Hyper-V в Windows: руководство по созданию и настройке виртуальных машин. Что такое Hyper Threading? Как включить поддержку в BIOS? Выключить виртуализацию hyper v в службах

 Hyper-V представляет собой компонент операционной системы, который по умолчанию отключен. Для включения компонента Hyper-V необходим 64-битный процессор производства Intel или AMD с поддержкой инструкций NX и SSE2. Процессор должен поддерживать технологии виртуализации (Intel VT-x или AMD-V ), а также технологию преобразования адресов второго уровня (Second Level Address Translation, SLAT). Проверить процессор на наличие необходимых технологий можно утилитой Coreinfo от Sysinternals, процедура проверки подробно описана

Также перед включением Hyper-V необходимо проверить, включены ли эти технологии в BIOS/UEFI.

графический интерфейс

Чтобы включить компонент Hyper-V в графическом интерфейсе нажмите сочетание клавиш + R и в открывшемся окне введите OptionalFeatures и нажмите клавишу Enter↵

В открывшемся окне Компоненты Windows находим пункт Hyper-V . Кроме самой платформы Hyper-V сюда входят средства для ее управления - графическая оснастка Hyper-V Manager и модуль Hyper-V для PowerShell . Раскрываем его, отмечаем все компоненты и нажимаем кнопку OK

Для отключения Hyper-V, снимите флажок возле пункта Hyper-V

Чтобы завершить установку и внести запрошенные изменения, необходимо перезагрузить компьютер.

Включение или отключение Hyper-V используя
Windows PowerShell

Компонент Hyper-V можно включить используя консоль Windows PowerShell

От имени администратора и выполните следующую команду:

Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V –All

Y

Для того чтобы отключить компонент Hyper-V используя Windows PowerShell, выполните команду:

Disable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-All

Для завершения операции перезагрузите Windows, нажав клавишу Y

Включение или отключение Hyper-V используя DISM

Для включения компонента Hyper-V используя DISM , запустите командную строку от имени администратора и выполните команду:

dism.exe /Online /Enable-Feature:Microsoft-Hyper-V /All

Для завершения операции перезагрузите Windows, нажав клавишу Y

Для отключения компонента Hyper-V используя >DISM, запустите командную строку от имени администратора и выполните команду:

dism.exe /Online /Disable-Feature:Microsoft-Hyper-V-All

Для завершения операции перезагрузите Windows, нажав клавишу Y

В операционной системе Microsoft Windows 8 появилась технология виртуализации Hyper-V, ранее доступная только в серверных операционных системах Microsoft.

Системные требования для работы Hyper-V в Windows 8

1. Операционные системы

Hyper-V доступен только в 64-разрядных версиях Windows 8/8.1. Поддерживаются редакции операционных систем Windows 8/8.1 Профессиональная и Корпоративная.

2. Процессор

• 64-битный процессор производства Intel или AMD
• Поддержка технологий виртуализации (Intel VT-x или AMD-V), а также технологии преобразования адресов второго уровня (Second Level Address Translation, SLAT). У Intel эта технология называется Еxtended Page Tables (EPT), у AMD - Rapid Virtualization Indexing (RVI).

Перед включением компонента Hiper-V необходимо проверить, включены ли все эти технологии в BIOS/UEFI. В некоторых случаях для их включения может потребоваться обновление BIOS.

Проверить, поддерживает ли процессор данные технологии виртуализации можно на сайте производителя intel http://ark.intel.com/Products/VirtualizationTechnology или amd http://products.amd.com/pages/desktopcpuresult.aspx

Также можно воспользоваться для процессоров Intel утилитой Intel Processor Identification Utility .

1. Скачать программу с сайта Intel downloadcenter.intel.com

2. Установить и запустить программу.

3. Перейти на вкладку Технологии ЦП, чтобы проверить, поддерживает ли процессор технологии виртуализации.

