Пользователи, хоть раз занимавшиеся настройкой BIOS, вероятно, замечали, что там встречается многим непонятный параметр Intel Hyper Threading. И далеко не каждый знает, что это за технология и для чего она создана. Попробуем разобраться, что такое Hyper Threading, как включить использование этой поддержки, а заодно выясним, какие преимущества для работы компьютера дает такая настройка. В принципе, ничего сложного для понимания здесь нет.
Что представляет собой технология Intel Hyper Threading?
Итак, что же это такое? Если не лезть в дебри компьютерной терминологии, а говорить обычным языком, данная технология была создана для увеличения потока команд, одновременно обрабатываемых центральным процессором.
Как правило, сегодня современные процессорные чипы используют свои вычислительные возможности всего лишь где-то на 70 %. Остальное остается, так сказать, про запас, на всякий случай. Что касается обработки в большинстве случаев реализуется всего несмотря на то что процессор может быть многоядерным.
Основные принципы работы
Для увеличения возможностей CPU и была разработана технология Hyper Threading. Она позволяет либо разбивать один поток команд на два, либо добавлять второй к уже имеющемуся. Вот только такой поток является виртуальным, а не работает в физическом плане. Такой подход позволил существенно увеличить производительность процессора, соответственно, и вся система стала работать намного быстрее. Вообще, прирост производительности CPU может колебаться достаточно сильно (от 5 до 80 %), о чем будет сказано отдельно.
Впрочем, как утверждают и сами разработчики, детищем которых стала технология Hyper Threading, до полноценного процессорного ядра она явно не дотягивает. Однако в некоторых случаях ее использование является оправданным, как говорится, на все сто. А если знать суть процессов Hyper Threading (как включить их и применить на практике), результат не заставит себя ждать.
Немного истории
Теперь немного окунемся в историю этой разработки. Впервые поддержка Hyper Threading появилась только в процессорах а затем ее реализация была продолжена в серии Intel Core iX (где X - серии процессоров: 3, 5, 7) и даже в процессорах для мобильных девайсов серии Atom. Примечательно, что в линейке процессорных чипов Core 2 она почему-то отсутствует.
Тогда, правда, прирост производительности был достаточно слабым, где-то на уровне 15-20 %, что говорило о том, что сам процессор не имел должной вычислительной мощности, а созданная технология как бы обогнала свое время. Впрочем, сегодня Hyper Threading есть практически во всех современных чипах. К тому же для увеличения мощности CPU сам процесс задействует всего лишь 5 % поверхности кристалла, оставляя, таким образом, место для обработки основного потока данных и команд.
Вопросы производительности и конфликтов
Конечно, все это хорошо, но иногда в обработке данных может наблюдаться и замедление работы. Связано это большей частью с так называемым модулем предсказания ветвления или недостаточным объемом кэша, когда происходит его постоянная перезагрузка.
Если говорить об основном модуле, тут ситуация такова, что в некоторых случаях первый поток может затребовать данные из второго, а они в данный момент еще не обработаны или находятся в очереди на обработку. Не менее распространенными можно назвать ситуации, когда ядро центрального процессора имеет слишком сильную нагрузку, а основной модуль, несмотря на это, все равно посылает на него данные. Наконец, некоторые программы и приложения, в частности ресурсоемкие онлайн-игры, могут достаточно сильно притормаживать, хотя бы только потому, что в них отсутствует оптимизация под использование такой технологии.
С играми ведь что получается? Со своей стороны, пользовательская компьютерная система пытается оптимизировать потоки данных из приложения на сервере. Но вот беда - игра-то не умеет распределять потоки данных разного типа, так сказать, сваливая все в одну кучу. По большому счету она на это бывает и вовсе не рассчитана.
Кстати, зачастую в 2-ядерных процессорах рост производительности намного выше, чем, например, в 4-ядерных. У последних просто своих вычислительных мощностей хватает.
