Гайд: VBS в Windows: полное руководство по настройке виртуализации для защиты ядра и данных
Что такое VBS?
Virtualization-Based Security (VBS) — технология Microsoft, использующая аппаратную виртуализацию для создания изолированной области памяти (Virtual Secure Mode, VSM). В этой области работают критические механизмы защиты, недоступные даже ядру ОС и драйверам в обычном режиме.
В интерфейсе Windows VBS чаще фигурирует как:
- Изоляция ядра (Core Isolation)
- Device Guard
- Целостность памяти (Memory Integrity / HVCI)
- Защита учетных данных (Credential Guard)
Системные требования
| Компонент | Минимальные требования |
|---|---|
| Процессор | Intel VT-x + EPT или AMD-V + RVI, поддержка SLAT |
| Прошивка | UEFI, Secure Boot, TPM 2.0 |
| ОС | Windows 10/11 Pro, Enterprise, Education (Home: только Memory Integrity) |
| Гипервизор | Встроенный гипервизор Windows (не требует установки Hyper-V, но использует его платформу) |
| Драйверы | Совместимые с HVCI (подписанные, без использования запрещённых API) |
Примечание: На новых ПК с Windows 11 22H2+ VBS включён по умолчанию при соответствии требованиям.
Проверка состояния VBS
Через msinfo32
- Win + R → msinfo32
2. Внизу окна найдите:
- Безопасность на основе виртуализации: Работает / Не работает
- Изоляция ядра: Вкл / Выкл
Через PowerShell (рекомендуется)
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard |
Select-Object SecurityServicesRunning, SecurityServicesConfigured, VirtualizationBasedSecurityStatus
| Значение | Расшифровка |
|---|---|
| 0 | Не поддерживается или отключено |
| 1 | Включено |
| 2 | Включено, но не запущено (требуется перезагрузка) |
| 3 | Включено и работает |
Через графический интерфейс
Параметры → Конфиденциальность и защита → Безопасность Windows → Безопасность устройства → Изоляция ядра
Как включить VBS (пошагово)
Шаг 1. Настройка UEFI/BIOS
- Включите: Intel Virtualization Technology (VT-x) / AMD SVM
- Включите: Secure Boot
- Убедитесь, что TPM 2.0 активен (часто fTPM или PTT)
- Сохраните и перезагрузитесь
Шаг 2. Включение через GUI
- Параметры → Конфиденциальность и защита → Безопасность Windows
- Безопасность устройства → Изоляция ядра → Открыть страницу изоляции ядра
- Включите Целостность памяти
- Перезагрузитесь
Шаг 3. Включение через Групповые политики (Pro/Enterprise)
- Win + R → gpedit.msc
- Перейдите: Конфигурация компьютера → Административные шаблоны → Система → Device Guard
- Включите: Включить виртуализацию на основе безопасности
- Примените и перезагрузитесь
Шаг 4. Через реестр (если политики недоступны)
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard]
"EnableVirtualizationBasedSecurity"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity]
"Enabled"=dword:00000001
Внимание: Перед редактированием реестра создайте точку восстановления.
Шаг 5. Активация гипервизора через BCD
Откройте CMD от имени администратора:
bcdedit /set hypervisorlaunchtype auto
Перезагрузитесь.
Основные компоненты VBS
| Компонент | Назначение |
|---|---|
| Memory Integrity (HVCI) | Проверяет драйверы и код ядра на соответствие политикам безопасности перед загрузкой |
| Credential Guard | Изолирует хэши Kerberos/NTLM, защищает от Pass-the-Hash и Mimikatz |
| DRTM (Dynamic Root of Trust for Measurement) | Защищает этап загрузки от атак на прошивку/загрузчик |
| Kernel Mode Protection | Ограничивает доступ к критическим структурам ядра |
Совместимость и типичные проблемы
| Проблема | Решение |
|---|---|
| Старые драйверы/антивирусы не загружаются | Обновите ПО до версий, совместимых с HVCI. Проверьте журнал CodeIntegrity в eventvwr.msc |
| Конфликт с VMware/VirtualBox/Hyper-V | Windows 10 2004+ поддерживает параллельную работу. В старых версиях используйте bcdedit /set hypervisorlaunchtype off для сторонних гипервизоров |
| Падение производительности в играх | Влияние ≤3% на современных CPU. Отключение VBS не рекомендуется; обновите GPU-драйверы и отключите Game Mode только для тестов |
| VBS не включается после настроек | Проверьте Secure Boot и TPM. Убедитесь, что hypervisorlaunchtype=auto. Выполните sfc /scannow и DISM /Online /Cleanup-Image /RestoreHealth |
Как отключить VBS (если необходимо)
Внимание:
Отключение снижает защищённость системы. Делайте это только для тестирования или при несовместимости критического ПО.
1. Через GUI:
- Изоляция ядра → выключите Целостность памяти
2. Через реестр:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard]
"EnableVirtualizationBasedSecurity"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity]
"Enabled"=dword:00000000
3. Через BCD (полное отключение гипервизора):
bcdedit /set hypervisorlaunchtype off
- Перезагрузитесь.
Диагностика и логи
- eventvwr.msc → Журналы приложений и служб → Microsoft → Windows → CodeIntegrity
- PowerShell: Get-WinEvent -LogName "Microsoft-Windows-CodeIntegrity/Operational" | Where-Object {$_.Id -in (1035,1036,1038)} | Format-Table TimeCreated,Id,Message -AutoSize
- Проверка драйверов: Verifier (средство проверки драйверов) или sigcheck от Sysinternals
Рекомендации
- Включайте VBS на всех корпоративных и домашних ПК с Windows 10/11
- Перед включением обновите все драйверы и ПО до последних версий
- Используйте Windows Security → Защита от вирусов и угроз → Сканирование для проверки совместимости
- В доменной среде разверните VBS через GPO + MDM (Intune)
- Регулярно проверяйте логи CodeIntegrity на предмет блокировок
Источники
- Microsoft Docs: Virtualization-Based Security
- HVCI и совместимость драйверов
- Устранение неполадок Core Isolation
Информация предоставлена в ознакомительных целях. Применение описанных настроек в системах, должно осуществляться только после согласования с ответственными за информационную безопасность и в соответствии с требованиями ФСТЭК, ФСБ и иных уполномоченных органов.