Включение компонента Hyper V в ОС MS Windows 8.1

1. Для установки - необходимо открыть Панель управления -> Программы и компоненты и выбрать пункт Включение или отключение компонентов Windows .

Данное окно можно вызвать нажатием Win + R (для открытия окна Выполнить ) и вводом OptionalFeatures .

2. В открывшемся окне найти пункт Hyper-V

Кроме самой платформы Hyper-V сюда входят средства для ее управления - графическая оснастка Hyper-V Manager и модуль Hyper-V для PowerShell .

3. Установить флажки в чекбоксах всех необходимых компонентов и нажать OK , после чего потребуется перезагрузить компьютер.

4. После перезагрузки в интерфейсе Metro появятся ярлыки для запуска Диспетчера Hyper-V и Подключения к виртуальной машине Hyper-V.

5. Эти ярлыки доступны также в C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hyper-V Management Tools

Установка гостевой операционной системы в Hyper–V

1. Открыть Диспетчер Hyper-V

2. В главном меню выбрать Действия -> Создать -> Виртуальная машина… Аналогичные действия доступны на правой панели Действия .

3.В открывшемся диалоговом окне мастера нажать кнопку Далее

Мастер необходим для оказания помощи в процессе конфигурирования виртуальной машины. Он собирает информацию о местоположении виртуальной машины, ее названии, информацию о виртуальной сети для подключения виртуальной машины, параметрах виртуально0го жесткого диска и т.д.

4. В следующем диалоговом окне указать имя виртуальной машины, и если необходимо хранить виртуальную машину в месте, которое отличается от предложенного по умолчанию при установке Hyper-V, нужно указать новое расположение.

5. На следующем шаге необходимо указать поколение виртуальной машины

Второе поколение виртуальных машин появилось только в последней версии Hyper-V и имеет ряд особенностей, некоторые из них перечислены ниже:

• в качестве гостевой операционной системы в виртуальной машине второго поколения можно использовать только операционные системы:
  1. Windows Server 2012 и Windows Server 2012 R2;
  2. Windows 8 (64 bit) или Windows 8.1 (64 bit).
• отсутствуют устаревшие устройства, такие как floppy-дисковод и COM-порты
• отсутствует IDE-контроллер, вместо него остался SCSI-контроллер с возможностью загрузки
• стандартный BIOS заменен firmware на основе Unified Extensible Firmware Interface (UEFI).

6. В следующем диалоговом окне необходимо указать количество оперативной памяти для гостевой системы.

Конфигурация оперативной памяти сильно влияет на производительность Hyper-V. Доступен вариант использования динамической памяти. В случае использования динамической памяти виртуальным машинам, которым требуется больше памяти, выделяются ресурсы памяти виртуальных машин, требования которых к объему оперативной памяти ниже. Например, тех, которые находятся в состоянии простоя.

7.На следующем этапе мастер создания виртуальной машины покажет экран Настройка сети .

Необходимо указывать виртуальный коммутатор, к которому будет подключена виртуальная машина. Если в данном окне нет выбора сетевых адаптеров, необходимо по окончании конфигурирования виртуальной машины создать виртуальный коммутатор.

8. На следующем шаге при конфигурировании новой виртуальной машины необходимо установить радиокнопку в пункте Создать новый виртуальный диск . Можно указать имя виртуального жесткого диска, его расположение и размер. Если виртуальная машина была уже создана, можно выбрать Использовать имеющийся виртуальный жесткий диск или Подключить виртуальный диск позднее.

9. В диалоговом окне Параметры установки необходимо выбрать, откуда будет устанавливаться операционная система. Необходимо установить радиокнопку в пункте Файл образа (.iso) и указать путь к iso образу устанавливаемой операционной системы.

Если дистрибутив операционный системы записан на диск, необходимо выбрать Физический CD или DVD-диск. Если необходимо позже прописать путь к ISO образу операционной системы, то можно выбрать Установить операционную систему позднее .

