การรักษาความปลอดภัยบนพื้นฐานการจำลองเสมือน (VBS) เป็นเทคโนโลยีที่สรุปกระบวนการคอมพิวเตอร์จากระบบปฏิบัติการ (OS) พื้นฐานและในบางกรณีอาจรวมถึงฮาร์ดแวร์ด้วย แยกกระบวนการเหล่านี้ออกจากกัน โดยมีเป้าหมายในการปกป้องระบบปฏิบัติการและอุปกรณ์จากมัลแวร์และการโจมตีอื่นๆ
VBS เป็นแนวคิดในการสร้างสภาพแวดล้อมเสมือนจริงที่แยกออกมาและบังคับใช้ข้อจำกัดบางประการเพื่อปกป้องทรัพยากรระบบและโซลูชันด้านความปลอดภัย (เช่น ข้อมูลประจำตัวในการเข้าสู่ระบบของผู้ใช้) จากช่องโหว่ในระบบปฏิบัติการและการหาประโยชน์เช่นมัลแวร์ สภาพแวดล้อมแบบแยกส่วนคือส่วนหนึ่งของหน่วยความจำหลักที่แยกออกจากส่วนที่เหลือของระบบปฏิบัติการ นอกจากนี้ยังเป็น "รากฐานของความไว้วางใจ" ของระบบปฏิบัติการด้วย
VBS อาศัยไฮเปอร์ไวเซอร์ของ Windows เพื่อสร้างสภาพแวดล้อมแบบแยก ไฮเปอร์ไวเซอร์สันนิษฐานว่า Windows อาจถูกโจมตีโดยโค้ดที่เป็นอันตราย ตามสมมติฐานนี้ มีจุดมุ่งหมายเพื่อปกป้องทรัพยากรระบบที่สำคัญ ในการดำเนินการนี้ ระบบจะเปิดใช้งานการจำลองเสมือนด้วยฮาร์ดแวร์ และสร้างเครื่องเสมือน (VM) ที่ระบบโฮสต์ประมวลผลและจัดเก็บข้อมูล แทนที่จะเรียกใช้กระบวนการเหล่านั้นโดยตรงบนระบบปฏิบัติการของคอมพิวเตอร์ หลักการของ VBS คือ หากกระบวนการหรือแอปพลิเคชันที่แยกออกมาถูกโจมตี การโจมตีจะไม่สามารถแพร่กระจายออกไปนอก VM ได้ ผู้โจมตีไม่สามารถใช้ประโยชน์จากช่องโหว่ในกระบวนการหนึ่งเพื่อขโมยข้อมูลจากแอปพลิเคชันอื่นหรือยึดคอมพิวเตอร์ทั้งหมดด้วยแรนซัมแวร์ เป็นต้น
การรักษาความปลอดภัยบนการจำลองเสมือนขึ้นอยู่กับไฮเปอร์ไวเซอร์ของ Windows เพื่อสร้างสภาพแวดล้อมแบบแยกส่วน การรักษาความปลอดภัยบนพื้นฐานการจำลองเสมือนใน Windows คืออะไร
Microsoft ได้รวมการรักษาความปลอดภัยบนพื้นฐานการจำลองเสมือนไว้ใน Windows 10 เป็นครั้งแรกด้วยการเปิดตัวฟีเจอร์ Windows Defender Device Guard และ Credential Guard Device Guard และ Credential Guard ใช้ Virtual Secure Mode (VSM) ซึ่งเป็นคุณลักษณะเฉพาะของการรักษาความปลอดภัยบนการจำลองเสมือนใน Windows 10 VSM ใช้ไฮเปอร์ไวเซอร์ Microsoft Hyper-V ซึ่งติดตั้งโดยตรงบนฮาร์ดแวร์ของคอมพิวเตอร์ เพื่อเรียกใช้กระบวนการเฉพาะและจัดเก็บข้อมูลโดยไม่ขึ้นอยู่กับระบบปฏิบัติการ