Hyper Threading: как включить опцию в BIOS?
С самой технологией и историей ее появления мы немного разобрались. И теперь мы подошли вплотную к пониманию того, что такое Hyper Threading. Как включить заявленную поддержку для использования в работе процессора? Проще простого. Делается это из подсистемы управления (BIOS). Вход осуществляется посредством использования клавиш Del, F1, F2, F3, F8, F12, F2+Del и т. д. Для ноутбуков Sony Vaio предусмотрен специфичный вход при помощи специальной клавиши ASSIST.
В настройках BIOS (если данный тип процессора поддерживает эту технологию) обязательно имеется строка настройки, которая в большинстве случаев выглядит как Hyper Threading Technology (иногда Function). Но, в зависимости от версии BIOS и разработчика подсистемы, настройка этого параметра может располагаться либо в главном меню (Main), либо в расширенных настройках (Advanced BIOS Features). Для задействования технологии необходимо войти в меню параметров и установить значение на включенное (Enabled). Далее, как обычно, изменения сохраняются, после чего следует перезагрузка системы.
Что полезного в технологии Hyper Threading?
Напоследок остается отметить некоторые преимущества использования Hyper Threading. Для чего все это делается, зачем нужно увеличить мощность процессора в плане обработки данных?
Тем, кто работает с ресурсоемкими программами, объяснять ничего не нужно. Наверняка многие знают, что математические, проектировочные, графические, видео- и аудиоредакторы требуют в своей работе не то что много, а очень много системных ресурсов, из-за чего вся система нагружается до такой степени, что начинает просто тормозить. Вот чтобы этого не происходило, и активируется поддержка Hyper Threading.
Еще в Windows 8 появилась технология виртуализации Hyper-V, ранее доступная только в серверных ОС Microsoft. Это решение выглядит более удачным, чем входившая в Windows 7 виртуальная машина Windows Virtual PC. Сегодня я расскажу, как в Windows с помощью Hyper-V создать виртуальную машину, а также настроить в ней Интернет, локальную сеть и обмен файлами.
Кроме Coreinfo можно использовать фирменную утилиту Intel (у AMD есть аналогичная).
Вы также можете заглянуть в таблицу поддержки технологий виртуализации на сайте производителя вашего процессора: Intel | AMD .
Включение компонента Hyper-V
Hyper-V представляет собой компонент операционной системы, который изначально отключен. Опытные пользователи могут включить его одной командой PowerShell:
Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V -All
Если вы предпочитаете графический интерфейс, нажмите Win + R , введите OptionalFeatures и нажмите Enter .
В открывшемся окне отметьте флажком Hyper-V.
Так или иначе, компонент станет доступен после перезагрузки системы. Из проблем с установкой в Windows 8 RP пока была замечена циклическая перезагрузка по вине драйверов контроллера USB 3.0, которая на некоторых системах решалась отключением USB 3.0 в BIOS.
Создание и настройка виртуальной машины
Нажмите Win + R , введите virtmgmt.msc и нажмите Enter , чтобы открыть диспетчер Hyper-V. Из меню Действия выберите Создать – Виртуальная машина .
Мастер создания виртуальной машины предельно прост, однако я отмечу некоторые моменты для тех, кто любит подробные инструкции с картинками. Шаг настройки сети я сейчас пропущу, поскольку буду разбирать этот вопрос подробнее.
Стандартное расположение для виртуальных машин – папка ProgramData , но его можно изменить.
Если у вас уже есть виртуальный диск в формате VHD, можете подключить его. Я, кстати, так и сделал, воспользовавшись диском, созданным ранее для Virtual Box.
Когда вы указываете имеющийся VHD, из мастера пропадает шаг, на котором задается носитель для установки системы.
Однако путь к ISO можно указать и позже, открыв параметры виртуальной машины в главном окне диспетчера Hyper-V.