10.Диалоговое окно итоговой конфигурации виртуальной машины. Если необходимо внести изменения в конфигурацию, необходимо нажать кнопку Назад. После нажатия кнопки Готово запись о новой виртуальной машине появится в диспетчере Hyper-V в состоянии Выключена.

Создание и настройка виртуального коммутатора Hyper- V

11.В меню Действия выбрать Диспетчер виртуальных коммутаторов .

Существует три типа виртуальных сетей, к которым можно подключаться в Hyper-V: частная, внутренняя и внешняя виртуальная сеть

Частная виртуальная сеть допускает взаимодействие всех виртуальных машин между собой. С частными сетями не ассоциирован физический сетевой адаптер. В данной сети виртуальные машины не могут взаимодействовать с принимающей операционной системой, а принимающая OS не может взаимодействовать с виртуальными машинами в частной виртуальной сети.

Внутренняя виртуальная сеть схожа с частной виртуальной сетью тем, что она допускает взаимодействие всех виртуальных машин между собой, но в отличие от частной сети, виртуальные машины могут также и взаимодействовать с host системой.

Внешняя сеть используется, когда необходимо предоставить виртуальной машине доступ к физической сети. По сути дела, с виртуальным коммутатором связывается физический сетевой адаптер, а Hyper-V перехватывает управление при попытке доступа виртуальной машины к сети через этот коммутатор.

12. Выбрать тип виртуальной сети Внешняя -> Создать виртуальный коммутатор

13. В открывшемся окне окно свойств виртуального коммутатора необходимо указать имя коммутатора и тип подключения.

14.При создании внешней сети можно разрешить совместный доступ к сетевому адаптеру со стороны виртуального коммутатора и host системы, для этого необходимо установить флажок в чекбоксе Разрешить управляющей операционной системе предоставлять общий доступ к этому сетевому адаптеру .

15 . Если в сети используется разбиение на логические подсети, то для виртуального коммутатора, подключенного к внешней сети, можно разрешить использование VLAN, установив флажок в чекбоксе Разрешить идентификацию виртуальной локальной сети для управляющей операционной системы и указать VLAN ID.

16.Нажать Применить -> OK

17. На панели Виртуальные машины диспетчера Hyper-V выбрать сконфигурированную виртуальную машину и вызвать контекстное меню правой клавишей мыши.

18. В контекстном меню выбрать Параметры -> Сетевой адаптер

19. Указать для выбранной виртуальной машины созданный виртуальный коммутатор

20. Нажать Применить -> OK

21.Запустить инсталляцию гостевой операционной системы, нажав на пиктограмму Пуск на панели Действия (также запуск виртуальной машины можно осуществить, выбрав в главном меню Действие -> Пуск или через контекстное меню).

В тройке лидеров на рынке софта для виртуализации операционных систем – VMware, VirtualBox и Hyper-V – последний гипервизор занимает особое место. Такое особое место обусловлено тем, что Hyper-V является штатным компонентом серверных систем Windows и некоторых версий Windows для настольных ПК. Уступая VMware Workstation и VirtualBox в функциональности, кроссплатформенности и отчасти в удобстве пользования, Hyper-V, тем не менее, не лишен своих преимуществ. И главное из них – более высокая производительность гостевых ОС.

Ниже речь пойдет об активации Hyper-V в системе Windows 10 и создании средствами этого гипервизора виртуальной машины.

1. Hyper-V - штатный гипервизор от Microsoft

Штатный компонент Hyper-V система Windows 10 унаследовала от версий Windows 8 и 8.1, а в них гипервизор перекочевал из Windows Server. И Windows 8.1, и Windows 10 опционально предусматривают компонент Hyper-V в редакциях Pro и Enterprise. Работа гипервизора возможна только в 64-битных системах.

