Безопасность на основе виртуализации windows 10 как включить

Обновлено: 23.01.2025

С помощью виртуальных машин можно выполнять различные задач. Каждая виртуальная машина запускается в изолированной среде выполнения, что позволяет использовать на компьютере различные операционные системы и приложения.

Данная статья расскажет как включить виртуализацию Hyper-V Windows 10. Первым делом рассмотрим как проверить системные требования Hyper-V, а уже потом включению Hyper-V и настройке виртуальной машины.

Системные требования Hyper-V

А также необходимо будет включить эти самые технологии виртуализации, а также включить Hardware Enforced Data Execution Prevention (DEP). Без этой технологии у Вас не будут запускаться виртуальные машины. Есть ряд особенностей связанных с конкретной моделью BIOS или UEFI. Некоторые технологии могут конкурировать с виртуализацией и соответственно не позволять запускать виртуальные машины.

Операционная система Windows 10 имеет инструмент проверки совместимости оборудования с установкой Hyper-V, который пригодиться новичкам. С помощью утилиты systeminfo.exe мы увидим параметры по требованиях к Hyper-V.

Внизу окна находим пункт требований Hyper-V и проверяем поддерживается ли установка виртуальной машины на Вашем компьютере. Если же Вы найдете следующие параметры значений, тогда проблем с установкой Hyper-V на эту машину у Вас не возникнет:

Расширения режима мониторинга виртуальной машины: Да
Виртуализация включена во встроенном ПО: Да
Преобразование адресов второго уровня: Да
Доступно предотвращение выполнения данных: Да

Как включить Hyper-V в Windows 10

Панель управления

Откроем стандартную панель управления выполнив команду Control panel в окне Win+R.
Дальше переходим в раздел Программы > Включение или отключение компонентов Windows.
Установите флажок Hyper-V, чтобы включить все его компоненты и нажмите кнопку ОК.

Установка компонентов пройдёт достаточно быстро и система запросит перезагрузку системы. В процессе перезагрузки пользователь также увидит работу с обновлениями.

Windows PowerShell

Вместо Windows PowerShell можно использовать обычную командную строку. См. также как запустить командную строку в Windows 10.

Открываем Windows PowerShell от имени администратора используя поиск Windows 10.
Выполняем одну с команд предложенных ниже для включения компонента Hyper-V:
Enable-WindowsOptionalFeature -Online -FeatureName:Microsoft-Hyper-V –All
DISM /Online /Enable-Feature /All /FeatureName:Microsoft-Hyper-V
Для завершения включения компонента разрешаем выполнить перезагрузку компьютера нажав кнопку Y.

Установка и настройка Hyper-V

Мастер поможет Вам создать виртуальную машину. Виртуальные машины могут использоваться вместо физических компьютеров в разных целях. Вы можете выполнить настройку виртуальной машины с помощью мастера или с помощью диспетчера Hyper-V.

Перед созданием виртуальной машины в Hyper-V необходимо скачать образ операционной системы. Можно легко скачать образ Windows 10 с официального сайта Microsoft.

После подключения к новой виртуальной машине откроется новое окно с образом, который выбирался ранее. Дальше достаточно управлять и следовать шагам установке операционной системы.

Включить виртуализацию Hyper-V на Windows 10 можно используя мастер создания виртуальной машины в диспетчере Hyper-V. Но перед включением убедитесь что Ваш компьютер отвечает системным требованиям Hyper-V. Только потом рекомендуется включать, устанавливать и настраивать виртуальную машину в Hyper-V.

Обновление в апреле 2018 года для Windows 10 обеспечивает всем пользователям функции защиты «Изоляция ядра» и «Целостность памяти». Они используют защиту на основе виртуализации для защиты Ваших основных процессов операционной системы от несанкционированного доступа, но защита по умолчанию отключена.

Что такое изоляция ядра

В первоначальном выпуске Windows 10 функции безопасности на основе виртуализации (VBS) были доступны только в корпоративных версиях Windows 10 в составе «Защиты устройства». С обновлением в апреле 2018 года изоляция ядра предоставляет некоторые функции безопасности на основе виртуализации для всех версий Windows 10.

Некоторые функции изоляции ядра включены по умолчанию на ПК с Windows 10, которые соответствуют определенным требованиям к оборудованию и прошивке , включая 64-битный процессор и чип TPM 2.0. Это также требует, чтобы Ваш ПК поддерживал технологию виртуализации Intel VT-x или AMD-V и что он включен в настройках UEFI Вашего ПК.

Когда эти функции включены, Windows использует функции аппаратной виртуализации для создания защищенной области системной памяти, изолированной от обычной операционной системы. Windows может запускать системные процессы и программное обеспечение для обеспечения безопасности в этой безопасной зоне. Это защищает важные процессы операционной системы от несанкционированного доступа к чему-либо, находящемуся за пределами безопасной зоны.

