主页 / computer / 问题 / 1852254
Accepted
ETL
Asked: 2024-08-14 12:04:46 +0800 CST

VBS DeviceGuard 状态 SecurityServicesRunning:{5} 未记录?

  • 772

Windows VBS(基于虚拟化的安全性,而不是 VBScript!)的文档不连贯,但微软提供了有关激活各种 VBS 组件并验证哪些组件处于活动状态的文章,这似乎应该相当简单。

https://learn.microsoft.com/en-us/windows/security/hardware-security/enable-virtualization-based-protection-of-code-integrity#securityservicesrunning

验证已启用的 VBS 和内存完整性功能

使用 Win32_DeviceGuard WMI 类

Windows 10、Windows 11 和 Windows Server 2016 及更高版本具有用于 VBS 相关属性和功能的 WMI 类:Win32_DeviceGuard。 可以使用以下命令从提升的 Windows PowerShell 会话中查询此类:

PowerShell
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

(...)

安全服务运行

该字段指示 Credential Guard 或内存完整性是否正在运行。

Value   Description
0       No services running.
1       If present, Credential Guard is running.
2       If present, memory integrity is running.
3       If present, System Guard Secure Launch is running.
4       If present, SMM Firmware Measurement is running.

这是我的问题。

当我运行 Powershell 命令行时,我看到以下行:

SecurityServicesRunning: {1, 2, 5}

我无法在任何地方找到任何关于“5”这个值的含义的文档!

我的设备上 Powershell 命令行的完整输出是:

AvailableSecurityProperties                  : {1, 2, 3, 4…}
CodeIntegrityPolicyEnforcementStatus         : 2
InstanceIdentifier                           : <redacted>
RequiredSecurityProperties                   : {1, 2, 3}
SecurityFeaturesEnabled                      : {0}
SecurityServicesConfigured                   : {1, 2, 3}
SecurityServicesRunning                      : {1, 2, 5}
UsermodeCodeIntegrityPolicyEnforcementStatus : 0
Version                                      : 1.0
VirtualizationBasedSecurityStatus            : 2
VirtualMachineIsolation                      : False
VirtualMachineIsolationProperties            : {0}
PSComputerName                               : <redacted>

知道这里发生什么事了吗?

windows

1 个回答

  1. Best Answer

    问题中链接的微软文章也说:

    使用 msinfo32.exe

    确定可用和已启用的 VBS 功能的另一种方法是从提升的 PowerShell 会话运行 msinfo32.exe。运行此程序时,VBS 功能将显示在系统摘要部分的底部。

    在此设备上执行此操作将从系统信息面板返回以下相关行:

    Secure Boot State                                               On
Kernel DMA Protection                                           On
Virtualization-based security                                   Running
Virtualization-based security Required Security Properties      Base Virtualization Support, Secure Boot, DMA Protection
Virtualization-based security Available Security Properties     Base Virtualization Support, Secure Boot, DMA Protection, UEFI Code Readonly, SMM Security Mitigations 1.0, Mode Based Execution Control, APIC Virtualization
Virtualization-based security Services Configured               Credential Guard, Hypervisor enforced Code Integrity, Secure Launch
Virtualization-based security Services Running                  Credential Guard, Hypervisor enforced Code Integrity, Hardware-enforced Stack Protection (Kernel-mode)

    最后一行列出了正在运行的服务“Credential Guard”、“Hypervisor 强制代码完整性”、“硬件强制堆栈保护(内核模式)”。前两项对应的SecurityServicesRunning值是{1}{2},所以我们可以猜测该值{5}对应的是硬件强制堆栈保护(内核模式)

    有关硬件强制堆栈保护(内核模式)的更多信息,请参阅以下 Microsoft 文章:

    https://support.microsoft.com/en-us/windows/core-isolation-e30ed737-17d8-42f3-a2a9-87521df09b78#ID0EFN

    内核模式硬件强制堆栈保护

    内核模式硬件强制堆栈保护是一种基于硬件的 Windows 安全功能,它使恶意程序难以使用低级驱动程序劫持您的计算机。

    驱动程序是一种软件,它允许操作系统(在本例中为 Windows)和键盘或网络摄像头等设备相互通信。当设备希望 Windows 执行某项操作时,它会使用驱动程序发送该请求。

    内核模式硬件强制堆栈保护的工作原理是防止修改内核模式内存中的返回地址以启动恶意代码的攻击。此安全功能需要具有验证正在运行的代码的返回地址的能力的 CPU。

    在内核模式下执行代码时,恶意程序或驱动程序可能会破坏内核模式堆栈上的返回地址,以便将正常代码执行重定向到恶意代码。在受支持的 CPU 上,CPU 会在只读影子堆栈上维护有效返回地址的第二份副本,驱动程序无法修改该副本。如果常规堆栈上的返回地址已被修改,CPU 可以通过检查影子堆栈上的返回地址副本来检测此差异。当出现此差异时,计算机会提示停止错误(有时称为蓝屏),以防止恶意代码执行。

    并非所有驱动程序都与此安全功能兼容,因为少数合法驱动程序会出于非恶意目的修改返回地址。Microsoft 一直与众多驱动程序发布商合作,以确保其最新驱动程序与内核模式硬件强制堆栈保护兼容。

    如何管理内核模式硬件强制堆栈保护?

    内核模式硬件强制堆栈保护默认是关闭的。

    要打开或关闭它:

    1. 选择“开始”按钮并输入“核心隔离”。
    2. 从搜索结果中选择核心隔离系统设置以打开 Windows 安全应用程序。

    在核心隔离页面上,您将找到内核模式硬件强制堆栈保护以及打开或关闭它的开关。

    要使用内核模式硬件强制堆栈保护,您必须 启用内存完整性,并且必须运行支持英特尔控制流强制技术AMD 影子堆栈的 CPU 。

    虽然不能 100% 确定这就是其含义{5},但这是一个合理的结论。

    如果启用了内核模式硬件强制堆栈保护的其他人也可以运行 PS 命令行来确认/比较值,那就太好了。

    • 1

相关问题