Длительное время Hyper-V не поддерживал никаких иных гостевых ОС, кроме как Windows. Однако относительно недавно компания Microsoft позаботилась о поддержке гипервизором гостевой ОС Linux. И сегодня с помощью Hyper-V можно тестировать некоторые дистрибутивы Linux, в частности, популярный Ubuntu.

2. Требования для работы Hyper-V

Минимальный объем оперативной памяти физического компьютера для работы Hyper-V – 4 Гб.

Процессор компьютера должен поддерживать технологию SLAT (Intel EPT или AMD RVI). Практически все современные процессоры соответствуют этому требованию.

Другое требование к процессору, также предусматриваемое многими современными моделями – поддержка технологии аппаратной виртуализации и, соответственно, ее активное состояние в BIOS. В BIOS материнских плат для процессоров Intel такая технология (в зависимости от версии) может называться по-разному – Intel-VT, Intel Virtualization Technology, Intel VT-x, Vanderpool или Virtualization Extensions. У AMD технология аппаратной виртуализации называется AMD-V или SVM (Secure Virtual Machines). Например, в AMI BIOS версии 17.9 функцию аппаратной виртуализации процессора AMD можно найти по пути Cell Menu – CPU Feature – SVM Support.

У процессоров AMD функция аппаратной виртуализации, как правило, включена по умолчанию. Поддерживает ли конкретная модель процессора аппаратную виртуализацию, этот момент можно выяснить на сайтах компаний Intel и AMD.

3. Активация и запуск Hyper-V

Hyper-V в комплекте Windows 10 Pro и Enterprise поставляется опционально. Изначально штатный гипервизор отключен. Включается он в разделе панели управления «Программы и компоненты». Самый быстрый способ попасть туда – внутрисистемный поиск.

Запускаем «Включение и отключение системных компонентов».

В появившемся небольшом окошке галочкой отмечаем все подпункты пункта Hyper-V. Жмем «Ок».

Система пару секунд будет применять изменения и попросит перезагрузку. После перезагрузки ищем ярлык запуска диспетчера Hyper-V. Ярлык диспетчера Hyper-V можно сразу закрепить на начальном экране Windows 10, найдя его в средствах администрирования меню «Пуск».

Доступ к ярлыку диспетчера Hyper-V также можно получить с помощью внутрисистемного поиска.

Запускаем диспетчер Hyper-V.

4. Настройка доступа к сети

В диспетчере Hyper-V сеть настраивается отдельным этапом, и сначала нужно создать виртуальный коммутатор – параметр, обеспечивающий доступ к сети. Делаем клик на названии физического компьютера, а в правой части окна выбираем «Диспетчер виртуальных коммутаторов…».

Запустится мастер создания виртуального коммутатора, где первым делом нужно выбрать тип сети. Их три:

• Внешняя – этот тип использует сетевую карту или адаптер Wi-Fi физического компьютера и подключает виртуальную машину к той же сети, в которой находится физический компьютер. Соответственно, это тип сети, предусматривающий доступ виртуальной машины к Интернету;
• Внутренняя – этот тип обеспечивает сеть между физическим компьютером и виртуальными машинами Hyper-V, но не предусматривает их доступ к Интернету;
• Частная – этот тип позволяет создать сеть между виртуальными машинами Hyper-V, но в этой сети не будет физического компьютера, равно как и не будет выхода в Интернет.

В нашем случае доступ виртуальной машины к Интернету необходим, потому выберем первый тип - внешнюю сеть. Жмем «Создать виртуальный коммутатор».

В окне свойств виртуального коммутатора задаем ему имя, это может быть какое угодно имя, например, «Сетевая карта 1». При необходимости виртуальному коммутатору можно добавить примечание. Если физический компьютер имеет на борту и сетевую карту, и адаптер Wi-Fi, конкретное устройство, посредством которого виртуальная машина будет подключаться к сети, можно выбрать из выпадающего списка в графе «Тип подключения». После проделанных настроек жмем «Применить» внизу окна.