Даже если вредоносная программа работает на Вашем ПК и знает эксплойт, который должен позволить взломать эти процессы Windows, защита на основе виртуализации является дополнительным уровнем защиты, который изолирует их от атак.

Что такое целостность памяти

Функция, известная как «Целостность памяти» в интерфейсе Windows 10, также известна как «Защищенная целостность кода гипервизора» (HVCI) в документации Microsoft.

Целостность памяти по умолчанию отключена на компьютерах, обновленных до обновления апреля 2018 года, но Вы можете включить их. Он будет включен по умолчанию для новых установок Windows 10 в будущем.

Эта функция является подмножеством изоляции ядра. Для Windows обычно требуются цифровые подписи для драйверов устройств и другого кода, который работает в режиме ядра Windows низкого уровня. Это гарантирует, что они не пострадали от вредоносного ПО. Когда «Целостность памяти» включена, «служба целостности кода» в Windows запускается внутри контейнера, защищенного гипервизором, созданного изоляцией ядра. Это должно сделать почти невозможным, чтобы вредоносное ПО пыталось вмешаться в проверку целостности кода и получить доступ к ядру Windows.

Проблемы с виртуальной машиной

Поскольку целостность памяти использует аппаратное обеспечение виртуализации системы, оно несовместимо с программами виртуальной машины, такими как VirtualBox или VMware. Только одно приложение может использовать это оборудование за раз.

В любом случае, если у Вас возникла проблема с программным обеспечением Вашей виртуальной машины, Вы должны отключить целостность памяти, чтобы использовать его.

Почему это отключено по умолчанию

Основная функция изоляции ядра не должна вызывать никаких проблем. Она включен на всех ПК с Windows 10, которые могут ее поддерживать, и нет интерфейса для ее отключения.

Тем не менее, защита целостности памяти может вызвать проблемы с некоторыми драйверами устройств или другими низкоуровневыми приложениями Windows, поэтому она по умолчанию отключена при обновлении. Microsoft по-прежнему подталкивает разработчиков и производителей устройств к совместимости своих драйверов и программного обеспечения, поэтому по умолчанию она включена на новых компьютерах и новых установках Windows 10.

Если один из драйверов, который требуется Вашему компьютеру для загрузки, несовместим с защитой памяти, Windows 10 отключит ее, чтобы Ваш компьютер мог загрузиться и работать правильно.

Если после включения защиты памяти возникают проблемы с другими устройствами или программным обеспечением, корпорация Microsoft рекомендует проверять обновления для конкретного приложения или драйвера. Если обновлений нет, отключите функцию защиты памяти.

Как мы уже упоминали выше, целостность памяти также будет несовместима с некоторыми приложениями, которые требуют эксклюзивного доступа к аппаратным средствам виртуализации системы, таким как программы виртуальной машины. Другие инструменты, включая некоторые отладчики, также требуют эксклюзивного доступа к этому оборудованию и не будут работать с включенной целостностью памяти.

Как включить целостность памяти изоляции ядра

Вы можете увидеть, включена ли на Вашем ПК функция изоляции ядра и включить или отключить защиту памяти в Центре безопасности Защитника Windows. (Этот инструмент будет переименован в «Безопасность Windows» как часть обновления Redstone 5, который будет запущен осенью 2018 года).

Чтобы открыть его, найдите «Центр безопасности Защитника Windows» в меню «Пуск» или откройте «Параметры» > «Обновление и безопасность» > «Безопасность Windows» > «Открыть Центр безопасности Защитника Windows».

Защита учётной записи (Credential Guard) изолирует секреты с помощью основанных на виртуализации технологий, так что только привилегированные системы могут получить к ним доступ.

Credential Guard

Credential Guard предоставляет следующие возможности:

Безопасность оборудования. Повышает безопасность учётных записей производного домена, используя для этого преимущества функций безопасности платформы, включая безопасную загрузку и виртуализацию.
Безопасность на основе виртуализации. Службы Windows, которые управляют учётными данными производного домена и другими секретами, выполняются в защищённой среде, изолированной от операционной системы.
Улучшенная защита от самых современных постоянных угроз. Обеспечивает учётные данные производных доменов с помощью безопасности на основе виртуализации. Блокирует атаки на учётные данные и инструменты, используемые в многих других атаках. Вредоносные программы, выполняющимися в ОС с административными привилегиями не могут извлечь секреты, которые находятся под защитой безопасности на основе виртуализации.
Управляемость. Управление с помощью групповой политики, WMI, из командной строки и Windows PowerShell.

