В видеоролике ниже рассматривается то, как включить Virtualization-Based Security (VBS) в гостевых операционных системах Windows, работающих в среде VMware Cloud Foundation и vSphere:
Что такое Virtualization-Based Security (VBS)?
VBS — это технология безопасности от Microsoft, использующая возможности аппаратной виртуализации и изоляции для создания защищённой области памяти. Она используется для защиты критически важных компонентов операционной системы, таких как Credential Guard и Device Guard.
Предварительные требования
Перед тем как включить VBS, необходимо убедиться в выполнении следующих условий:
-
Active Directory Domain Controller
Необходим для настройки групповой политики. В демонстрации он уже создан, но пока выключен. -
Загрузка через UEFI (EFI)
Виртуальная машина должна использовать загрузку через UEFI, а не через BIOS (legacy mode). -
Secure Boot
Желательно включить Secure Boot — это обеспечивает дополнительную защиту от вредоносных программ на стадии загрузки. -
Модуль TPM (Trusted Platform Module)
Не обязателен, но настоятельно рекомендуется. Большинство руководств по безопасности требуют его наличия.
Настройка VBS в VMware
-
Перейдите к параметрам виртуальной машины в Edit Settings.
-
Убедитесь, что:
- Используется UEFI и включен Secure Boot.
- Включена опция «Virtualization-based security» в VM Options.
- Виртуализация ввода-вывода (IO MMU) и аппаратная виртуализация будут активированы после перезагрузки.
Важно: Если переключаться с legacy BIOS на EFI, ОС может перестать загружаться — будьте осторожны.
Настройка VBS внутри Windows
После включения параметров на уровне гипервизора нужно активировать VBS в самой Windows:
-
Запустите gpedit.msc (Редактор локальной групповой политики).
-
Перейдите по пути:
Administrative Templates > System > Device Guard
- Включите следующие параметры:
- Turn on Virtualization Based Security – активировать.
- Secure Boot and DMA Protection – да.
- Virtualization-based protection of Code Integrity – включить с UEFI Lock.
- Credential Guard – включить.
- Secure Launch Configuration – включить.
Примечание: Если вы настраиваете контроллер домена, обратите внимание, что Credential Guard не защищает базу данных AD, но защищает остальную ОС.
-
Перезагрузите виртуальную машину.
Проверка работоспособности VBS
После перезагрузки:
- Откройте System Information и убедитесь, что:
- Virtualization Based Security включена.
- MA Protection работает.
- redential Guard активен.
- В Windows Security проверьте:
- Включена ли Memory Integrity.
- Активна ли защита от вмешательства (Tamper Protection).
Заключение
Теперь у вас есть полностью защищённая Windows-гостевая ОС с включённой Virtualization-Based Security, Credential Guard и другими функциями. Это отличный способ повысить уровень безопасности в вашей инфраструктуре VMware.
Для получения дополнительной информации смотрите ссылки под видео.