5. Создание виртуальной машины

Теперь можно приступить непосредственно к созданию виртуальной машины. Слева в окне Hyper-V выбор по-прежнему должен быть на названии физического компьютера. В правом углу вверху жмем «Создать», затем – соответственно, «Виртуальная машина».

В приветственном окне запустившегося мастера жмем «Далее».

Задаем виртуальной машине имя; также можно сменить ее месторасположение на диске физического компьютера, указав нужный раздел диска и нужную папку с помощью кнопки обзора. Жмем «Далее».

Одна из относительно новых возможностей Hyper-V – выбор поколения виртуальной машины. В нашем случае выбрано поколение 2.

Что это значит? Поколение 1 – это виртуальные машины, поддерживающие 32- и 64-битные системы Windows. Поколение 1 совместимо с прежними версиями Hyper-V.

Поколение 2 – виртуальные машины нового формата со встроенным программным обеспечением на базе UEFI. Такие виртуальные машины поддерживают ряд новых возможностей и способны обеспечить небольшой прирост производительности. На виртуальные машины поколения 2 в качестве гостевых ОС устанавливаются только 64-битные версии Windows 8.1 и 10, а также серверные Windows Server 2012, Server 2012 R2 и Server 2016.

Платформа UEFI обуславливает еще одно требование для использования виртуальных машин поколения 2 – загрузочный носитель UEFI. Этот момент необходимо уточнять, скачивая ISO-образ с дистрибутивом Windows со сторонних источников в Интернете. Но лучше все же скачивать дистрибутивы Windows с официальных источников компании Microsoft. Так, утилита Media Creation Tool, скачивающая с сайта Microsoft дистрибутивы Windows 8.1 и , на выходе создает загрузочный ISO-образ, поддерживающий среду UEFI.

В случае установки в качестве гостевой ОС Windows 10 именно такой способ получения ISO-образа системы и рекомендуется. Windows 10 предусматривает процесс установки с возможностью отложенного ввода . В нашем случае в качестве гостевой ОС будет установлена Windows 8.1, а ее официальный дистрибутив, получаемый с помощью утилиты Media Creation Tool, в процессе установки требует ввод ключа продукта. Обеспечить поддержку среды UEFI и воспользоваться бесплатной возможностью протестировать систему Windows 8.1 поможет сайт Центра пробного ПО TechNet. На этом сайте можно скачать англоязычную редакцию 64-битной Windows 8.1 Корпоративная и бесплатно тестировать систему целых 3 месяца. Проблему с отсутствием поддержки русского языка после установки системы можно решить отдельно, установив языковой пакет и настроив русский основным языком системы.

Возвращаемся к мастеру создания виртуальной машины. В окне выделения памяти оставляем предустановленные параметры, если физический компьютер имеет не более 4 Гб оперативной памяти. Если ее больше 4 Гб, можно увеличить показатель, выделяемый при запуске виртуальной машины. Для гостевой Windows ХР показатель оперативной памяти можно, наоборот, уменьшить до 512 Мб. Жмем «Далее».

В окне настроек сети из выпадающего списка выбираем ранее созданный виртуальный коммутатор. Жмем «Далее».

В окне подключения виртуального жесткого диска задаем виртуальной машине имя, указываем расположение на диске физического компьютера, указываем размер. Это параметры создания нового жесткого диска. Второй пункт этого шага мастера используется, когда на компьютере уже имеется виртуальный жесткий диск, в частности, с установленной гостевой ОС. При выборе виртуальной машины поколения 2 файл такого виртуального жесткого диска должен иметь формат VHDX (а не VHD), а гостевая ОС должна поддерживать среду загрузки UEFI. Жмем «Далее».

Если в предыдущем шаге мастера выбран пункт создания нового виртуального жесткого диска, следующим шагом будет указание пути к дистрибутиву Windows. Виртуальные машины поколения 2 уже не предусматривают загрузку с физического CD/DVD-привода. Источниками загрузки дистрибутива гостевой ОС могут быть только сеть и ISO-образ. В нашем случае это ISO-образ. Жмем «Далее».