Запуск виртуальной машины и установка Windows на нее
Здесь тоже все просто, но немного непривычно для тех, кто ранее не сталкивался с Hyper-V.
В диспетчере Hyper-V:
- для запуска виртуальной машины нажмите «Пуск»
- для взаимодействия с ней нажмите «Подключить» или дважды щелкните эскиз машины
Когда в параметрах машины указан загрузочный ISO-образ Windows, вы увидите на экране знакомую надпись Press any key to boot… Дальше вы уже сами справитесь, но если вам нужны пошаговые инструкции по установке, они есть на OSZone для Windows 7 и Windows 8 .
Если операционная система на физической машине новее той, что установлена на виртуальной, рекомендуется обновить компоненты интеграции (спасибо, Артем). Для этого подключитесь в диспетчере Hyper-V к виртуальной машине, нажмите Ctrl + I и запустите setup.exe .
Настройка доступа в Интернет и локальной сети
Инструкции из этого раздела необходимы лишь в том случае, если вас не устраивает появившийся в Windows 10 1709 коммутатор по умолчанию (Default Switch), который нельзя удалить или переименовать. При использовании Default Switch в случае подключения хоста к VPN виртуальная машина также использует VPN. В этом заключается одно из главных отличий от внешнего коммутатора, создание которого я опишу дальше.
В меню Действия выберите Настройка виртуальных коммутаторов . Откроется окно, в котором можно создать коммутатор одного из трех типов. Чтобы ваша виртуальная машина могла выходить в Интернет, создайте внешний коммутатор.
Теперь нужно задать имя коммутатора и выбрать сетевой адаптер, если у вас их больше одного. Дома я использую беспроводную сеть, поэтому выбрал адаптер Wi-Fi.
Остается лишь указать созданный коммутатор в параметрах сетевого подключения виртуальной машины.
Теперь в установленной Windows у вас будет подключение к Интернету и локальная сеть между физической и виртуальной машинами.
На рисунке выше вы видите:
- слева – результат добавления виртуального коммутатора в Hyper-V на физической машине, т.е. сетевой мост и виртуальный адаптер
- справа – доступ в Интернет и подключение к локальной сети на виртуальной машине
Как видите, настройка Интернета и локальной сети не столько сложна, сколько непривычна для пользователей клиентских ОС Microsoft.
Обмен файлами между физической и виртуальными машинами
По ходу работы с виртуальной машиной регулярно возникает необходимость скопировать на нее файлы с физической, либо наоборот. Я опишу несколько способов решения этой задачи.
Общие сетевые папки
Этот способ работает во всех изданиях Windows 10. Поскольку в нашем распоряжении есть локальная сеть, можно использовать общие папки для обмена файлами. Фактически инструкции ниже сводятся к основам создания общих папок.
Доступ с виртуальной машины на физическую
Картинка стоит тысячи слов, как говорят американцы.
На рисунке показан проводник виртуальной машины (VIRTUAL-PC), откуда осуществляется доступ к физической машине (VADIK-PC). Как только вы введете учетные данные аккаунта, доступ к его профилю будет в вашем распоряжении.
Возможно, вы захотите сделать общей папку, расположенную на физической машине вне своего профиля. Для этого достаточно задействовать стандартные средства предоставления общего доступа, но этот процесс я объясню уже на примере доступа к произвольной папке виртуальной машины.
Доступ с физической машины на виртуальную
Допустим, в корне диска виртуальной машины есть папка Shared . Щелкните по ней правой кнопкой мыши и выберите Общий доступ – Отдельные люди (или Конкретные пользователи в Windows 7).
Теперь вы можете открыть общую папку по сети в проводнике, в том числе введя в адресную строку адрес вида \\имя-компьютера\имя-папки .