Обычно в Windows, секреты хранятся в памяти Local Security Authority(LSA). С Credential Guard, LSA сообщается с новым компонентом, называемым изолированным LSA. Этот изолированный LSA основан на виртуализации и недоступен остальной ОС. На рисунке ниже показана изоляция, обеспечивающая безопасность на основе виртуализации для процесса LSAIso от процесса LSASS.

Основанный на виртуализации процесс LSA

Если включён Credential Guard, более старые варианты NTLM или Kerberos (то есть NTLM v1, MS-CHAPv2 и т. д.) больше не поддерживаются.

Поскольку Credential Guard основан на виртуализации, для него требуется определённая аппаратная поддержка. В следующей таблице приведены некоторые из этих требований:

Intel VT-x или AMD-V
Second Level Address Translation

Самый простой способ получить Credential Guard для вашей организации - включить её с помощью групповой политики и выбрать машины на своём предприятии, для которых вы хотите её применить.

В консоли управления групповыми политиками создайте новую групповую политику или отредактируйте существующую. Затем перейдите в раздел «Конфигурация компьютера> Административные шаблоны> Система> Защита устройства».

Дважды нажмите «Включить защиту на основе виртуализации», а затем в открывшемся диалоговом окне выберите параметр «Включено». В диалоговом окне «Выбор уровня безопасности платформы» выберите «Безопасная загрузка» или «Безопасная загрузка и защита DMA». В списке «Конфигурация учётных данных» выберите «Включено с блокировкой UEFI» и нажмите «ОК». Если вы хотите удалённо отключить Credential Guard, в списке настроек Credential Guard вместо «Enabled With UEFI Lock», выберите «Enabled Without Lock».

Параметры групповой политики для Credential Guard

Удалённая защита учётных данных

Удалённая защита учётной записи, обеспечивает защиту от кражи ваших учётных данных при дистанционном подключении к системе через сеанс удалённого рабочего стола.

Когда пользователь пытается получить доступ к удалённому рабочему столу на удалённом хосте, запрос Kerberos перенаправляется для аутентификации обратно на исходный узел. Учётные данные, на удалённом хосте больше не существуют. Если удалённый хост (то есть, компьютер конечного пользователя или сервер) имеет вредоносный код, удалённый credential guard смягчит это злонамеренное воздействие, так как учётные данные на удалённый хост передаваться не будут.

К удалённой защите учётных данных существуют некоторые требования:

Пользователь должен быть присоединён к домену Active Directory или сервер удалённого рабочего стола должен быть присоединён к домену с доверительными отношениями к клиентскому устройству.
Пользователь должен использовать аутентификацию Kerberos.
Пользователь должен работать как минимум на Windows 10, версии 1607 или Windows Server 2016.
Требуется классическое приложение Windows для удалённого рабочего стола. Приложение Remote Desktop Universal Windows Platform не поддерживает Remote Credential Guard.

Чтобы включить защиту удалённых учётных данных, настройте её с помощью групповой политики и разверните в своих сетях.

Чтобы настроить это с помощью групповой политики, откройте консоль управления групповыми политиками, а затем перейдите к «Конфигурация компьютера > Административные шаблоны > Система > Делигирование учётных данных». Далее дважды щёлкните «Restrict Delegation To Remote Servers», а затем выберите «Require Remote Credential Guard». Наконец, нажмите «ОК» и, чтобы вывести групповую политику, запустите gpupdate/force. (также вы можете включить удалённую защиту учётных данных с помощью ключа реестра — посмотрите следующую ссылку «Подробнее».)

Виртуализация необходима для работы некоторых программ, например Oracle VM VirtualBox или BlueStacks. В этой статье я расскажу, как включить виртуализацию в Windows 10 без выхода в биос (bios).

Что бы проверить, включена ли у вас виртуализация щелкните правой кнопкой мыши на панели задач, откройте диспетчер задач, вкладка производительность.

Если виртуализация отключена, читайте статью дальше.

Включаем виртуализацию в Windows 10

Заходим в панель управления. Сделать это можно несколькими способами. Самый простой – набрать запрос в поисковой строке.

В опции Просмотр, выберите Крупные значки, нажмите Программы и компоненты.

Далее выбираем Включение или отключение компонентов Windows -> HuperV-> ОК.

Включение или отключение компонентов Windows

Ждем, пока Windows установит компонент, и перезагружаем компьютер.

Далее нажимаем кнопку Закрыть и перезагружаем компьютер.

Если виртуализация не включилась, тогда вам нужно включить ее в биосе:

Итак, мы рассмотрели вопрос: как включить виртуализацию в Windows 10 без выхода в биос? Если действия, описанные выше вам не помогли, рекомендую прочитать статью как включить виртуализацию в bios.

Видео: как включить виртуализацию в Windows 10 без выхода

Тег video не поддерживается вашим браузером.
Скачайте видео.

Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.

Читайте также: