Windows 10 Enterprise(이 에디션에만 해당)에는 새로운 Hyper-V 구성 요소가 나타납니다. 가상 보안 모드(VSM) . VSM은 하이퍼바이저에서 실행되고 호스트 Windows 10 호스트 및 해당 커널과 분리된 보호된 컨테이너(가상 머신)입니다. 보안 관점에서 볼 때 시스템 구성 요소는 이 보호된 가상 컨테이너 내에서 실행됩니다. 타사 코드는 VSM에서 실행할 수 없으며 코드 무결성은 수정을 위해 지속적으로 확인됩니다. 이 아키텍처를 사용하면 호스트 Widows 10의 커널이 손상된 경우에도 VSM의 데이터를 보호할 수 있습니다. 커널도 VSM에 직접 액세스할 수 없기 때문입니다.
VSM 컨테이너는 네트워크에 연결할 수 없으며 아무도 관리 권한을 얻을 수 없습니다. 암호화 키, 사용자 인증 데이터 및 침해 관점의 기타 중요한 정보는 가상 보안 모드 컨테이너에 저장할 수 있습니다. 따라서 해커는 도메인 사용자 계정의 로컬 캐시 데이터를 사용하여 기업 구조에 침투할 수 없습니다.
다음 시스템 구성 요소는 VSM 내에서 작동할 수 있습니다.
- LSASS(로컬 보안 하위 시스템 서비스) 로컬 사용자의 인증 및 격리를 담당하는 구성 요소입니다. (따라서 시스템은 mimikatz –link1, link2와 같은 "passhash" 유형의 공격 및 이러한 도구의 공격으로부터 보호됩니다.) 시스템에 등록된 사용자의 암호(및/또는 해시)는 로컬 관리자 권한이 있는 사용자의 경우.
- 가상 TPM(vTPM) 디스크 콘텐츠 암호화에 필요한 게스트 머신용 합성 TPM 장치입니다.
- 모니터링 시스템 OS 코드 무결성은 수정으로부터 코드를 보호합니다.
VSM을 사용하려면 환경이 다음 하드웨어 요구 사항을 충족해야 합니다.
- 보안 키 저장을 위한 UEFI, 보안 부팅 및 TPM(신뢰할 수 있는 플랫폼 모듈) 지원
- 하드웨어 가상화 지원(VT-x, AMD-V 이상)
Windows 10에서 가상 보안 모드(VSM)를 활성화하는 방법
가상 보안 모드 Windows 10을 활성화하는 방법을 살펴보겠습니다.
- UEFI 보안 부팅을 활성화해야 합니다.
- Windows 10이 도메인에 포함되어 있어야 합니다. (VSM은 로컬 계정이 아닌 도메인 사용자 계정만 보호합니다.)
- Hyper-V 역할은 Windows 10에 설치해야 합니다. (저희의 경우 Hyper-V 플랫폼을 먼저 설치한 다음 Hyper-V 관리 도구를 설치해야 했습니다)
- 가상 보안 모드(VSM)는 그룹 정책 편집기(gpedit.msc)의 특수 정책에서 활성화되어야 합니다. 컴퓨터 구성 -> 관리 템플릿 -> 시스템 -> 장치 보호 -> 가상화 기반 켜기 보안 . 활성화 이 정책을 선택하고 보안 부팅을 선택합니다. 플랫폼 보안 수준 선택 옵션 . 또한 Credential Guard 활성화를 선택하십시오. (LSA 격리) 여기.
- 마지막으로 할 일은 VSM에서 Windows 10을 시작하도록 BCD를 구성하는 것입니다.
bcdedit /set vsmlaunchtype auto
bcdedit /set vsmlaunchtype 자동
- 컴퓨터 다시 시작
VSM이 켜져 있는지 확인하는 방법
보안 시스템인 경우 VSM이 활성 상태인지 확인할 수 있습니다. 프로세스가 작업 관리자에 있습니다.
또는 "Credential Guard(Lsalso.exe)가 시작되었고 LSA 자격 증명을 보호합니다 이벤트가 있는 경우 "를 시스템 로그에 기록합니다.
VSM 보안 테스트 방법
VSM이 활성화된 시스템에 도메인 계정으로 로그인하고 로컬 관리자 권한으로 다음 mimikatz 명령을 실행합니다.
mimikatz.exe privilege::debug sekurlsa::logonpasswords exit |
mimikatz.exe 권한::디버그 sekurlsa::logonpasswords 종료
LSA가 격리된 환경에서 실행되고 있으며 사용자 암호 해시를 얻을 수 없음을 알 수 있습니다.
VSM이 비활성화된 시스템에서 동일한 작업을 수행하면 해시 통과 공격에 사용할 수 있는 사용자 암호의 NTLM 해시를 얻을 수 있습니다.
참조:Windows 10 Enterprise Build 10130에서 VSM(가상 보안 모드) 활성화