Подключение к удаленному рабочему столу виртуальной рабочей машины
В Hyper-V между физической и виртуальной машиной невозможен обмен файлами путем копирования и вставки. Можно лишь вставлять скопированный на физической машине текст сочетанием клавиш Ctrl + V . Однако после запуска виртуальной машины можно соединяться с ней посредством RDP вместо того чтобы открывать ее из диспетчера Hyper-V. Этот способ работает в изданиях Pro и выше.
Действия на виртуальной машине
Сначала нужно разрешить на виртуальной машине подключения к удаленному рабочему столу в свойствах системы. Нажмите Win + R и выполните:
RUNDLL32.EXE shell32.dll,Control_RunDLL sysdm.cpl,5
Затем разрешите подключение, как показано на рисунке.
Остается лишь выяснить IP-адрес виртуальной машины командой ipconfig
Действия на физической машине
Нажмите Win + R и введите mstsc и раскройте параметры входа.
В открывшемся окне:
- Введите IP-адрес виртуальной машины (обязательно).
- Укажите имя пользователя, в чью учетную запись будет выполнен вход.
- Включите запоминание учетных данных.
- Сохраните параметры подключения.
Вы также можете задать на вкладке «Экран» разрешение меньше того, что используется в физической машине.
Теперь можно обмениваться файлами между физической и виртуальной машинами привычными сочетаниями клавиш Ctrl + C и Ctrl + V .
Напоследок я хотел бы виртуализировать несколько рекомендаций Дениса Дягилева по работе с Hyper-V.
Используйте RDP для подключения к виртуальным машинам.
Это не только позволит обмениваться файлами между физической и виртуальной машиной путем копирования и вставки, но и сэкономит системные ресурсы, которые потребляет vmconnect при подключении к виртуальной машине в диспетчере Hyper-V или из командной строки.
Если вы планируете регулярно использовать RDP для подключения к различным виртуальным машинам, закрепите программу на панели задач. Тогда в списке переходов будет сохраняться список машин.
Будьте внимательны со снимками
С помощью Hyper-V можно создавать снимки виртуальной машины, благодаря использованию технологии дифференциальных дисков. Однако логика работы снимков практически обратна той, что ожидает от нее человек, еще ни разу не наступавший на грабли.
Александр Косивченко (MVP по виртуализации) подробно, хотя и несколько сумбурно, описал принцип работы снимков Hyper-V на Хабре.
Используйте импорт виртуальных машин при необходимости
Импорт будет более интересен ИТ-специалистам, но мне случайно довелось воспользоваться этой функцией. После создания виртуальной машины я переименовал букву диска, на которой она хранилась, после чего диспетчер Hyper-V ее потерял.
Оглядевшись в оснастке, я увидел опцию импорта и моментально восстановил машину.
Причем я даже не подозревал, что выполненные мною действия стали возможны лишь за счет появления новой возможности в Hyper-V:)
Hyper-V vs. VirtualBox
Разбираясь с Hyper-V, я невольно сравнивал решение Microsoft для клиентской операционной системы с Oracle VirtualBox.
С точки зрения типичных задач домашних пользователей (тестирование установки системы, ознакомление с ней, проверка работы приложений) эти решения практически не отличаются друг от друга. Но VirtualBox можно использовать в домашних изданиях Windows 10, в то время как Hyper-V в них недоступен.
VirtualBox не имеет столь жестких аппаратных требований, а его графические возможности даже шире, поскольку имеется поддержка аппаратного ускорения 3D (хотя я никогда ей не пользовался).
Что касается графического интерфейса, то это исключительно дело вкуса. Наверное, пришедший из серверных ОС гипервизор выглядит более аскетично, но параметры и настройка виртуальных машин в целом очень похожи.
Наличие Hyper-V в Windows в первую очередь порадует ИТ-специалистов, привыкших к этой технологии. Для домашних пользователей – это хорошая возможность воспользоваться встроенными средствами системы и расширить свой кругозор, приобщившись к серверным технологиям Microsoft.
