Возникла необходимость удаленного управления сервером с запущенной ролью Hyper-V с компьютера под управлением Window 10 (личный ноутбук), который не состоит в домене. Чтобы такая схема заработала, нужно выполнить следующие настройки на стороне сервер-гипервизора и клиента.
Настройка сервера Hyper-V
На сервере Hyper-V (Windows Server 2016) нужно включить удаленное управление PowerShell Remoting и открыть соответствующие порты на файерволе. Включаем службу WinRM командой
Enable-PSRemoting
Теперь нужно разрешить подключение со всех клиентов (из публичных сетей в той же самой локальной подсети) и разрешить передавать и получать CredSSP:
Enable-WSManCredSSP -Role Server
Включим правило межсетевого экрана WinRM-HTTP-In-TCP-Public.
Set-NetFirewallRule -Name "WinRM-HTTP-In-TCP-Public" -RemoteAddress Any
Проверьте удаленную доступность порта WinRM (TCP 5985) на сервере
Test-NetConnection -ComputerName target_name -Port 5985
Настройка клиента Windows 10 для подключения к серверу Hyper-V
В первую очередь на компьютере с Windows 10 нужно установить консоль управления Hyper-V. Для этого в панели управления в разделе программ нужно нажать кнопку Turn windows features on or off и в разделе Hyper-V-> Hyper-V Management Tools -> выбрать Hyper-V GUI Management Tools .
Проверьте, что тип сетевого подключения у вас установлен на Private.
Откройте консоль PowerShell с правами администратора и выполните следующие команды:
Enable-PSRemoting
Set-Item WSMan:\localhost\Client\TrustedHosts -Value "Hyper-V-FQDN"
Enable-WSManCredSSP -Role client -DelegateComputer "Hyper-V-FQDN"
Теперь в редакторе локальной групповой политики (gpedit) нужно включить NTLM аутентификацию на недоменных компьютерах. Перейдите в раздел Computer Configuration > Administrative Template > System > Credentials Delegation и включите политику, добавьте в нее строку .
На компьютере Windows 10 откройте консоль Hyper-V Manager, щелкните ПКМ по “Hyper-V Manager ” и выберите Connect to Server… Введите имя сервера и отметьте галку Connect as another user и укажите имя пользователя с правами на сервере Hyper-V.
После этого, консоль должна отобразить список ВМ, запущенных на хосте Hyper-V.
Добрый день. Благодаря моему сайту, я постоянно ковыряюсь в операционной системе и, конечно же, со временем я стал искать способ, чтобы я смог писать инструкции, но при этом меньше вносить изменений в операционную систему моего рабочего компьютера… Решению пришло элементарное — виртуальная машина. Это эмуляция полностью (или почти полностью) рабочей операционной системы, которая запускается на вашей операционной системе. Я попробовал VirtualBox, VMware Workstation и Hyper-V… VirtualBox — бесплатная и не такая удобная, как две остальные. VMware Workstation — отличная по всем позициям, но платная. Hyper-V — вполне сбалансированная виртуальная машина, которая с серверных операционных систем перекочевала в Windows 8 и требует просто включения для доступа. Поэтому выбор пал на последнюю: просто, бесплатно и со вкусом. Windows 10 Professional у меня, кстати, лицензионная, но досталась бесплатно благодаря программе Windows Insider (полгода страданий с багами и лицензия в кармане)).
Я наверное сразу предупрежу, что при включении компонентов Hyper-V, вы не сможете пользоваться другими виртуальными машинами. Итак, начнём:
Жмем правой клавишей мыши по углу «Пуск» и выбираем «Программы и компоненты».
В левой панели выбираем «Включение и отключение компонентов Windows»
Теперь открываем меню «Пуск» → «Все программы» → ищем каталог «Средства администрирования» и в нём находим «Диспетчер Hyper-V’.
Запустив его, мы увидим консоль управления виртуальными машинами, у меня уже есть одна созданная машина, на которой находится музыкальный бот для моего сервера TeamSpeak. Но сейчас создаем ещё одну машину, чтобы показать как это делается. Но для начала давайте сразу создадим «Виртуальную сеть», чтобы у нашей ВМ был интернет. Для этого жмем по имени компьютера в левом столбце, а в правом выбираем «Диспетчер виртуальных коммутаторов».
Этот абзац я добавляю через два месяца, после написания статьи. Всё потому что, ниже я описал более простой способ подключения виртуальной машины к интернету, но сам пользуюсь чуть другим. Разница в них в том, что в способе, который описан здесь, основной доступ получает ВМ, а компьютер работает уже после неё и это не правильно, но проще настроить. Если вы используете компьютер не только для работы виртуальных машин, выбирайте «Внутренняя» → «Создать виртуальный коммутатор» и ставим галочку на пункт «Разрешить идентификацию». Доступ к интернету настраивается с помощью .
Слева выбираем «Создать виртуальный сетевой коммутатор», справа «Внешняя» и жмем «Создать виртуальный коммутатор».
Вводим название для сети, в разделе «Внешняя сеть» выбираем ваш сетевой адаптер и жмем ОК.
Теперь создаем виртуальную машину. Жмем «Создать» — «Виртуальная машина».
Откроется «Мастер создания создания виртуальной машины «, на первом окне просто жмем «Далее».
Указываем название для будущей виртуальной машины. При желании, так же можно изменить место хранения виртуальной машины, у меня изменено место в настройках, чтобы не засорять SSD и все виртуальные машины хранятся на одном из жестких дисков. Жмем «Далее».
Здесь все просто, читаем что написано, если у вас материнская плата без поддержки UEFI или вы собираетесь поставить 32 битную систему, то выбираем первый пункт, если условия для использования второго поколения совпадают с вашими возможностями, выбираем второе поколение. Я хочу поставить 32битную Ubuntu, для одной из следующих статей, поэтому выбираю первое поколение Hyper-V. Жмем далее.
Объем виртуальной памяти. В случае Windows желательно 2-3Гб для 32битных систем и 3-4 Гб для 64 битных систем. Больше для виртуальной машины не имеет смысла, а меньше может сказываться на работе системы. Так же можно использовать «Динамическую память», в данном случае для ВМ будет выделяться памяти столько, сколько ей необходимо.
Выбираем объем жесткого диска будущей машины и место хранения его файла. Под потребности, для Win 8-10 нужно минимум 25Гб. Я беру под Ubuntu с большим запасом.
Мы добавим компоненты Hyper-V в Windows 10, рассмотрим вариант создания виртуальной машины с помощью Hyper-V , а также рассмотрим её параметры.
Добавляем компоненты Hyper-V.
Запускаем "Выполнить" любым из двух способов:
- Жмём правой кнопкой по меню "Пуск" и выбираем "Выполнить" .(Рис.1)
- Нажимаем сочетание клавиш "Win" +"R" .
Вводим appwiz.cpl (Рис.2)
Рис.2 - Вводим appwiz.cpl
Откроется окно "Программы и компоненты" . Слева нажимаем "Включение или отключение компонентов Windows" .(Рис.3)
Рис.3 - Программы и компоненты.
Откроется окно "Компоненты Windows" . Выбираем всё что есть в разделе Hyper-V .(Рис.4)
Жмём "Ок" .
Рис.4 - Выбор компонентов Hyper-V.
Ждём установку компонентов - Применение изменений , и нажимаем "Перезагрузить сейчас" .(Рис.5)
Рис.5 - Применение компонентов, перезагрузка системы.
На этом Добавление компонентов закончено. Приступаем к работе с Hyper-V
Запуск Hyper-V.
В меню "Пуск" -> "Средства администрирования Windows" появился ярлык "Диспетчер Hyper-V" . Запускаем его.(Рис.6)
Рис.6 - Запускаем Диспетчер Hyper-V.
Перед нами стартовое окно "Диспетчера Hyper-V" .(Рис.7)
Рис.7 - Стартовое окно Диспетчера Hyper-V.
Выбираем слева наш компьютер, у меня это - DESKTOP-9PLBR7Q , справа появится меню "Действия" , Нажмите на пункт "Диспетчер виртуальных коммутаторов" .(Рис.8)
Рис.8 - Заходим в Диспетчер виртуальных коммутаторов.
В "Диспетчере виртуальных коммутаторов" нажмите "Создать виртуальный коммутатор" .(Рис.9)
Рис.9 - Создаём виртуальный коммутатор.
Введите Имя , у меня это - Hypernet и примечание, у меня это - Сеть Hyper-V .(Рис.10)
Так же выберете Тип подключения . Я выбрал подключение к Внешней сети через мою сетевую карту - "Realtek PCIe GBE Family Controller" . А также установил галочку в чекбоксе "Разрешить управляющей операционной системе предоставлять общий доступ к этому сетевому адаптеру" .
Жмём "Применить" .
Рис.10 - Свойства виртуального коммутатора.
Выскакивает предупреждение "Ожидающие изменения могут нарушить сетевое подключение" .(Рис.11) Я предполагаю, что эту статью будут читать новички, а значит они вряд ли будут пошагово повторять за мной, используя задействованный сервер, своего предприятия 😀 . Следовательно ничего страшного в том, что мы можем на некоторое время потерять сетевое подключение. Жмём "Да" и ждём "Применение изменений" .
Рис.11 - Предупреждение о возможном нарушении сетевого подключения.
Теперь зайдя в "Сетевые подключения" -> "Настройка параметров адаптера" . Мы можем увидеть наш только что созданный vEthernet (Hypernet) , так же с ним соседствует не подключенный vEthernet (Коммутатор по умолчанию) - " Стандартная сеть" автоматически предоставляет виртуальным машинам доступ к сети компьютера с помощью преобразования сетевых адресов (NAT ). NAT на данный момент нам не интересен. И коммутатор этот трогать мы не будем.(Рис.12)
Рис.12 - Сетевые подключения -> Настройка параметров адаптера.
На этом настройка сети закончена. Переходим к самому главному, тому для чего и создана система виртуализации Hyper-V - Создание виртуальной машины .
Создание виртуальной машины.
Жмём правой кнопкой по нашему компьютеру -> "Создать" -> "Виртуальная машина" . (Рис.13)
Рис.13 - Создание виртуальной машины Hyper-V.
Откроется "Мастер создания виртуальной машины".(Рис.14)
- Нажмите кнопку "Готово" , чтобы создать виртуальную машину с настройками по умолчанию.
- Нажмите кнопку "Далее" , чтобы создать виртуальную машину с особыми параметрами конфигурации.
Рис.14 - Мастер создания виртуальной машины.
Указываем Имя виртуальной машины и её расположение.(Рис.15)
Я решил протестировать при помощи Ubuntu Server 18.04 .
По этому у меня так:
- Имя: ubuntuserver 18.04.
- Расположение: E:\hyper-v ubuntu server 18.04\.
Рис.15 - Указываем Имя виртуальной машины и её расположение.
Выбираем поколение виртуальной машины.(Рис.16)
В большинстве случаев стоит выбрать второе поколение, но если вы устанавливаете что-то 32-bit ное то стоит выбрать - Поколение -1 .
Лично у меня Ubuntu Server 18.04 64-bit с поддержкой UEFI , следовательно я выбираю - Поколение 2.
Рис.16 - Выбираем поколение виртуальной машины.
Выделяем количество оперативной памяти.(Рис.17)
Моей операционной системе хватит 1Gb ОЗУ => Я оставляю по умолчанию вписанные 1024 Mb . Идём "Далее" .
Рис.17 - Выделяем количество оперативной памяти.
Выбираем к какому коммутатору будет подключен наш сетевой интерфейс.(Рис.18)
Выбираем наш "Hypernet" , идём "Далее" .
Рис.18 - Настройка сети.
Создаём виртуальный жёсткий диск.(Рис.19)
Указываем Имя , Расположение и максимальный Размер файла виртуального HDD.
У меня так:
- Имя: ubuntu server 18.04.vhdx.
- Расположение: E:\hyper-v ubuntu server 1804\.
- Размер: 10 ГБ.
Рис.19 - Создаём виртуальный жёсткий диск.
Выбираем ISO-образ с которого будем устанавливать операционную систему.(Рис.20)
Выбираем пункт "Установить операционную систему из файла загрузочного образа" -> Нажимаем "Обзор" -> Выбираем iso-образ . -> Жмём "Далее" .
Рис.20 - Выбор образа ОС.
Завершение работы мастера создания виртуальной машины.(Рис.21)
Жмём "Готово" .
Рис.21 - Завершение работы мастера создания виртуальной машины.
Теперь в Диспетчере Hyper-V мы видим, только что созданную, виртуальную машину - ubuntu server 1804 . (Рис.22)
Нажимаем на нее правой кнопкой мыши - > "Подключить" .
Рис.22 - Диспетчер Hyper-V, Новая виртуальная машина.
Появится окно (Рис.23)
Если вы хотите установить систему Windows то при нажатии на кнопку "Пуск" у вас должна запуститься установка, без каких любо ошибок.
Но для того чтобы запустился Ubuntu Server 18.04 Пришлось в "Файл" - > "Параметры" -> "Безопасность" отключить "Безопасную загрузку" .(Рис.24)
Рис.23 - Подключение к виртуальной машине.
Рис.24 - Отключаем Безопасную загрузку.
Включаем виртуальную машину.(Рис.25)
Рис.25 - Включаем виртуальную машину.
Всё отлично виртуальная машина запустилась. Нас встречает установщик Ubuntu Server 18.04. (Рис.26)
Рис.26 - Запущенная виртуальная машина. Установщик Ubuntu Server 18.04.
Изменение параметров виртуальной машины.
Сделаем небольшой обзор параметров виртуальной машины, чтобы вы могли посмотреть основные функции до того как примете решение пользоваться системой виртуализации Hyper-V .
"Файл" - > "Параметры". (Рис.27) Рис.27 - Заходим в "Файл" - > "Параметры"Оборудование.
"Встроенное ПО" - можно изменить приоритет загрузки устройств в виртуальной машине.(Рис.28)
Рис.28 - Выбор приоритета загрузки.
"Безопасность" - можно "Включить/Выключить безопасную загрузку", "Включить/Выключить поддержку шифрования" .(Рис.29)
Рис.29 - Параметры безопасности виртуально машины."Память" - можно отредактировать количество выделяемой ОЗУ, Включить/Выключить функцию Динамическая память. (Рис.30)
Рис.30 - Параметры оперативной памяти.
"Процессор" - можно отредактировать число виртуальных процессоров в соответствии с числом процессоров на физическом компьютере.(Рис.31)
Также можно распределить нагрузку в "Управление ресурсами" .
"SCSI-контроллер" можно добавить Жёсткий диск , DVD-дисковод или Общий диск .(Рис.32)
Рис.32 - Параметры SCSI-контроллер.
Также можно изменить параметры подключенных носителей , к примеру здесь мы можем изменить вставленный в виртуальный DVD-дисковод ISO-образ.(Рис.33)
Рис.33 - Параметры носителей.
"Сетевой адаптер" можно изменить конфигурацию сетевого адаптера : Выбрать Виртуальный коммутатор , прописать VLAN ID , настроить Пропускную способность .(Рис.34)
Рис.34 - Параметры сети.
Управление.
"Имя" - можно легко поменять виртуальной машины, на более удобное для вашего пользования.(Рис.35)
Рис.35 - Смена имени.
"Службы интеграции" - Выбор служб которые вы хотите сделать доступными для виртуальной машины. .(Рис.36)
Рис.36 - Службы интеграции.
"Контрольные точки" - Здесь можно настроить Контрольные точки(snapshot, точки восстановления), включить автоматический режим их создания и назначить место их хранения.(Рис.37)
Рис.37 - Контрольные точки.
"Расположение файла Smart Padding" - Можно указать путь к файлу подкачки.(Рис.38)
Smart Padding - функция которая дает возможность при недостатке памяти для загрузки виртуальной машины использовать файл подкачки на хосте.
Рис.38 - Расположение файла Smart Padding.
"Автоматические действия при запуске" - Можно выбрать операцию, которую вы хотите выполнить с данной виртуальной машиной при запуске физического компьютера.(Рис.39)
С выпуском Windows Server 2008, сетевая ОС, также представила свои первую виртуальную машину Hyper-V. Для Microsoft не является это новой технологией, так как ранее использовались Virtual PC и Virtual Server.
С тех пор компания разработала более продвинутое решение под названием Hyper-V и интегрировало в платформу Windows. С выходом Windows 8 в 2012 году, Microsoft сделала Hyper-V доступной для пользователей Windows, и впервые ориентирована на потребителя, как более надежное. В этой статье мы рассмотрим использование его.
Создание виртуальной машины с помощью Hyper-V в Windows 10
Давайте посмотрим на создание виртуальной машины с помощью встроенной технологии Hyper-V. Преимущества включают в себя возможность запуска нескольких операционных систем, в то же время до тех пор, пока у вас есть достаточное количество аппаратных ресурсов. Лично я решил сделать это, потому что мне нужно сделать некоторые тесты совместимости. Hyper-V также является отличным способом, чтобы попробовать и тестовые приложения, прежде чем использовать их на основной производственной среде.
Предварительные условия
- 64-разрядная версия Windows 10 Pro или Windows Enterprise (Hyper-V не доступен в Windows 10 Home Edition).
- Ваш процессор должен поддерживать технологию Secondary Level Address Translation.
- Виртуализация должна быть включена в BIOS вашего компьютера или прошивке.