Device Guard คือชุดคุณสมบัติสามประการ ได้แก่ Configurable Code Integrity, VSM Protected Code Integrity and Platform และ UEFI Secure Boot ซึ่งป้องกันไม่ให้โค้ดที่ไม่น่าเชื่อถือทำงานบนเครื่อง Windows 10 คุณสมบัติเหล่านี้ช่วยให้มั่นใจได้ว่าเฉพาะรหัสที่เชื่อถือได้และเฟิร์มแวร์ที่ได้รับการรับรองและลงนามแล้วเท่านั้นที่สามารถทำงานบนคอมพิวเตอร์ได้ และช่วยให้ผู้ดูแลระบบไอทีสามารถแยกกระบวนการเฉพาะเพื่อเพิ่มการป้องกันอีกชั้นหนึ่งได้ Credential Guard ใช้ VSM เพื่อแยกและรักษาความปลอดภัยการเข้าสู่ระบบของผู้ใช้ รหัสผ่าน และข้อมูลการตรวจสอบสิทธิ์อื่นๆ เพื่อป้องกันการเข้าถึงเครื่องและระบบอื่นๆ โดยไม่ได้รับอนุญาต
VBS ได้รับการสนับสนุนบน Windows ทุกรุ่นที่เริ่มต้นด้วย Windows 10 และ Windows Server 2016 นอกจากนี้ Windows 11 ยังรองรับ VBS อีกด้วย ใน Windows 11 VBS และคุณลักษณะด้านความปลอดภัยที่สำคัญ เช่น ความสมบูรณ์ของหน่วยความจำ จะถูกเปิดใช้งานตามค่าเริ่มต้น เช่นเดียวกับ Windows 10 VBS ใน Windows 11 จะสร้างส่วนที่แยกของหน่วยความจำซึ่งสามารถจัดเก็บโซลูชันความปลอดภัยต่างๆ ได้อย่างปลอดภัย ในการทำเช่นนั้น สภาพแวดล้อมจะทำหน้าที่เป็นรากฐานของความไว้วางใจสำหรับระบบปฏิบัติการ VBS รับประกันว่าเฉพาะทรัพยากรที่อยู่ภายในสภาพแวดล้อมนี้เท่านั้นที่เชื่อถือได้
มุมมองแบบเคียงข้างกันของสถาปัตยกรรมแบบดั้งเดิมและสถาปัตยกรรมเสมือน ทรัพยากรและโซลูชั่นความปลอดภัยที่ได้รับการคุ้มครองโดย VBS
VBS และไฮเปอร์ไวเซอร์ของ Windows มุ่งหวังที่จะปกป้องทรัพยากรระบบและระบบปฏิบัติการและโซลูชั่นความปลอดภัยต่างๆ ทรัพยากรหนึ่งดังกล่าวคือการลงทะเบียนเฉพาะแบบจำลอง (MSR) MSR คือรีจิสเตอร์ควบคุมในโปรเซสเซอร์ที่ใช้โดยทั่วไปสำหรับการดีบัก การตรวจสอบประสิทธิภาพ และสำหรับการควบคุมลักษณะบางอย่างของพฤติกรรมของโปรเซสเซอร์
การประนีประนอมของ MSR และการเปลี่ยนแปลงการตั้งค่าที่ควบคุมอาจทำให้ระบบทั้งหมดเสียหายได้ เมื่อสิ่งนี้เกิดขึ้น พฤติกรรมของระบบอาจเปลี่ยนแปลงไปในลักษณะที่ไม่พึงประสงค์หรือผู้คุกคามอาจได้รับการเข้าถึงระบบหรือทรัพย์สินด้านความปลอดภัยโดยไม่ได้รับอนุญาต
เพื่อป้องกันปัญหาดังกล่าว ไฮเปอร์ไวเซอร์จะใช้ VBS ด้วย VBS ไฮเปอร์ไวเซอร์จะปกป้อง MSR จากโค้ดโหมดเคอร์เนลที่เป็นอันตราย และป้องกันการใช้งานในทางที่ผิดโดยทำสิ่งต่อไปนี้:
- การตรวจสอบและควบคุมการเข้าถึง MSR ทั้งหมด
- การอนุญาตให้รหัสโหมดเคอร์เนลเข้าถึงเฉพาะ MSR ที่ทราบว่าปลอดภัยเท่านั้น