Опрос
Я познакомился с виртуальными машинами в 2004 году, когда начал заниматься автоустановкой Windows. С тех пор они стали неотъемлемой частью моей повседневной работы, включая тестирование системных настроек, программ и т.п.
В комментариях расскажите, каким решением для виртуализации вы пользуетесь и с какой целью!
Я хочу поблагодарить Дениса Дягилева за помощь в подготовке этого материала. Одним из преимуществ программы MVP является знакомство с лучшими специалистами по технологиям Microsoft. Это означает, что в частном порядке можно получить грамотную консультацию по любому вопросу;)
Денис также любезно предложил свою помощь в проведении дискуссии. Поэтому если у вас возникнут технические вопросы по этой статье, вы можете рассчитывать на квалифицированные ответы .
Я хочу специально подчеркнуть, что
Добрый день. Благодаря моему сайту, я постоянно ковыряюсь в операционной системе и, конечно же, со временем я стал искать способ, чтобы я смог писать инструкции, но при этом меньше вносить изменений в операционную систему моего рабочего компьютера… Решению пришло элементарное — виртуальная машина. Это эмуляция полностью (или почти полностью) рабочей операционной системы, которая запускается на вашей операционной системе. Я попробовал VirtualBox, VMware Workstation и Hyper-V… VirtualBox — бесплатная и не такая удобная, как две остальные. VMware Workstation — отличная по всем позициям, но платная. Hyper-V — вполне сбалансированная виртуальная машина, которая с серверных операционных систем перекочевала в Windows 8 и требует просто включения для доступа. Поэтому выбор пал на последнюю: просто, бесплатно и со вкусом. Windows 10 Professional у меня, кстати, лицензионная, но досталась бесплатно благодаря программе Windows Insider (полгода страданий с багами и лицензия в кармане)).
Я наверное сразу предупрежу, что при включении компонентов Hyper-V, вы не сможете пользоваться другими виртуальными машинами. Итак, начнём:
Жмем правой клавишей мыши по углу «Пуск» и выбираем «Программы и компоненты».
В левой панели выбираем «Включение и отключение компонентов Windows»
Теперь открываем меню «Пуск» → «Все программы» → ищем каталог «Средства администрирования» и в нём находим «Диспетчер Hyper-V’.
Запустив его, мы увидим консоль управления виртуальными машинами, у меня уже есть одна созданная машина, на которой находится музыкальный бот для моего сервера TeamSpeak. Но сейчас создаем ещё одну машину, чтобы показать как это делается. Но для начала давайте сразу создадим «Виртуальную сеть», чтобы у нашей ВМ был интернет. Для этого жмем по имени компьютера в левом столбце, а в правом выбираем «Диспетчер виртуальных коммутаторов».
Этот абзац я добавляю через два месяца, после написания статьи. Всё потому что, ниже я описал более простой способ подключения виртуальной машины к интернету, но сам пользуюсь чуть другим. Разница в них в том, что в способе, который описан здесь, основной доступ получает ВМ, а компьютер работает уже после неё и это не правильно, но проще настроить. Если вы используете компьютер не только для работы виртуальных машин, выбирайте «Внутренняя» → «Создать виртуальный коммутатор» и ставим галочку на пункт «Разрешить идентификацию». Доступ к интернету настраивается с помощью .
Слева выбираем «Создать виртуальный сетевой коммутатор», справа «Внешняя» и жмем «Создать виртуальный коммутатор».
Вводим название для сети, в разделе «Внешняя сеть» выбираем ваш сетевой адаптер и жмем ОК.
Теперь создаем виртуальную машину. Жмем «Создать» — «Виртуальная машина».
Откроется «Мастер создания создания виртуальной машины «, на первом окне просто жмем «Далее».
Указываем название для будущей виртуальной машины. При желании, так же можно изменить место хранения виртуальной машины, у меня изменено место в настройках, чтобы не засорять SSD и все виртуальные машины хранятся на одном из жестких дисков. Жмем «Далее».
