс Укажите объект, для которого у вас есть права на создание виртуальных машин.
    Выбрать хранилище В политике хранения виртуальной машины выберите политику хранения. Выберите совместимое хранилище данных.
    Выберите совместимость Убедитесь, что выбрано ESXi 6.7 или более поздней версии.
    Выберите гостевую ОС Выберите Windows 10 (64-разрядная версия), Windows Server 2016 (64-разрядная версия) или Windows Server 2019 (64-разрядная версия). немного). Установите флажок Включить безопасность на основе виртуализации Windows.
    Настроить оборудование Настройте оборудование, например, изменив размер диска или CPU.
    Готово к завершению Просмотрите информацию и нажмите Готово.

Результаты

После создания виртуальной машины убедитесь, что ее На вкладке «Сводка» в описании гостевой ОС отображается «VBS true».

Что делать дальше

См. Включение безопасности на основе виртуализации в гостевой операционной системе. Система.

Оцените статью
logicle.ru
Добавить комментарий