Início / computer / Perguntas / 1852254
Accepted
ETL
Asked: 2024-08-14 12:04:46 +0800 CST

Status do VBS DeviceGuard SecurityServicesRunning: {5} não está documentado?

  • 772

O Windows VBS (segurança baseada em virtualização, não VBScript!) Possui documentação desconexa, mas a Microsoft oferece este artigo sobre como ativar vários componentes VBS e verificar quais deles estão ativos, o que parece ser bastante simples.

https://learn.microsoft.com/en-us/windows/security/hardware-security/enable-virtualization-based-protection-of-code-integrity#securityservicesrunning

Valide recursos habilitados de VBS e integridade de memória

Use a classe WMI Win32_DeviceGuard

Windows 10, Windows 11 e Windows Server 2016 e superior têm uma classe WMI para propriedades e recursos relacionados ao VBS: Win32_DeviceGuard . Essa classe pode ser consultada em uma sessão elevada do Windows PowerShell usando o seguinte comando:

PowerShell
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

(. . . )

Serviços de segurança em execução

Este campo indica se o Credential Guard ou a integridade da memória estão em execução.

Value   Description
0       No services running.
1       If present, Credential Guard is running.
2       If present, memory integrity is running.
3       If present, System Guard Secure Launch is running.
4       If present, SMM Firmware Measurement is running.

Aqui está o meu problema.

Quando executo o commandlet Powershell, vejo a seguinte linha:

SecurityServicesRunning: {1, 2, 5}

Não consigo encontrar nenhuma documentação sobre o que significa um valor "5"!

A saída completa do commandlet Powershell no meu dispositivo é:

AvailableSecurityProperties                  : {1, 2, 3, 4…}
CodeIntegrityPolicyEnforcementStatus         : 2
InstanceIdentifier                           : <redacted>
RequiredSecurityProperties                   : {1, 2, 3}
SecurityFeaturesEnabled                      : {0}
SecurityServicesConfigured                   : {1, 2, 3}
SecurityServicesRunning                      : {1, 2, 5}
UsermodeCodeIntegrityPolicyEnforcementStatus : 0
Version                                      : 1.0
VirtualizationBasedSecurityStatus            : 2
VirtualMachineIsolation                      : False
VirtualMachineIsolationProperties            : {0}
PSComputerName                               : <redacted>

Alguma idéia do que está acontecendo aqui?

windows

1 respostas

  1. Best Answer

    O artigo da Microsoft vinculado à pergunta também diz:

    Usar msinfo32.exe

    Outro método para determinar os recursos VBS disponíveis e habilitados é executar msinfo32.exe em uma sessão elevada do PowerShell. Quando você executa este programa, os recursos VBS são exibidos na parte inferior da seção Resumo do Sistema.

    Fazer isso neste dispositivo retornará as seguintes linhas relevantes do painel Informações do sistema:

    Secure Boot State                                               On
Kernel DMA Protection                                           On
Virtualization-based security                                   Running
Virtualization-based security Required Security Properties      Base Virtualization Support, Secure Boot, DMA Protection
Virtualization-based security Available Security Properties     Base Virtualization Support, Secure Boot, DMA Protection, UEFI Code Readonly, SMM Security Mitigations 1.0, Mode Based Execution Control, APIC Virtualization
Virtualization-based security Services Configured               Credential Guard, Hypervisor enforced Code Integrity, Secure Launch
Virtualization-based security Services Running                  Credential Guard, Hypervisor enforced Code Integrity, Hardware-enforced Stack Protection (Kernel-mode)

    A última linha lista os serviços em execução "Credential Guard", "Integridade de código imposta por hipervisor", "Proteção de pilha imposta por hardware (modo Kernel)". Os dois primeiros itens correspondem a SecurityServicesRunningvalores {1}e {2}, portanto, podemos adivinhar que o valor {5}corresponde a Proteção de pilha imposta por hardware (modo Kernel) .

    Mais informações sobre a proteção de pilha imposta por hardware (modo Kernel) podem ser encontradas neste artigo da Microsoft:

    https://support.microsoft.com/en-us/windows/core-isolation-e30ed737-17d8-42f3-a2a9-87521df09b78#ID0EFN

    Proteção de pilha imposta por hardware no modo kernel

    A proteção de pilha imposta por hardware no modo kernel é um recurso de segurança do Windows baseado em hardware que dificulta o uso de drivers de baixo nível por programas maliciosos para sequestrar seu computador.

    Um driver é um software que permite que o sistema operacional (neste caso, Windows) e um dispositivo como um teclado ou uma webcam, por exemplo, se comuniquem. Quando o dispositivo deseja que o Windows faça algo, ele usa o driver para enviar essa solicitação.

    A proteção de pilha imposta por hardware no modo kernel funciona evitando ataques que modificam endereços de retorno na memória do modo kernel para iniciar código malicioso. Esse recurso de segurança requer uma CPU que contenha a capacidade de verificar os endereços de retorno do código em execução.

    Ao executar código no modo kernel, os endereços de retorno na pilha do modo kernel podem ser corrompidos por programas ou drivers maliciosos para redirecionar a execução normal do código para código malicioso. Em CPUs suportadas, a CPU mantém uma segunda cópia de endereços de retorno válidos em uma pilha sombra somente leitura que os drivers não podem modificar. Se um endereço de retorno na pilha regular tiver sido modificado, a CPU poderá detectar essa discrepância verificando a cópia do endereço de retorno na pilha sombra. Quando essa discrepância ocorre, o computador exibe um erro de parada, às vezes conhecido como tela azul, para impedir a execução do código malicioso.

    Nem todos os drivers são compatíveis com esse recurso de segurança, pois um pequeno número de drivers legítimos modifica o endereço de retorno para fins não maliciosos. A Microsoft tem se envolvido com vários editores de drivers para garantir que seus drivers mais recentes sejam compatíveis com a proteção de pilha imposta por hardware no modo Kernel.

    Como faço para gerenciar a proteção de pilha imposta por hardware no modo Kernel?

    A proteção de pilha imposta por hardware no modo kernel está desativada por padrão.

    Para ligar ou desligar:

    1. Selecione o botão Iniciar e digite “Isolamento de núcleo”.
    2. Selecione as configurações do sistema Core Isolation nos resultados da pesquisa para abrir o aplicativo de segurança do Windows.

    Na página de isolamento do núcleo, você encontrará a proteção de pilha imposta por hardware no modo kernel junto com o botão para ativá-la ou desativá-la.

    Para usar a proteção de pilha imposta por hardware no modo kernel, você deve ter a integridade da memória ativada e deve estar executando uma CPU que suporte a tecnologia Intel Control-Flow Enforcement ou AMD Shadow Stack .

    Não é 100% certo que seja isso que {5}significa, mas é uma conclusão razoável.

    Seria ótimo se alguém que tivesse a proteção de pilha imposta por hardware no modo Kernel habilitada também pudesse executar o comando PS para confirmar/comparar valores.

    • 1

relate perguntas