Top.Mail.Ru
КОНФИГУРАТОР Серверы
Сетевое оборудование
СХД IP-телефоны IP-камеры Источники бесперебойного питания (ИБП) Комплектующие Готовые решения -40 % Серверы под задачу
О компании Купить в лизинг Блог Отзывы Доставка Гарантия Контакты Работа у нас Реквизиты Спецпредложения Игровые ПК на ISKRAPC
Эксперты в подборе IT-оборудования

Безопасность на основе виртуализации

10 июля 2023
Содержание:

По мере развития ИТ-систем увеличивается и вероятность внешних и внутренних угроз безопасности системы. Так, большинство современных компьютеров поддерживают функцию защиты данных за счет формирования виртуальной операционной системы. Безопасность на основе виртуализации позволяет создать отдельную виртуальную машину для первичного тестирования потенциально вредоносного программного обеспечения или постоянной работы в гостевой операционной системе. Однако для корректной работы оборудования важно отслеживать соответствие настроек производителя требуемой производительности.

Как отключить безопасность на основе виртуализации в редакторе локальной групповой политики или редакторе реестра

Несмотря на преимущества защиты данных на основе виртуализации, ее включение значительно тормозит процессы операционной системы, поскольку в этом случае она работает за счет дополнительного программного обеспечения. После проверки потенциально опасных программ пользователи обычно отключают функцию виртуализации: для этого можно воспользоваться несколькими методами. Например, через редактор локальной групповой политики или реестра. Для этого необходимо в соответствующей вкладке нажать на значок «EnabledVirtualizationBasedSecurity» и выбрать позицию 0.

Дополнительные методы отключения Virtualization Based Security

Virtualization Based Security – встроенная функция обеспечения безопасности на основе создания виртуальной системы, предусмотренная в последних версия операционной системы Windows – Windows 10 и Windows 11. Однако в повседневной жизни такой метод защиты негативно сказывается на производительности устройства, что особенно актуально для рабочих задач, не связанных с доступом в интернет. В этом случае следует отключить VBS через настройки операционной системы, вызов командной строки или изменения функции в панели управления.

Включение защиты целостности кода на основе виртуализации

Целостность кода – один из механизмов обеспечения безопасности на компьютерах и серверах с операционной системой Windows, который направлен на сохранение ядра от внутренних и внешних атак. Включить функцию защиты допустимо как с помощью специального программного обеспечения от производителя, так и через базовые настройки устройства. Один из доступных способов – использование приложения «Безопасность Windows», где система автоматически уведомляет пользователя об изменении состояния целостности кода. После включения функции необходимо сохранить настройки и перезапустить компьютер или ноутбук.

Функции целостности памяти

Функция обеспечения защиты ядра на основе целостности памяти по умолчанию активирована на всех устройствах с операционной системой Windows старше 2018 года, что оптимизирует безопасность данных от внешних атак. Она необходима для предотвращения сбоев в деятельности операционной системы или дополнительных сервисов и работает по принципу изоляции ядра. Это особенно актуально для коммерческих систем, где требуется повышенная защита конфиденциальных данных. Здесь целостность кода обеспечивается за счет контейнерной виртуализации и разделения процессов без привязки к хостовой операционной системе.

Включение целостности памяти

Поскольку защита данных на основе виртуализации является активной по умолчанию, на устройствах с операционной системой старше 2018 года, включать целостность памяти самостоятельно не требуется. Однако в ситуациях, когда программное обеспечение было выпущено раньше, или пользователь отключил функцию целостности для ускорения производительности, необходимо включить ее в настройках компьютера. Для этого во вкладке «Безопасность устройства» следует зайти в «Изоляцию ядра» и активировать целостность памяти. Причем, для запуска обновлений обязательно требуется перезагрузка устройства.

Поиск и ликвидация неисправностей

Основная проблема, с которой сталкиваются пользователи при включении целостности кода, заключается в сбоях в работе виртуальной машины. Система выдает ошибку при запуске виртуализации при включенной целостности памяти. Кроме того, включение целостности может тормозить устаревшая версия драйверов: для предотвращения такой ситуации следует скачать обновление на официальном сайте. В случае критических ошибок после включения целостности кода необходимо запустить «Среду восстановления» операционной системы для устранения неисправностей.

Развертывание целостности памяти на виртуальных машинах

Виртуализация представляет собой создание виртуальной системы на базе физического оборудования. При этом для корректного функционирования хостовой и гостевой операционных систем используют специальное программное обеспечение – гипервизор. В ОС Windows технология виртуализации представлена системой Hyper-V. Причем, защита на основе виртуализации предполагает обеспечение безопасности данных не только в хостовой, но и в гостевой операционной системе на виртуальной машине.

Требования для выполнения целостности памяти на виртуальных машинах Hyper-V

Виртуализация предполагает построение виртуальной системы на базе физического оборудования, поэтому прежде всего следует оценить мощность хоста и спрогнозировать количество виртуальных машин, а также их иерархию. При этом запуск виртуальной машины может осложняться, если целостность кода уже включена в хостовой операционной системе. Для одновременной работы необходимо установить соответствующие настройки в гипервизоре. Причем запуск целостности памяти на виртуальных машинах по технологии Hyper-V осуществляют с помощью виртуального адаптера. Например, Fibre Channel.

