14、Windows 10安全特性深度解析

Windows 10安全特性深度解析

1. 基于虚拟化的安全（VBS）

在系统内存中保护凭据，需要借助基于虚拟化的安全（VBS）和凭据防护（Credential Guard）。VBS，也称为隔离用户模式（IUM），为系统软件提供了新的信任边界。它包含在Windows 10的企业版（包括LTSB）、教育版和物联网企业版中。VBS利用平台虚拟化，通过限制对高价值安全资产的访问来增强平台安全性，即使是来自管理模式代码（CPL）的访问也会受到限制。

VBS提供了一个安全的执行环境，保护诸如LSA凭据隔离和内核模式代码完整性（KMCI）等多个Windows 10服务。在服务器操作系统中，它还提供虚拟TPM（vTPM）。VBS使用虚拟机监控程序，通过在系统内存中强制执行读、写和执行权限，来保护迷你内核和操作系统的其他重要部分/服务。

通过分离这些服务，VBS增强了操作系统对内核模式攻击和其他攻击的防护能力。即使恶意软件获得了对内核的访问权限，其影响也是有限的，因为虚拟机监控程序会阻止恶意软件执行代码。新的安全特性，如凭据防护、设备防护和应用防护，都使用了VBS模式。因此，要使用这三个安全特性中的任何一个，都需要先激活VBS。

1.1 使用VBS的硬件要求

要使用VBS，必须使用x64架构（以支持Hyper - V），并且硬件需要具备并激活一些特性。以下是启用VBS的最低要求：
- 64位CPU
- 64位操作系统
- UEFI 2.3.1c或更高版本的固件
- 未激活传统/BIOS模式
- 激活安全启动
- 激活Hyper - V虚拟机监控程序功能
- 虚拟化支持：
- 虚拟化扩展