Включение виртуализации
Перезагрузите компьютер и войдите в BIOS Setup (обычно, нажав F2, F10 или клавиша F12) на клавиатуре, прежде чем компьютер загружает операционную систему Windows. Этот процесс может варьироваться в зависимости от марки, поэтому обратитесь к руководству пользователя вашего компьютера для получения инструкций о том, как загрузить BIOS. На моем компьютере, я должен нажать клавишу F10, выберите свой язык, выберите Безопасность >> Настройка системы и включите Технологии виртуализации.
Настройка Hyper-V
Нажмите Windows Key + R и введите: OptionalFeatures.exe , нажмите клавишу ВВОД .
Это действие откроет Включение и их отключение всех компонентов Windows. Отметьте все варианты Hyper-V и нажмите кнопку ОК .
Затем подождите, пока Windows сделает поиск требуемых файлов, сделает изменения, установит и настроит Hyper-V. Вам будет предложено Перезагрузить , чтобы подтвердить изменения. Произойдет серия перезагрузок.
Настройка сети для виртуальной машины
На первом этапе мы создадим Виртуальное сетевое подключение. Правой кнопкой мыши в Диспетчере Hyper-V нажмите на DESKTOP-I1CTS2Q и запустите Создание коммутатора. В моем случае я выделил Внешний виртуальный коммутатор. Кнопка "Создать виртуальный коммутатор" создаст доступ к сети интернет. Ок.
Создание виртуальной машины Hyper-V
Далее, вам нужно открыть скрытое меню быстрого доступа, нажав клавишу Windows + X, перейдите в Панель управления >> Администрирование >> Hyper-V Manager. (См. статью: Как открыть Панель управления в Windows10) или введите в окно поиска Hyper >> Диспетчер Hyper-V.
В левой панели Диспетчера Hyper-V, выберите DESKTOP-I1CTS2Q. Этот выбор позволит действия в панели справа. Щелкните Создать - Виртуальная машина . Запустится Создание новой виртуальной машины. Нажмите кнопку Далее и следуйте инструкциям на экране.
Дайте виртуальной машине имя и указать местоположение для хранения. Так что если у вас есть дополнительные разделы или диск, то вы можете просмотреть и сохранить его там.
Выберите тип генерации, какую вы предпочитаете использовать. Если вы основываетесь на потребности старых приложений, лучше подойдет Поколение 1.
Выберите, сколько памяти вы хотели бы дать виртуальной машине. Этот выбор будет зависеть от того, сколько у вас имеется. Чем больше, тем лучше. Если вы ограничены в установленной физической памяти, 2 Гб и меньше, снимите флажок "Использовать динамическую память для виртуальной машины".
Если вы создали ранее сеть для виртуальной машины, установите ее и нажмите кнопку Далее, чтобы продолжить. Если нет, Вы всегда можете настроить параметры после.
Следующее окно настроит виртуальный жесткий диск, где вы будете устанавливать операционную систему. Назначьте размер, который вы хотели бы иметь в виртуальной машине. Вы также можете выбрать существующий виртуальный жесткий диск, если у вас уже есть.
Проверьте свои варианты настроек. Вы можете нажать кнопку Назад и внесите необходимые изменения. После того, как вы удовлетворены, нажмите кнопку Готово.
Включение Виртуальной машины Hyper-V
После создания, нам осталось запустить виртуальную машину, для этого в окне Диспетчера Hyper-V найдите Виртуальные машины и дважды кликните, в открывшемся окне нажмите кнопку "Пуск".
Установка операционной системы
Далее я покажу как устанавливать Windows 7 Professional в виртуальной машине Hyper-V. У вас же, есть широкий выбор операционных систем, которые включают в себя другие версии Windows, и некоторые дистрибутивы Linux. Для установки Windows я буду использовать файловый ISO образ.
В правой панели в имени виртуальной машины, нажмите Настройки. Выберите в меню в дереве аппаратного обеспечения DVD дисковод. В оне DVD дисковод установите параметры загрузки с DVD-диска или доступного ISO - файла.
Установка операционной системы на встроенной виртуальной машине Hyper-V в Windows 10 как видите не составляет труда. Процесс точно такой же как в других программах, таких как VM VirtualBox или VMware. Вам не нужно устанавливать программное обеспечение сторонних производителей, и как я уже говорил ранее, это бесплатно.
Виртуализация может понадобиться тем пользователям, которые работают с различными эмуляторами и/или виртуальными машинами. И те и те вполне могут работать без включения данного параметра, однако если вам требуется высокая производительность во время использования эмулятора, то его придётся включить.