Настройки безопасности на основе виртуализации

Защита данных на основе виртуализации использует гипервизор для создания отдельных платформ для работы с потенциально опасными файлами и программами. При этом удаление соответствующей виртуальной машины не влияет на производительность и сохранность информации на хостовом устройстве. Такая схема обеспечения безопасности предусмотрена для выявления небезопасных конфигураций и по умолчанию включена в операционной системе Windows 10 или 11. Однако для включения функции на ранних версиях или контроля защиты требуется самостоятельно настроить безопасность устройства.

Шаг 1. Проверьте, поддерживает ли ваша система UEFI и TPM 2.0

Управление виртуализацией происходит с помощью BIOS – базой ввода и вывода данных. Однако на современных устройствах ее модернизировали и заменили на UEFI – усовершенствованный интерфейс управления операционной системой и настройками взаимодействия между программными компонентами. Для проверки поддержки необходимо нажать комбинацию клавиш Win+R и запустить процесс «Сведения о системе» введением команды msinfo32. Одновременно о состоянии системы свидетельствует TPM 2.0 – специальный модуль, который хранит данные о системе. Статус его подключения можно узнать по введенной команде tpm.msc.

Шаг 2. Включите UEFI и TPM 2.0

Включение UEFI позволяет ускорить производительность системы, а также открыть доступ к дополнительным настройкам. Устаревшую версию БИОС можно адаптировать под UEFI с помощью активации соответствующих параметров. Для включения TPM 2.0 следует зайти во вкладку «Безопасность» и активировать «TPM Security». Однако это доступно только для тех устройств, которые предусматривают наличие модуля в конструкции процессора или материнской платы.

Шаг 3 (если вы не можете выполнить шаг 2). Отключите VBS

Если компьютер или ноутбук собраны из компонентов ранее 2016 года, велика вероятность, что модуля TPM 2.0 просто нет в наличии, поэтому активация безопасности таким способом неактуальна. В этом случае для сохранения работоспособности устройства необходимо отключить безопасность на основе виртуализации.

Смена BIOS на UEFI

В большинстве случаев производитель оборудования указывает информацию о доступе к оптимизации БИОС на официальном сайте. Однако заменить программу на UEFI можно и самостоятельно, без переустановки операционной системы. Для этого необходимо убедиться, что версия BIOS устарела: дело в том, что некоторые производители для удобства пользователей называют базовые настройки по-прежнему. После этого следует зайти в систему от имени администратора и ввести команды для преобразования базовой схемы.


Как отключить VBS (безопасность на основе виртуализации)

Отключение защиты данных на основе виртуализации требуется для ускорения производительности устройства, а также в ситуациях, когда пользователь уверен в отсутствии внешних и внутренних угроз. Например, при отсутствии интернета на устройстве. Однако в случае работы с потенциально опасным программным обеспечением создание виртуальной копии позволяет избежать потери данных и серьезных сбоев системы. При этом рост производительности не так значителен, как обеспечение безопасности. Вне зависимости от выбранного способа отключения безопасности на основе виртуализации (с помощью БИОС, командной строки, панели управления) ИТ-специалисты не рекомендуют пренебрегать этой функцией.

Что такое безопасность на основе виртуализации (VBS)?

Обычно на персональных компьютерах или ноутбуках установлена единственная операционная система. Однако такой вариант связан с рисками безопасности данных, поскольку процессы внутри системы могут быть нарушены сторонним вредоносным программным обеспечением. Включение защиты устройства на основе виртуализации гарантирует сохранение исходной системы за счет использования выделенной области для работы потенциально вредных программ.

Зачем вам ВБС

В современных операционных системах Windows безопасность на основе виртуализации включена по умолчанию и позволяет решить ряд текущих и долгосрочных задач. Например, минимизирует вероятность хакерских атак и потери информации, дает возможность выделить отдельную платформу для разового или первичного тестирования программного обеспечения, а также обеспечивает стабильность работы хостовой операционной системы.

Что такое безопасность на основе виртуализации Windows?

Обновленная операционная система Windows предлагает защиту, основанную на целостности кода. Однако важно проверять соответствие оборудования на подключение целостности: так, например, для корректной работы требуется модуль TPM 2.0.

Микровиртуализация

В реальной жизни пользователи часто сталкиваются с локальными угрозами безопасности устройства, которые вызваны вирусными ссылками или программами. Для борьбы с ними компания Bromium разработала технику микровиртуализации, которая обеспечивает защиту в формате программной виртуализации.

Требования к оборудованию VBS

Поскольку безопасность на основе виртуализации разработана для современных операционных систем, она требует соответствия техническим характеристикам устройства. Например, VBS работает только на 64-разрядных процессорах и требует наличия платформенного модуля TPM 2.0.

Включение защиты операционной системы на основе виртуализации позволяет повысить безопасность устройства и хранящейся информации, а также обеспечить корректную работу программного обеспечения при угрозе вирусного вмешательства. IT-инженеры ittelo.ru помогут оценить текущие возможности оборудования и настроить безопасность, основанную на виртуализации.

 
Поделитесь статьей в соцсетях   
 
Вам также может быть интересно

ТОП-5 ошибок при выборе сервера
Товар добавлен в список сравнения
Перейти в сравнение
Продолжить просмотр
Подбираете сервер для 1С?
Подпишитесь на специальную серию писем про выбор и настройку сервера под 1С
Подписаться
Боитесь неправильно выбрать сервер?
Оставьте свой email, и мы пришлем чек-лист с 5 самыми распространенными ошибками
Получить чек-лист
Нажимая кнопку "Получить чек-лист", вы даёте согласие на обработку персональных данных
Заказать консультацию
IT-архитектор подберет сервер под вашу задачу
Заказать сервер
Мы свяжемся с вами в течение 15 мин
Заявка на лизинг