Здесь все просто, читаем что написано, если у вас материнская плата без поддержки UEFI или вы собираетесь поставить 32 битную систему, то выбираем первый пункт, если условия для использования второго поколения совпадают с вашими возможностями, выбираем второе поколение. Я хочу поставить 32битную Ubuntu, для одной из следующих статей, поэтому выбираю первое поколение Hyper-V. Жмем далее.
Объем виртуальной памяти. В случае Windows желательно 2-3Гб для 32битных систем и 3-4 Гб для 64 битных систем. Больше для виртуальной машины не имеет смысла, а меньше может сказываться на работе системы. Так же можно использовать «Динамическую память», в данном случае для ВМ будет выделяться памяти столько, сколько ей необходимо.
Возникла необходимость удаленного управления сервером с запущенной ролью Hyper-V с компьютера под управлением Window 10 (личный ноутбук), который не состоит в домене. Чтобы такая схема заработала, нужно выполнить следующие настройки на стороне сервер-гипервизора и клиента.
Настройка сервера Hyper-V
На сервере Hyper-V (Windows Server 2016) нужно включить удаленное управление PowerShell Remoting и открыть соответствующие порты на файерволе. Включаем службу WinRM командой
Enable-PSRemoting
Теперь нужно разрешить подключение со всех клиентов (из публичных сетей в той же самой локальной подсети) и разрешить передавать и получать CredSSP:
Enable-WSManCredSSP -Role Server
Включим правило межсетевого экрана WinRM-HTTP-In-TCP-Public.
Set-NetFirewallRule -Name "WinRM-HTTP-In-TCP-Public" -RemoteAddress Any
Проверьте удаленную доступность порта WinRM (TCP 5985) на сервере
Test-NetConnection -ComputerName target_name -Port 5985
Настройка клиента Windows 10 для подключения к серверу Hyper-V
В первую очередь на компьютере с Windows 10 нужно установить консоль управления Hyper-V. Для этого в панели управления в разделе программ нужно нажать кнопку Turn windows features on or off и в разделе Hyper-V-> Hyper-V Management Tools -> выбрать Hyper-V GUI Management Tools .
Проверьте, что тип сетевого подключения у вас установлен на Private.
Откройте консоль PowerShell с правами администратора и выполните следующие команды:
Enable-PSRemoting
Set-Item WSMan:\localhost\Client\TrustedHosts -Value "Hyper-V-FQDN"
Enable-WSManCredSSP -Role client -DelegateComputer "Hyper-V-FQDN"
Теперь в редакторе локальной групповой политики (gpedit) нужно включить NTLM аутентификацию на недоменных компьютерах. Перейдите в раздел Computer Configuration > Administrative Template > System > Credentials Delegation и включите политику, добавьте в нее строку .
На компьютере Windows 10 откройте консоль Hyper-V Manager, щелкните ПКМ по “Hyper-V Manager ” и выберите Connect to Server… Введите имя сервера и отметьте галку Connect as another user и укажите имя пользователя с правами на сервере Hyper-V.
После этого, консоль должна отобразить список ВМ, запущенных на хосте Hyper-V.
Виртуализация может понадобиться тем пользователям, которые работают с различными эмуляторами и/или виртуальными машинами. И те и те вполне могут работать без включения данного параметра, однако если вам требуется высокая производительность во время использования эмулятора, то его придётся включить.
Важное предупреждение
Изначально желательно убедиться, есть ли у вашего компьютера поддержка виртуализации. Если её нет, то вы рискуете просто зря потратить время, пытаясь произвести активацию через BIOS. Многие популярные эмуляторы и виртуальные машины предупреждают пользователя о том, что его компьютер поддерживает виртуализацию и если подключить этот параметр, то система будет работать значительно быстрее.