Завершающий этап мастера – жмем «Готово».

6. Подключение виртуальной машины

Создав виртуальную машину, вернемся в окно диспетчера Hyper-V. Теперь ее нужно подключить. Для этого существует команда «Подключить» в числе прочих команд контекстного меню, вызываемого на виртуальной машине. Команда «Подключить» присутствует и в правой части окна диспетчера Hyper-V. Для подключения также можно сделать двойной клик левой клавишей мыши на окошке-превью выбранной виртуальной машины.

В открывшемся окне подключения жмем зеленую кнопку запуска.

Последует обычный процесс установки Windows 8.1, как это происходило бы на физическом компьютере.

Как только начнется копирование файлов установки, можно закрыть окно подключения к виртуальной машине и заняться другими делами.

Закрытие окна подключения высвободит какие-то ресурсы физического компьютера для выполнения других задач, при этом виртуальная машина продолжит свою работу в фоновом режиме. Ее рабочие показатели будут отображаться в диспетчере Hyper-V.

Подключаться к виртуальной машине можно по мере необходимости выполнения в ней действий.

Все – Windows 8.1 установилась. Выключить, приостановить, сохранить виртуальную машину или сбросить ее состояние можно и командами в диспетчере Hyper-V, и кнопками на верхней панели окна подключения.

7. Приоритет загрузки

Чтобы в дальнейшем при запуске виртуальной машины не терять время на окно загрузки с CD/DVD-диска, нужно в выключенном ее состоянии открыть окно параметров и убрать путь к ISO-файлу с дистрибутивом. Это делается во вкладке DVD-привода настроек оборудования виртуальной машины.

Альтернативный вариант – поднять жесткий диск в приоритете загрузки выше DVD-привода (но не выше файла «bootmgfw.efi»). Это делается во вкладке «Встроенное ПО» настроек оборудования.

В обоих случаях проделанные изменения сохраняются кнопкой «Применить» внизу.

8. Обход ограничений окна подключения Hyper-V

Во главу угла работы гипервизора Hyper-V поставлена производительность виртуальных машин, а не функциональность. В отличие от своих конкурентов – VMware и VirtualBox – виртуальные машины Hyper-V не работают с подключенными флешками, не воспроизводят звук, а взаимодействие с физическим компьютером осуществляется только вставкой внутри гостевых ОС текста, скопированного в основной ОС. Такова цена производительности виртуальных машин Hyper-V. Но это если работать с обычным окном подключения Hyper-V.

Полноценную интеграцию физического компьютера и виртуальной машины можно получить с помощью штатной утилиты подключения к удаленному рабочему столу.

Эта утилита позволяет гибко настроить параметры подключения, в частности, сделать доступными внутри виртуальной машины не только подключенные к физическому компьютеру USB-накопители, но и отдельные разделы жесткого диска.

Подключение к виртуальной машине таким образом обеспечит в гостевой ОС воспроизведение звука и двустороннюю передачу файлов.

Отличного Вам дня!

Виртуализация может понадобиться тем пользователям, которые работают с различными эмуляторами и/или виртуальными машинами. И те и те вполне могут работать без включения данного параметра, однако если вам требуется высокая производительность во время использования эмулятора, то его придётся включить.

Важное предупреждение

Изначально желательно убедиться, есть ли у вашего компьютера поддержка виртуализации. Если её нет, то вы рискуете просто зря потратить время, пытаясь произвести активацию через BIOS. Многие популярные эмуляторы и виртуальные машины предупреждают пользователя о том, что его компьютер поддерживает виртуализацию и если подключить этот параметр, то система будет работать значительно быстрее.

