Подробный гайд: Руководство по включению Virtualization-Based Security (VBS) в Windows 10

Подробный гайд: Руководство по включению Virtualization-Based Security (VBS) в Windows 10 VBS — это технология, которая использует аппаратную виртуализацию для создания защищенной изолированной области памяти, недоступной для обычной операционной системы. Это надежно защищает систему от внедрения вредоносного кода в критически важные процессы (функции Credential Guard и Memory Integrity).

Шаг 1. Включение аппаратной виртуализации в BIOS/UEFI

Без этого шага VBS не заработает, так как технологии нужны инструкции прямо от процессора.
1. Перезагрузите компьютер и войдите в BIOS/UEFI (обычно клавиши Del, F2 или F12 при старте).
2. Перейдите в раздел Advanced (Дополнительно) или CPU Configuration (Конфигурация ЦП).

3. Найдите параметр, отвечающий за виртуализацию AMD. Он может называться:

• SVM Mode (Secure Virtual Machine)
• AMD-V
• Virtualization Technology

4. Переведите его в положение Enabled (Включено).
5. Сохраните настройки (обычно клавиша F10) и перезагрузите ПК.

Шаг 2. Включение необходимых компонентов Windows

Теперь нужно сказать самой Windows 10, что она должна использовать эти технологии.
1. Нажмите Win + R, введите optionalfeatures и нажмите Enter.

2. В открывшемся окне «Компоненты Windows» найдите и поставьте галочки напротив следующих пунктов:

• Hyper-V (если доступно в вашей редакции Windows)
• Платформа виртуальной машины (Virtual Machine Platform)
• Платформа гипервизора Windows (Windows Hypervisor Platform)
• Среда выполнения Windows Hypervisor (Windows Hypervisor Platform)
• Изоляция ядра (Core Isolation) — если присутствует в списке.

3. Нажмите «ОК» и дождитесь установки компонентов, после чего обязательно перезагрузите компьютер.

Шаг 3. Активация Целостности памяти (Memory Integrity)

Это самый главный и заметный для пользователя элемент VBS, который защищает ядро системы.
1. Откройте Параметры (Win + I) -> Обновление и безопасность -> Безопасность Windows.
2. Перейдите в раздел Безопасность устройства (Device Security).
3. В блоке «Изоляция ядра» (Core Isolation) нажмите Сведения об изоляции ядра.
4. Переключите тумблер Целостность памяти (Memory Integrity) в положение Вкл.
5. Перезагрузите компьютер для применения изменений.

Шаг 4. Включение Credential Guard (Для Windows 10 Pro / Enterprise)

Если у вас домашняя версия (Home), этот шаг можно пропустить. Credential Guard защищает учетные данные (хеши паролей) от кражи.
1. Нажмите Win + R, введите gpedit.msc и нажмите Enter.

2. Перейдите по пути:

• Конфигурация компьютера -> Административные шаблоны -> Система -> Device Guard (или Изоляция устройств).

3. Найдите параметр Включить виртуализацию на основе безопасности (Turn On Virtualization Based Security).
4. Откройте его, выберите Включено.
5. В выпадающем списке «Выбрать платформу безопасности...» укажите Безопасная загрузка (Secure Boot) или Безопасная загрузка и защита DMA.
6. Нажмите «ОК» и перезагрузите ПК.

Шаг 5. Проверка работы VBS

Чтобы убедиться, что технология успешно запущена:

1. Нажмите Win + R, введите msinfo32 и нажмите Enter.
2. В открывшемся окне «Сведения о системе» прокрутите список в самый низ.
3. Найдите строку Службы безопасности на основе виртуализации (Virtualization-based security).
4. В строке «Состояние» должно быть написано Выполняется (Running).

Важные нюансы для оборудования

1. Поддержка SLAT (RVI):

Для работы Целостности памяти (HVCI) требуется технология SLAT (у AMD она называется RVI — Rapid Virtualization Indexing). Ядра Propus/Deneb, аппаратно поддерживают AMD-V и RVI, но убедитесь, что в BIOS включен именно SVM Mode.

2. UEFI и Secure Boot:

Продвинутые функции VBS (особенно Credential Guard) требуют загрузки в режиме UEFI с включенной функцией Secure Boot. Устаревшие материнские платы часто имеют классический Legacy BIOS или раннюю реализацию UEFI без полноценной поддержки Secure Boot. Если система выдаст ошибку при включении Целостности памяти, скорее всего, причина именно в отсутствии Secure Boot.

3. Модуль TPM:

Для максимальной эффективности VBS желателен наличие модуля TPM 1.2 или 2.0. На старых платах он может отсутствовать.

4. Влияние на производительность:

VBS создает дополнительный слой изоляции, что требует ресурсов процессора. На современных CPU это незаметно, но на старых таких какAthlon включение Целостности памяти может привести к ощутимому падению производительности (иногда до 10-15%), особенно в играх и тяжёлых приложениях. Если вы используете ПК для игр или ресурсоемких задач, включение VBS может быть нецелесообразно.

Возможные проблемы

Если при попытке включить Целостность памяти (Шаг 3) Windows выдаст ошибку о несовместимости, она укажет конкретные файлы драйверов (например, старые драйверы видеокарты, антивируса или сетевого адаптера), которые нарушают безопасность. В таком случае вам потребуется либо обновить эти драйверы до последних версий, либо удалить старые программы, конфликтующие с гипервизором Windows.

Информация предоставлена в ознакомительных целях. Применение описанных настроек в системах, должно осуществляться только после согласования с ответственными за информационную безопасность и в соответствии с требованиями ФСТЭК, ФСБ и иных уполномоченных органов.