Виндовс 10 Ентерприсе (и само у овом издању) има нову Хипер-В компоненту која се зове Виртуална Сецуре Режим (ВСМ). ВСМ је сигуран контејнер (виртуелна машина) који ради на хипервизору и одвојен од домаћина Виндовс 10 и његовог језгра. Сигурносно критичне компоненте система покрећу се унутар овог сигурног виртуалног контејнера. Не може се извршити никакав код треће стране унутар ВСМ-а, а интегритет кода се непрестано проверава ради промене. Ова архитектура омогућава вам заштиту података у ВСМ-у, чак и ако је хост кернел Виндовс 10 угрожен, јер чак и кернел нема директан приступ ВСМ-у.
ВСМ контејнер се не може повезати на мрежу и нико не може стећи административне привилегије у њему. Унутар спремника Виртуал Сецуре Моде могу се похранити кључеви за шифровање, подаци о ауторизацији корисника и остале информације критичне са становишта компромиса. Дакле, нападач више неће моћи да продре до корпоративне инфраструктуре користећи информације локалног кешираног корисничког налога.
Следеће системске компоненте могу радити унутар ВСМ-а:
- ЛСАСС (Локално Сигурност Подсистем Услуга) - компонента одговорна за ауторизацију и изолацију локалних корисника (систем је на тај начин заштићен од напада попут „прослиједи хасх“ и услужне програме попут мимикатз). То значи да лозинке (и / или хешеве) корисника регистрованих у систему не може добити чак ни корисник са локалним администраторима.
- Виртуална ТПМ (вТПМ) - синтетички ТПМ за машине за госте потребан за шифрирање садржаја погона
- ОС систем за контролу интегритета кода - системска заштита од модификација
Да бисте користили ВСМ режим, околини су представљени следећи хардверски захтеви:
- Подршка за УЕФИ, безбедно покретање и поуздан модул платформе (ТПМ) за сигурно чување кључева
- Подршка за виртуелизацију хардвера (најмање ВТ-к или АМД-В)
Како омогућити Виндовс Виртуал Сецуре Моде (ВСМ) у оперативном систему Виндовс 10
Да видимо како да омогућимо Виртуал Сецуре Моде Виндовса 10 (у нашем примеру је то Буилд 10130).
- УЕФИ Сигурно покретање мора бити омогућено.
- Виндовс 10 мора бити укључен у домен (ВСМ - штити само корисничке налоге домена, али не и локалне).
- Улога Хипер-В у Виндовс-у 10 мора бити инсталирана (у нашем случају прво сте морали инсталирати Хипер-В платформу, а тек потом Хипер-В Алати за управљање).
- Виртуелни сигурни режим (ВСМ) мора бити омогућен посебним правилима у уређивачу правила гпедит.мсц групе: Конфигурација рачунара -> Систем -> Заштита уређаја -> Укључите сигурност засновану на виртуализацији. Укључите политику у ставу Изаберите ниво заштите платформе одаберите Сигурна чизма, и такође означите „Омогући заштиту вјеродајница”(ЛСА изолација).
- И последње, конфигуришите БЦД за покретање Виндовс 10 у ВСМ режиму
бцдедит / сет всмлаунцхтипе ауто
- Поново покрените рачунар
Потврдите ВСМ
Проверите да ли је ВСМ активан по поступку Безбедан систем у менаџеру задатака.
Или по догађају “Покренута је поверљива гарда (Лсалсо.еке) која ће заштитити ЛСА поверљивости”У системском дневнику.
ВСМ безбедносно тестирање
Дакле, на машинама са омогућеним ВСМ режимом региструјте се под налогом домене и покрените следећу наредбу мимикатз из локалног администратора:
мимикатз.еке привилегија :: дебуг секурлса :: логонпассвордс излаз
Видимо да се ЛСА покреће у изолованом окружењу и да се не могу добити хешеви корисничких лозинки.
Ако извршимо исту операцију на машини са искљученим ВСМ, добићемо хасх корисничко име за НТЛМ лозинку, која се може користити за нападе „прослиједи-хасх“.