Если у вас не появилось такого сообщения при первом запуске какого-нибудь эмулятора/виртуальной машины, то это может значить следующее:

• Виртуализация уже подключена по умолчанию (такое бывает редко);
• Компьютер не поддерживает этот параметр;
• Эмулятор не способен произвести анализ и оповестить пользователя о возможности подключения виртуализации.

Включение виртуализации на процессоре Intel

Воспользовавшись этой пошаговой инструкцией, вы сможете активировать виртуализацию (актуальна только для компьютеров, работающих на процессоре Intel):

Включение виртуализации на процессоре AMD

Пошаговая инструкция выглядит в этом случае похожим образом:

Включить виртуализацию на компьютере несложно, для этого нужно лишь следовать пошаговой инструкции. Однако если в BIOS нет возможности включить эту функцию, то не стоит пытаться это сделать при помощи сторонних программ, так как это не даст никакого результата, но при этом может ухудшить работу компьютера.

Мы рады, что смогли помочь Вам в решении проблемы.

Опрос: помогла ли вам эта статья?

Да Нет

lumpics.ru

Virtual Secure Mode (VSM) в Windows 10 Enterprise

В Windows 10 Enterprise (и только в этой редакции) появился новый компонент Hyper-V под названием Virtual Secure Mode (VSM). VSM – это защищённый контейнер (виртуальная машина), запущенный на гипервизоре и отделенный от хостовой Windows 10 и ее ядра. Критичные с точки зрения безопасности компоненты системы запускаются внутри этого защищенного виртуального контейнера. Никакой сторонний код внутри VSM выполняться не может, а целостность кода постоянно проверяется на предмет модификации. Такая архитектура позволяет защитить данные в VSM, даже если ядро хостовой Windows 10 скомпрометировано, ведь даже ядро не имеет прямого доступа к VSM.

Контейнер VSM не может быть подключен к сети, и никто не может получить административные привилегии в нем. Внутри контейнера Virtual Secure Mode могут храниться ключи шифрования, авторизационные данные пользователей и другая критичная с точки зрения компрометация информация. Таким образом, атакующий теперь не сможет с помощью локально закэшированных данных учетной записи доменных пользователей проникнуть внутрь корпоративной инфраструктуры.

Внутри VSM могут работать следующие системные компоненты:

• LSASS (Local Security Subsystem Service) – компонент, отвечающий за авторизацию и изоляцию локальных пользователей (таким образом система защищена от атак типа “pass the hash” и утилит типа mimikatz). Это означает, что пароли (и/или хэши) пользователей, зарегистрированных в системе, не сможет получить даже пользователь с правами локального администратора.
• Виртуальный TPM (vTPM) – синтетическое TPM устройство для гостевых машин, необходимое для шифрования содержимого дисков
• Система контроля целостности кода ОС – защита кода системы от модификации

Для возможности использования режима VSM, к среде предъявляются следующие аппаратные требования:

• Поддержка UEFI, Secure Boot и Trusted Platform Module (TPM) для безопасного хранения ключей
• Поддержка аппаратной виртуализации (как минимум VT-x или AMD-V)

Как включить Virtual Secure Mode (VSM) в Windows 10

Рассмотрим, как включить режим Virtual Secure Mode Windows 10 (в нашем примере это Build 10130).

Проверка работы VSM

Убедится, что режим VSM активен можно по наличию процесса Secure System в диспетчере задач.

Или по событию “Credential Guard (Lsalso.exe) was started and will protect LSA credential” в журнале системы.

Тестирование защиты VSM

Итак, на машины с включенным режимом VSM регистрируемся под доменной учетной записью и из-под локального администратора запускаем такую команду mimikatz:

mimikatz.exe privilege::debug sekurlsa::logonpasswords exit

Мы видим, что LSA запущен в изолированной среде и хэши паролей пользователя получить не удается.

Если ту же операцию выполнить на машине с отключенным VSM, мы получаем NTLM хэш пароля пользователя, который можно использовать для атак “pass-the-hash”.