Virtualizácia môže byť potrebná pre tých používateľov, ktorí pracujú s rôznymi emulátormi a / alebo virtuálnymi strojmi. Obidve môžu fungovať aj bez povolenej tejto možnosti, ale ak pri používaní emulátora potrebujete vysoký výkon, budete ho musieť povoliť.
Dôležité upozornenie
Na začiatok je vhodné uistiť sa, že váš počítač má podporu pre virtualizáciu. Ak tam nie je, riskujete, že stratíte čas pokusom o aktiváciu prostredníctvom systému BIOS. Mnoho populárnych emulátorov a virtuálnych strojov varuje používateľa, že jeho počítač podporuje virtualizáciu a ak túto možnosť povolíte, systém pobeží oveľa rýchlejšie.
Ak ste pri prvom spustení nejakého emulátora / virtuálneho počítača nedostali takúto správu, môže to znamenať nasledovné:
- Virtualizácia je už štandardne povolená (je to zriedkavé);
- Počítač toto nastavenie nepodporuje;
- Emulátor nie je schopný analyzovať a informovať používateľa o možnosti pripojenia virtualizácie.
Povolenie virtualizácie na procesore Intel
Pomocou tohto podrobného návodu môžete aktivovať virtualizáciu (relevantné iba pre počítače s procesorom Intel):
Povolenie virtualizácie na procesore AMD
Pokyny krok za krokom vyzerajú v tomto prípade takto:
Povoliť virtualizáciu na počítači nie je ťažké, stačí postupovať podľa pokynov krok za krokom. Ak však systém BIOS nemá možnosť povoliť túto funkciu, nemali by ste sa o to pokúšať pomocou programov tretích strán, pretože to neprinesie žiadny výsledok, ale môže to zhoršiť výkon počítača.
Sme radi, že sme vám mohli pomôcť vyriešiť problém.
Anketa: Pomohol vám tento článok?
Nie naozajlumpics.ru
Virtuálny zabezpečený režim (VSM) v systéme Windows 10 Enterprise
Windows 10 Enterprise (a iba toto vydanie) má novú funkciu Hyper-V s názvom Virtual Secure Mode (VSM). VSM je bezpečný kontajner (virtuálny stroj), ktorý beží na hypervízore a je oddelený od hostiteľského systému Windows 10 a jeho jadra. V tomto zabezpečenom virtuálnom kontajneri sú spustené systémové komponenty dôležité pre bezpečnosť. Vo VSM nemôže bežať žiadny kód tretej strany a integrita kódu sa neustále kontroluje, či nie je možné modifikovať. Táto architektúra vám umožňuje chrániť dáta vo VSM, aj keď je ohrozené jadro hostiteľského Windowsu 10, pretože ani jadro nemá priamy prístup k VSM.
Kontajner VSM nie je možné pripojiť k sieti a nikto na ňom nemôže získať oprávnenia správcu. Vo vnútri kontajnera virtuálneho zabezpečeného režimu môžu byť uložené šifrovacie kľúče, autorizačné údaje používateľa a ďalšie informácie, ktoré sú dôležité z hľadiska kompromisu. Útočník tak už nebude môcť preniknúť do podnikovej infraštruktúry pomocou údajov používateľských účtov domény uložených v lokálnej vyrovnávacej pamäti.
Vo VSM môžu bežať nasledujúce systémové komponenty:
- LSASS (Local Security Subsystem Service) je komponent zodpovedný za autorizáciu a izoláciu lokálnych používateľov (takže systém je chránený pred útokmi typu „pass the hash“ a nástrojmi ako mimikatz). To znamená, že heslá (a/alebo hashe) používateľov registrovaných v systéme nemôže získať ani používateľ s právami lokálneho správcu.
- Virtual TPM (vTPM) je syntetické zariadenie TPM pre hosťujúce počítače, ktoré je potrebné na šifrovanie obsahu diskov.
- Systém kontroly integrity kódu OS - ochrana systémového kódu pred modifikáciou
Aby ste mohli používať režim VSM, na prostredie sú kladené nasledujúce hardvérové požiadavky:
- Podpora UEFI, Secure Boot a Trusted Platform Module (TPM) pre bezpečné ukladanie kľúčov
- Podpora virtualizácie hardvéru (aspoň VT-x alebo AMD-V)
Ako povoliť virtuálny zabezpečený režim (VSM) v systéme Windows 10
Pozrime sa, ako povoliť virtuálny zabezpečený režim v systéme Windows 10 (v našom príklade je to zostava 10130).
Kontrola činnosti VSM
Môžete sa uistiť, že režim VSM je aktívny, prítomnosťou procesu Secure System v správcovi úloh.
Alebo udalosťou „Credential Guard (Lsalso.exe) bol spustený a bude chrániť poverenie LSA“ v systémovom denníku.
Testovanie bezpečnosti VSM
Takže na počítačoch s povoleným VSM sa zaregistrujeme pod účtom domény a spustíme nasledujúci príkaz mimikatz pod miestnym správcom:
Privilégium mimikatz.exe::debug sekurlsa::logonpasswords exit
Vidíme, že LSA beží v izolovanom prostredí a heslá hesla používateľa nie je možné získať.
Ak sa rovnaká operácia vykoná na stroji s vypnutým VSM, získame NTLM hash hesla používateľa, ktoré možno použiť na útoky typu „pass-the-hash“. 