향후 업데이트에서 기본적으로 Windows 10 가상화 기반 보안 사용

Windows 10에는 하드웨어 가상화를 사용하여 운영 체제의 중요한 부분을 격리 할 수 ​​있습니다. VBS (가상화 기반 보안)라고도하는 보안 커널은 NT 커널보다 높은 신뢰 수준에서 실행됩니다. 또한 Windows 10에서 코드를 실행하고 높은 신뢰 수준에서 데이터를 저장하면 표준 NT 커널 및 사용자 모드 프로세스가 보호 된 코드 및 데이터에 직접 액세스 할 수 없습니다. Windows는 API 세트를 사용하여 두 신뢰 레벨간에 데이터를 전송합니다.

 

VBS를 사용하면 NT 커널이 손상 되더라도 Windows Defender Device Guard 및 Credential Guard와 같은 보안 기능이 무결성으로 작동 할 수 있습니다. 또한 Windows 10 Fall Creators Update (버전 1709)에 도입 된 Windows Defender System Guard는 부팅시 하드웨어 기반 격리 컨테이너를 사용하여 중요한 시스템 구성 요소를 보호하기 위해 중요한 시스템 구성 요소를 재구성하고 Windows가 실행될 때 계속 보호합니다.

그러나 VBS는이를 관리하기에 적합한 하드웨어 및 리소스를 보유한 대기업에 의해 구현되었지만 VBS는 기본적으로 다른 모든 사람을 위해 해제되어 있습니다. Microsoft의 Hyper-V 개발 팀 Cloud & AI의 멤버 인 Bruce Sherwin 의 최근 블로그 게시물 에 따르면 하이퍼 바이저 개발 팀은 VBS를 모든 사람에게 제공하고 기본적으로 활성화하는 작업을하고 있습니다. Sherwin은 Windows Defender Application Guard, Windows Sandbox, Linux 2 용 Windows Subsystem 등과 같은 Hyper-V를 사용하는 다른 기능을 완벽하게 통합 할 수 있다는 이점이 있습니다.

셔먼은이 팀이 일반적인 소비자 급 하드웨어에서 하이퍼 바이저를 실행하는 데 따른 성능과 전력 영향을 줄이기 위해 지난 몇 개의 Windows 10 릴리스에서 작업하고 있다고 말합니다. 이 작업에는 Windows 커널 팀 및 Intel, AMD 및 Qualcomm과 같은 칩 제조업체와의 파트너십이 포함되었습니다.

하이퍼 클리어 및 하이퍼 바이저 메모리 관리

Microsoft는 성능에 미치는 영향이 미미한 가상 시스템 (VM)에서 L1TF 추측 실행 부 채널 공격을 완화하기위한 Hyper-V 프로젝트 인 HyperClear의 일부로 하이퍼 바이저 메모리 관리의 런타임 성능 및 전력 영향을 줄일 수있었습니다. SLAT (second-level address translation table)에서 큰 페이지를 조각화하지 않도록 커널 변경. 또한 Microsoft는 하드웨어 가상화 기술을보다 잘 활용하여 인터럽트 가상화를 위해 핫 하이퍼 바이저 코드 경로를 최적화했습니다. 마지막으로, 하이퍼 바이저 적용 코드 무결성 (HVCI)은 AMD의 확장 페이지 테이블 (EPT)에 대한 인텔의 모드 기반 실행 제어 (MBEC)에 대한 완전히 새로운 하드웨어 기능을 사용하여 성능 및 전력 영향을 줄임으로써 성능과 전력 영향을 줄임으로써 향상됩니다. NPT (GMET)에 대한 게스트 모드 실행 트랩

모드 기반 실행 제어 란 무엇입니까?

좋은 질문. 모드 기반 실행 제어 가상화는 하이퍼 바이저가 커널 수준 코드의 무결성을보다 확실하게 검증하고 강화할 수 있도록하여 가상화 된 환경에서 맬웨어 공격으로부터 추가적인 보호 계층을 제공합니다. MBEC 7 개에서 Intel VT-X의 일부입니다 번째 세대의 CPU와 나중에. 간단히 말해 MBEC는 SLAT 테이블에 특성을 추가하여 커널이 커널과 사용자 모드 메모리 페이지의 차이점을 알 수 있도록합니다. 이를 통해 HVCI는 VMExits라는 이름을 발생시키지 않고 커널과 사용자 모드간에 페이지 테이블을 공유 할 수 있으므로 서명되지 않은 사용자 모드 코드를 처리 할 때 성능이 크게 저하 될 수 있습니다.

Samsung Galaxy Book2의 기본적으로 VBS 켜기

놀랍게도 VBS를 기본적으로 활성화 한 첫 번째 장치는 Qualcomm Snapdragon 850 프로세서를 기반으로하는 Samsung Galaxy Book2입니다. 2019 년 9 월 말에 출시 된 Windows 10 May 2019 업데이트의 18362.387 빌드 인 ARM 프로세서에서 Hyper-V가 공식적으로 지원 된 것은 이번이 처음입니다.

소기업 및 소비자를위한 더 나은 보안

PC에서 MBEC 또는 다른 칩 제조업체의 동등한 기술을 지원하지 않는 경우 Windows Defender Device Guard에서 사용하는 HVCI를 활성화하면 성능이 크게 저하 될 수 있습니다. 이것이 VBS 성능에 영향을 미치는 유일한 요소는 아니지만 가장 중요합니다.

그것은 당신이 오늘 올바른 하드웨어가있는 경우, VBS 할 수있는 Microsoft 게시물을 참조하는 것이 가능 여기에 기술적 요구 사항에 대한 자세한 내용은,하지만 분명히 VBS가 모든 곳에서 사용할 수 년 전에 될 것입니다. 그렇지 않다면 효율적으로 작동하려면 최신 하드웨어가 필요하기 때문입니다. 오늘날 기본적으로 VBS가 활성화되어있는 장치는 하나 뿐이지 만 Microsoft가 모든 곳에서 VBS를 활성화하기 위해 노력하고 있음을 알고 있으면 좋습니다. 또한 Windows 10 용의 새로운 각 기능 업데이트는 VBS를보다 광범위하게 지원하여 OEM이 기본적으로 사용할 수 있도록해야합니다.