- บล็อกการเข้าถึง MSR ที่ไม่รู้จัก (ไปยังไฮเปอร์ไวเซอร์)
- การตั้งค่าสถานะอินสแตนซ์ของการพยายามเข้าถึง MSR ที่ถูกบล็อกโดยการบันทึกเหตุการณ์ลงในบันทึกของระบบ Windows ใน Event Viewer
VBS ยังปกป้องข้อมูลประจำตัวผู้ใช้ที่ผ่านการรับรองความถูกต้องและรหัสที่รับผิดชอบด้านความปลอดภัยของ Windows โดยการวางไว้ในสภาพแวดล้อมเสมือนที่ปลอดภัย
ความปลอดภัยบนพื้นฐานการจำลองเสมือนและความสมบูรณ์ของหน่วยความจำ
ความสมบูรณ์ของหน่วยความจำเป็นคุณลักษณะ VBS ใน Windows OS เมื่อไฮเปอร์ไวเซอร์สร้างสภาพแวดล้อมเสมือนที่แยกออกมา ความสมบูรณ์ของหน่วยความจำจะเรียกใช้ความสมบูรณ์ของรหัสโหมดเคอร์เนลภายในสภาพแวดล้อมนี้ เพื่อป้องกันไม่ให้ไดรเวอร์หรือไฟล์ระบบที่ไม่น่าเชื่อถือถูกโหลดลงในหน่วยความจำระบบ ด้วยเหตุนี้ จึงช่วยปกป้องระบบปฏิบัติการและป้องกันมัลแวร์ไม่ให้ทำลายเคอร์เนลของ Windows
ความสมบูรณ์ของหน่วยความจำยังช่วยให้แน่ใจว่าเพจหน่วยความจำเคอร์เนลจะดำเนินการหลังจากผ่านการตรวจสอบความสมบูรณ์ของโค้ดภายในสภาพแวดล้อมรันไทม์ที่ปลอดภัยเท่านั้น นอกจากนี้ยังป้องกันไม่ให้มีการแก้ไขโค้ดเพจที่ปฏิบัติการได้และหน่วยความจำที่แก้ไขไม่สามารถดำเนินการได้ นี่คือวิธีการจำกัดการจัดสรรหน่วยความจำเคอร์เนลและป้องกันไม่ให้ระบบถูกบุกรุก
ข้อกำหนดในการรัน VBS ใน Windows
หากต้องการเปิดใช้งานและเรียกใช้ VBS ใน Windows ส่วนประกอบบางอย่างจะต้องได้รับการกำหนดค่าอย่างเหมาะสม สิ่งที่สำคัญที่สุดคือไฮเปอร์ไวเซอร์ของ Windows นอกจากนี้ โปรเซสเซอร์จะต้องรองรับการจำลองเสมือนด้วยการแปลที่อยู่ระดับที่สอง
นอกจากนี้ อุปกรณ์ I/O ที่รองรับ DMA ทั้งหมดจะต้องอยู่ด้านหลังหน่วยจัดการหน่วยความจำอินพุต-เอาท์พุต และเฟิร์มแวร์ระบบทั้งหมดจะต้องทำให้โค้ดโหมดการจัดการระบบแข็งแกร่งขึ้นตามตารางการลดความปลอดภัยของ Windows SMM (WMST) เฟิร์มแวร์ Unified Extensible Firmware Interface ทั้งหมดจะต้องแยกและรายงานช่วงหน่วยความจำรันไทม์ของ EFI สำหรับโค้ดและข้อมูล และยังรวมการป้องกันเพจ EFI ด้วย (เช่น หน่วยความจำ UEFI ที่ปฏิบัติการได้จะต้องอ่านอย่างเดียว และหน่วยความจำที่เขียนได้จะต้องไม่สามารถปฏิบัติการได้)
ข้อกำหนดที่สำคัญอีกประการหนึ่งคือ ไดรเวอร์ระบบทั้งหมดต้องได้รับการทดสอบเพื่อให้แน่ใจว่าเข้ากันได้กับความสมบูรณ์ของหน่วยความจำ นอกจากนี้ ต้องใช้ Secure Memory Overwrite Request เวอร์ชัน 2 เพื่อป้องกันระบบจากการโจมตีหน่วยความจำขั้นสูง
