Аппаратные средства безопасности и VBS

Базовая функциональность и механизмы защиты Device Guard реализованы на аппаратном уровне. Устройства с процессорами, оснащенными технологиями SLAT и расширениями виртуализации, такими как Intel VTx и AMD V, смогут воспользоваться возможностями среды VBS, которая существенно повышает защищенность Windows, изолируя критически важные службы Windows от самой операционной системы.

Эта изоляция необходима, потому что нужно исходить из того, что в отношении ядра ОС будет предпринята попытка атаки, а вам необходимо обеспечить безопасность определенных процессов. VBS используется в модуле Device Guard для изоляции службы Hypervisor Code Integrity

Это означает, что после выделения памяти ее состояние необходимо изменить с доступного для записи на доступное только для чтения или выполнения. Принудительно переводя память в эти состояния, вы не позволяете злоумышленникам внедрить вредоносный код в процессы и драйверы в режиме ядра, используя такие техники как переполнение буфера или распыление кучи.

В конце концов, среда VBS защищает службу HVCI Device Guard от вмешательств, даже если ядро ОС полностью взломано, а HVCI защищает процессы и драйверы в режиме ядра, чтобы взлом такого масштаба не мог произойти в принципе.

Еще одна функция Windows 10 использующая VBS это Credential Guard. Credential Guard защищает учетные данные, запуская службу проверки подлинности Windows (LSA), а затем сохраняет извлеченные учетные данные пользователя (например, хеши NTLM, заявки Kerberos) в той же среде VBS, которую Device Guard использует для защиты службы HVCI.

Credential Guard защищает от атак посредством передачи хеша или атак заявочного типа (а именно они лежат в основе практически всех злоумышленных проникновений в сеть, о которых на данный момент известно), что делает Credential Guard одним из самых важных и ценных компонентов для развертывания в вашей среде. Дополнительные сведения о том, каким образом Credential Guard взаимодействует с Device Guard, см. в разделе Device Guard с Credential Guard.