Важное предупреждение
Изначально желательно убедиться, есть ли у вашего компьютера поддержка виртуализации. Если её нет, то вы рискуете просто зря потратить время, пытаясь произвести активацию через BIOS. Многие популярные эмуляторы и виртуальные машины предупреждают пользователя о том, что его компьютер поддерживает виртуализацию и если подключить этот параметр, то система будет работать значительно быстрее.
Если у вас не появилось такого сообщения при первом запуске какого-нибудь эмулятора/виртуальной машины, то это может значить следующее:
- Виртуализация уже подключена по умолчанию (такое бывает редко);
- Компьютер не поддерживает этот параметр;
- Эмулятор не способен произвести анализ и оповестить пользователя о возможности подключения виртуализации.
Включение виртуализации на процессоре Intel
Воспользовавшись этой пошаговой инструкцией, вы сможете активировать виртуализацию (актуальна только для компьютеров, работающих на процессоре Intel):
Включение виртуализации на процессоре AMD
Пошаговая инструкция выглядит в этом случае похожим образом:
Включить виртуализацию на компьютере несложно, для этого нужно лишь следовать пошаговой инструкции. Однако если в BIOS нет возможности включить эту функцию, то не стоит пытаться это сделать при помощи сторонних программ, так как это не даст никакого результата, но при этом может ухудшить работу компьютера.
Мы рады, что смогли помочь Вам в решении проблемы.
Опрос: помогла ли вам эта статья?
Да Нетlumpics.ru
Virtual Secure Mode (VSM) в Windows 10 Enterprise
В Windows 10 Enterprise (и только в этой редакции) появился новый компонент Hyper-V под названием Virtual Secure Mode (VSM). VSM – это защищённый контейнер (виртуальная машина), запущенный на гипервизоре и отделенный от хостовой Windows 10 и ее ядра. Критичные с точки зрения безопасности компоненты системы запускаются внутри этого защищенного виртуального контейнера. Никакой сторонний код внутри VSM выполняться не может, а целостность кода постоянно проверяется на предмет модификации. Такая архитектура позволяет защитить данные в VSM, даже если ядро хостовой Windows 10 скомпрометировано, ведь даже ядро не имеет прямого доступа к VSM.
Контейнер VSM не может быть подключен к сети, и никто не может получить административные привилегии в нем. Внутри контейнера Virtual Secure Mode могут храниться ключи шифрования, авторизационные данные пользователей и другая критичная с точки зрения компрометация информация. Таким образом, атакующий теперь не сможет с помощью локально закэшированных данных учетной записи доменных пользователей проникнуть внутрь корпоративной инфраструктуры.
Внутри VSM могут работать следующие системные компоненты:
- LSASS (Local Security Subsystem Service) – компонент, отвечающий за авторизацию и изоляцию локальных пользователей (таким образом система защищена от атак типа “pass the hash” и утилит типа mimikatz). Это означает, что пароли (и/или хэши) пользователей, зарегистрированных в системе, не сможет получить даже пользователь с правами локального администратора.
- Виртуальный TPM (vTPM) – синтетическое TPM устройство для гостевых машин, необходимое для шифрования содержимого дисков
- Система контроля целостности кода ОС – защита кода системы от модификации
Для возможности использования режима VSM, к среде предъявляются следующие аппаратные требования:
- Поддержка UEFI, Secure Boot и Trusted Platform Module (TPM) для безопасного хранения ключей
- Поддержка аппаратной виртуализации (как минимум VT-x или AMD-V)
Как включить Virtual Secure Mode (VSM) в Windows 10
Рассмотрим, как включить режим Virtual Secure Mode Windows 10 (в нашем примере это Build 10130).
Проверка работы VSM
Убедится, что режим VSM активен можно по наличию процесса Secure System в диспетчере задач.
Или по событию “Credential Guard (Lsalso.exe) was started and will protect LSA credential” в журнале системы.
Тестирование защиты VSM
Итак, на машины с включенным режимом VSM регистрируемся под доменной учетной записью и из-под локального администратора запускаем такую команду mimikatz:
mimikatz.exe privilege::debug sekurlsa::logonpasswords exit
Мы видим, что LSA запущен в изолированной среде и хэши паролей пользователя получить не удается.
Если ту же операцию выполнить на машине с отключенным VSM, мы получаем NTLM хэш пароля пользователя, который можно использовать для атак “pass-the-hash”. 