Если у вас не появилось такого сообщения при первом запуске какого-нибудь эмулятора/виртуальной машины, то это может значить следующее:
- Виртуализация уже подключена по умолчанию (такое бывает редко);
- Компьютер не поддерживает этот параметр;
- Эмулятор не способен произвести анализ и оповестить пользователя о возможности подключения виртуализации.
Включение виртуализации на процессоре Intel
Воспользовавшись этой пошаговой инструкцией, вы сможете активировать виртуализацию (актуальна только для компьютеров, работающих на процессоре Intel):
Включение виртуализации на процессоре AMD
Пошаговая инструкция выглядит в этом случае похожим образом:
Включить виртуализацию на компьютере несложно, для этого нужно лишь следовать пошаговой инструкции. Однако если в BIOS нет возможности включить эту функцию, то не стоит пытаться это сделать при помощи сторонних программ, так как это не даст никакого результата, но при этом может ухудшить работу компьютера.
Мы рады, что смогли помочь Вам в решении проблемы.
Опрос: помогла ли вам эта статья?
Да Нетlumpics.ru
Virtual Secure Mode (VSM) в Windows 10 Enterprise
В Windows 10 Enterprise (и только в этой редакции) появился новый компонент Hyper-V под названием Virtual Secure Mode (VSM). VSM – это защищённый контейнер (виртуальная машина), запущенный на гипервизоре и отделенный от хостовой Windows 10 и ее ядра. Критичные с точки зрения безопасности компоненты системы запускаются внутри этого защищенного виртуального контейнера. Никакой сторонний код внутри VSM выполняться не может, а целостность кода постоянно проверяется на предмет модификации. Такая архитектура позволяет защитить данные в VSM, даже если ядро хостовой Windows 10 скомпрометировано, ведь даже ядро не имеет прямого доступа к VSM.
Контейнер VSM не может быть подключен к сети, и никто не может получить административные привилегии в нем. Внутри контейнера Virtual Secure Mode могут храниться ключи шифрования, авторизационные данные пользователей и другая критичная с точки зрения компрометация информация. Таким образом, атакующий теперь не сможет с помощью локально закэшированных данных учетной записи доменных пользователей проникнуть внутрь корпоративной инфраструктуры.
Внутри VSM могут работать следующие системные компоненты:
- LSASS (Local Security Subsystem Service) – компонент, отвечающий за авторизацию и изоляцию локальных пользователей (таким образом система защищена от атак типа “pass the hash” и утилит типа mimikatz). Это означает, что пароли (и/или хэши) пользователей, зарегистрированных в системе, не сможет получить даже пользователь с правами локального администратора.
- Виртуальный TPM (vTPM) – синтетическое TPM устройство для гостевых машин, необходимое для шифрования содержимого дисков
- Система контроля целостности кода ОС – защита кода системы от модификации
Для возможности использования режима VSM, к среде предъявляются следующие аппаратные требования:
- Поддержка UEFI, Secure Boot и Trusted Platform Module (TPM) для безопасного хранения ключей
- Поддержка аппаратной виртуализации (как минимум VT-x или AMD-V)
Как включить Virtual Secure Mode (VSM) в Windows 10
Рассмотрим, как включить режим Virtual Secure Mode Windows 10 (в нашем примере это Build 10130).
Проверка работы VSM
Убедится, что режим VSM активен можно по наличию процесса Secure System в диспетчере задач.
Или по событию “Credential Guard (Lsalso.exe) was started and will protect LSA credential” в журнале системы.
Тестирование защиты VSM
Итак, на машины с включенным режимом VSM регистрируемся под доменной учетной записью и из-под локального администратора запускаем такую команду mimikatz:
mimikatz.exe privilege::debug sekurlsa::logonpasswords exit
Мы видим, что LSA запущен в изолированной среде и хэши паролей пользователя получить не удается.
Если ту же операцию выполнить на машине с отключенным VSM, мы получаем NTLM хэш пароля пользователя, который можно использовать для атак “pass-the-hash”. 