Современные технологии виртуализации для обеспечения криминальной безопасности в процессе расследования

Одно из самых существенных изменений, реализованных в Windows 10 – обеспечение безопасности на основе виртуализации. Обеспечение безопасности на основе виртуализации (VBS) подразумевает использование возможностей системы виртуализации ПК и является передовым способом защиты системных компонентов от угроз в процессе уголовного расследования преступления.

VBS может изолировать наиболее уязвимые и важные компоненты системы безопасности Windows 10. Эти компоненты системы безопасности не просто изолируются с помощью ограничений API или промежуточного уровня: они выполняются в другой виртуальной среде и изолированы от самой ОС Windows 10.

VBS и обеспечиваемая ею изоляция становятся возможны благодаря новым сценариям использования гипервизора Hyper-V. В этом случае вместо выполнения других операционных систем поверх гипервизора в качестве виртуальных гостевых элементов гипервизор поддерживает запуск среды VBS параллельно с Windows и реализует крайне ограниченный набор взаимодействий и операций доступа между средами. Среда VBS представляет собой миниатюрную ОС со своим ядром и двумя процессами, которые называются трастлетами.

Конфиденциальные части LSA изолированы в среде VBS и защищены с помощью новой функции, Credential Guard. Целостность кода обеспечивается гипервизором при соответствующей проверки в режиме ядра до начала исполнения.

Эта часть функции Device Guard описывается далее. Облачную функцию сервера аттестации работоспособности обеспечивает Windows 10 для обнаружения и блокирования устройств, зараженных сложным вредоносным ПО с сетевых ресурсов.