विंडोज 10 एंटरप्राइज में वर्चुअल सिक्योर मोड (वीएसएम)

विंडोज 10 एंटरप्राइज में (केवल इस संस्करण में), एक नया हाइपर-वी घटक दिखाई दिया है - वर्चुअल सुरक्षित मोड (VSM) . वीएसएम एक संरक्षित कंटेनर (वर्चुअल मशीन) है जो हाइपरविजर पर चलता है और होस्ट विंडोज 10 होस्ट और इसके कर्नेल से अलग होता है। सुरक्षा की दृष्टि से महत्वपूर्ण सिस्टम घटक इस संरक्षित वर्चुअल कंटेनर के अंदर चलते हैं। वीएसएम में कोई तृतीय-पक्ष कोड निष्पादित नहीं किया जा सकता है, और संशोधन के लिए कोड अखंडता की लगातार जांच की जाती है। यह आर्किटेक्चर वीएसएम में डेटा को सुरक्षित रखने की अनुमति देता है, भले ही होस्ट विडोज 10 के कर्नेल से समझौता किया गया हो, क्योंकि कर्नेल भी वीएसएम को सीधे एक्सेस नहीं कर सकता है।

वीएसएम कंटेनर को नेटवर्क से नहीं जोड़ा जा सकता है और इसमें किसी को भी प्रशासनिक विशेषाधिकार नहीं मिल सकते हैं। एन्क्रिप्शन कुंजी, उपयोगकर्ता प्रमाणीकरण डेटा और समझौता के दृष्टिकोण से अन्य महत्वपूर्ण जानकारी वर्चुअल सिक्योर मोड कंटेनर में संग्रहीत की जा सकती है। इस प्रकार, एक हैकर डोमेन उपयोगकर्ता खातों के स्थानीय रूप से संचित डेटा का उपयोग करके कॉर्पोरेट संरचना में प्रवेश करने में सक्षम नहीं होगा।

निम्नलिखित सिस्टम घटक VSM के अंदर काम कर सकते हैं:

1. एलएसएएसएस (स्थानीय सुरक्षा सबसिस्टम सेवा) स्थानीय उपयोगकर्ताओं के प्रमाणीकरण और अलगाव के लिए जिम्मेदार एक घटक है। (इस प्रकार, सिस्टम "पास हैश" प्रकार के हमलों से सुरक्षित है और ऐसे उपकरण, जैसे मिमिकेट्ज़ -लिंक 1, लिंक 2।) इसका मतलब है कि सिस्टम में पंजीकृत उपयोगकर्ता के पासवर्ड (और/या हैश) भी उपलब्ध नहीं हो सकते हैं स्थानीय व्यवस्थापक विशेषाधिकार वाले उपयोगकर्ता के लिए।
2. वर्चुअल टीपीएम (vTPM) डिस्क सामग्री के एन्क्रिप्शन के लिए आवश्यक अतिथि मशीनों के लिए एक सिंथेटिक टीपीएम उपकरण है
3. निगरानी के लिए प्रणाली OS कोड अखंडता कोड को संशोधन से बचाती है

वीएसएम का उपयोग करने के लिए, पर्यावरण को निम्नलिखित हार्डवेयर आवश्यकताओं को पूरा करना होगा:

• यूईएफआई, सुरक्षित बूट और सुरक्षित कुंजी भंडारण के लिए विश्वसनीय प्लेटफॉर्म मॉड्यूल (टीपीएम) समर्थन
• हार्डवेयर वर्चुअलाइजेशन सपोर्ट (VT-x, AMD-V या बाद का)

Windows 10 में वर्चुअल सिक्योर मोड (VSM) को कैसे इनेबल करें

आइए देखें कि वर्चुअल सिक्योर मोड विंडोज 10 को कैसे इनेबल किया जाए।

• UEFI सुरक्षित बूट सक्षम होना चाहिए।
• Windows 10 को डोमेन में शामिल करना होगा। (VSM केवल डोमेन उपयोगकर्ता खातों की सुरक्षा करता है, स्थानीय खातों की नहीं।)
• विंडोज 10 में हाइपर-वी रोल इंस्टॉल करना होगा। (हमारे मामले में, हमें पहले हाइपर-वी प्लेटफॉर्म इंस्टॉल करना था, और फिर हमने हाइपर-वी मैनेजमेंट टूल्स इंस्टॉल किया)
• वर्चुअल सिक्योर मोड (वीएसएम) को ग्रुप पॉलिसी एडिटर (gpedit.msc) में एक विशेष नीति में सक्षम किया जाना है:कंप्यूटर कॉन्फ़िगरेशन -> प्रशासनिक टेम्पलेट -> सिस्टम -> डिवाइस गार्ड -> वर्चुअलाइजेशन आधारित चालू करें सुरक्षा . सक्षम करें इस नीति को चुनें और सुरक्षित बूट . चुनें प्लेटफ़ॉर्म सुरक्षा स्तर चुनें . में विकल्प . क्रेडेंशियल गार्ड सक्षम करें भी चेक करें (एलएसए अलगाव) यहाँ।
• और आखिरी काम करने के लिए वीएसएम में विंडोज 10 शुरू करने के लिए बीसीडी को कॉन्फ़िगर करना है:

  bcdedit /set vsmlaunchtype auto

  bcdedit /set vsmlaunchtype ऑटो

• अपना कंप्यूटर पुनरारंभ करें

कैसे सुनिश्चित करें कि VSM चालू है

आप सुनिश्चित कर सकते हैं कि VSM सक्रिय है यदि सुरक्षित सिस्टम कार्य प्रबंधक में प्रक्रिया मौजूद है।

या अगर कोई घटना है "क्रेडेंशियल गार्ड (Lsalso.exe) शुरू किया गया था और एलएसए क्रेडेंशियल की रक्षा करेगा सिस्टम लॉग में।

वीएसएम सुरक्षा का परीक्षण कैसे करें

वीएसएम सक्षम मशीनों के साथ डोमेन खाते से लॉग इन करें और स्थानीय व्यवस्थापक विशेषाधिकारों के साथ निम्नलिखित मिमिकेट्ज कमांड चलाएँ:

mimikatz.exe privilege::debug sekurlsa::logonpasswords exit

mimikatz.exe विशेषाधिकार::डीबग sekurlsa::logonpasswords बाहर निकलें

हम देख सकते हैं कि एलएसए एक अलग वातावरण में चल रहा है और उपयोगकर्ता पासवर्ड हैश प्राप्त नहीं किया जा सकता है।

यदि आप वीएसएम अक्षम मशीन पर ऐसा करते हैं, तो हम उपयोगकर्ता पासवर्ड का एनटीएलएम हैश प्राप्त कर सकते हैं, जिसका उपयोग पास-द-हैश हमलों में किया जा सकता है।

संदर्भ:विंडोज 10 एंटरप्राइज बिल्ड 10130 में वर्चुअल सिक्योर मोड (वीएसएम) को सक्षम करना