สุดท้ายนี้ Microsoft แนะนำ (แต่ไม่ได้บังคับ) ให้ใช้ Trusted Platform Module เพื่อให้การรักษาความปลอดภัยบนฮาร์ดแวร์
เมื่อใช้การรักษาความปลอดภัยบนการจำลองเสมือน Microsoft แนะนำให้ใช้ Trusted Platform Module เพื่อมอบความปลอดภัยบนฮาร์ดแวร์ วิธีตรวจสอบว่า VBS เปิดใช้งานอยู่ใน Windows 10 หรือ 11
ใน Windows 10 และ 11 โดยปกติ VBS จะเปิดตามค่าเริ่มต้น อย่างไรก็ตาม ผู้ดูแลระบบสามารถยืนยันได้ว่าเปิดใช้งานหรือไม่โดยทำตามขั้นตอนนี้:
- ค้นหาแอป System Information ในการค้นหาของ Windows
- เปิดแอป
- เลื่อนลงไปที่แถว "การรักษาความปลอดภัยตามการจำลองเสมือน"
- หากมีข้อความว่า "กำลังทำงาน" แสดงว่าเปิดใช้งาน VBS แล้ว
วิธีปิดการใช้งาน VBS/HVCI ใน Windows 10 หรือ 11
ประโยชน์ด้านความปลอดภัยแม้ว่าการเปิดใช้งาน VBS ใน Windows 10 และ 11 อาจทำให้ประสิทธิภาพของระบบช้าลง การปิดใช้งานคุณลักษณะนี้สามารถปรับปรุงประสิทธิภาพได้ แม้ว่าจะต้องเสียค่าใช้จ่ายในการเปิดเผยโซลูชันด้านความปลอดภัยต่อช่องโหว่และช่องโหว่ก็ตาม
ต่อไปนี้เป็นกระบวนการปิดการใช้งาน VBS/HVCI ใน Windows 10 และ 11:
- ค้นหา "Core Isolation" ในการค้นหาของ Windows หรือเปิดจากการตั้งค่าระบบ
- ปิด Memory Integrity (หากเปิดอยู่)
- รีสตาร์ทระบบ
- เปิดแอปข้อมูลระบบ
- เลื่อนลงไปที่แถว "การรักษาความปลอดภัยตามการจำลองเสมือน"
- หากมีข้อความว่า "ไม่ได้เปิดใช้งาน" VBS จะถูกปิดใช้งาน
หาก VBS ยังคงเปิดใช้งานอยู่ จะต้องปิดการใช้งานจากรีจิสทรีของระบบ (อาจจำเป็นต้องมีการเข้าถึงของผู้ดูแลระบบและประสบการณ์) โดยทำตามขั้นตอนเหล่านี้:
- เปิดและเรียกใช้ regedit เพื่อเปิดตัวแก้ไขรีจิสทรี
- นำทางไปยังโฟลเดอร์ Computer\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard
- เปิดไฟล์ชื่อ EnableVirtualizationBasedSecurity และตั้งค่าเป็น 0
- ปิดการลงทะเบียน
- รีสตาร์ทพีซี
- ยืนยันในแอป System Information ว่า VBS ถูกปิดใช้งาน
เรียนรู้เพิ่มเติมเกี่ยวกับคุณลักษณะการรักษาความปลอดภัยบน Windows เสมือนจริง และดูสิ่งที่ควรคำนึงถึงเมื่อรักษาความปลอดภัยให้กับสภาพแวดล้อมเสมือน สำรวจวิธีเปิดใช้งาน Windows Defender Device Guard และเปรียบเทียบเครื่องมือตรวจจับและตอบสนองปลายทางสำหรับ Windows Server
