Возникла необходимость удаленного управления сервером с запущенной ролью Hyper-V с компьютера под управлением Window 10 (личный ноутбук), который не состоит в домене. Чтобы такая схема заработала, нужно выполнить следующие настройки на стороне сервер-гипервизора и клиента.
Настройка сервера Hyper-V
На сервере Hyper-V (Windows Server 2016) нужно включить удаленное управление PowerShell Remoting и открыть соответствующие порты на файерволе. Включаем службу WinRM командой
Enable-PSRemoting
Теперь нужно разрешить подключение со всех клиентов (из публичных сетей в той же самой локальной подсети) и разрешить передавать и получать CredSSP:
Enable-WSManCredSSP -Role Server
Включим правило межсетевого экрана WinRM-HTTP-In-TCP-Public.
Set-NetFirewallRule -Name "WinRM-HTTP-In-TCP-Public" -RemoteAddress Any
Проверьте удаленную доступность порта WinRM (TCP 5985) на сервере
Test-NetConnection -ComputerName target_name -Port 5985
Настройка клиента Windows 10 для подключения к серверу Hyper-V
В первую очередь на компьютере с Windows 10 нужно установить консоль управления Hyper-V. Для этого в панели управления в разделе программ нужно нажать кнопку Turn windows features on or off и в разделе Hyper-V-> Hyper-V Management Tools -> выбрать Hyper-V GUI Management Tools .
Проверьте, что тип сетевого подключения у вас установлен на Private.
Откройте консоль PowerShell с правами администратора и выполните следующие команды:
Enable-PSRemoting
Set-Item WSMan:\localhost\Client\TrustedHosts -Value "Hyper-V-FQDN"
Enable-WSManCredSSP -Role client -DelegateComputer "Hyper-V-FQDN"
Теперь в редакторе локальной групповой политики (gpedit) нужно включить NTLM аутентификацию на недоменных компьютерах. Перейдите в раздел Computer Configuration > Administrative Template > System > Credentials Delegation и включите политику, добавьте в нее строку .
На компьютере Windows 10 откройте консоль Hyper-V Manager, щелкните ПКМ по “Hyper-V Manager ” и выберите Connect to Server… Введите имя сервера и отметьте галку Connect as another user и укажите имя пользователя с правами на сервере Hyper-V.
После этого, консоль должна отобразить список ВМ, запущенных на хосте Hyper-V.
В тройке лидеров на рынке софта для виртуализации операционных систем – VMware, VirtualBox и Hyper-V – последний гипервизор занимает особое место. Такое особое место обусловлено тем, что Hyper-V является штатным компонентом серверных систем Windows и некоторых версий Windows для настольных ПК. Уступая VMware Workstation и VirtualBox в функциональности, кроссплатформенности и отчасти в удобстве пользования, Hyper-V, тем не менее, не лишен своих преимуществ. И главное из них – более высокая производительность гостевых ОС.
Ниже речь пойдет об активации Hyper-V в системе Windows 10 и создании средствами этого гипервизора виртуальной машины.
1. Hyper-V - штатный гипервизор от Microsoft
Штатный компонент Hyper-V система Windows 10 унаследовала от версий Windows 8 и 8.1, а в них гипервизор перекочевал из Windows Server. И Windows 8.1, и Windows 10 опционально предусматривают компонент Hyper-V в редакциях Pro и Enterprise. Работа гипервизора возможна только в 64-битных системах.
Длительное время Hyper-V не поддерживал никаких иных гостевых ОС, кроме как Windows. Однако относительно недавно компания Microsoft позаботилась о поддержке гипервизором гостевой ОС Linux. И сегодня с помощью Hyper-V можно тестировать некоторые дистрибутивы Linux, в частности, популярный Ubuntu.
2. Требования для работы Hyper-V
Минимальный объем оперативной памяти физического компьютера для работы Hyper-V – 4 Гб.
Процессор компьютера должен поддерживать технологию SLAT (Intel EPT или AMD RVI). Практически все современные процессоры соответствуют этому требованию.
Другое требование к процессору, также предусматриваемое многими современными моделями – поддержка технологии аппаратной виртуализации и, соответственно, ее активное состояние в BIOS. В BIOS материнских плат для процессоров Intel такая технология (в зависимости от версии) может называться по-разному – Intel-VT, Intel Virtualization Technology, Intel VT-x, Vanderpool или Virtualization Extensions. У AMD технология аппаратной виртуализации называется AMD-V или SVM (Secure Virtual Machines). Например, в AMI BIOS версии 17.9 функцию аппаратной виртуализации процессора AMD можно найти по пути Cell Menu – CPU Feature – SVM Support.
У процессоров AMD функция аппаратной виртуализации, как правило, включена по умолчанию. Поддерживает ли конкретная модель процессора аппаратную виртуализацию, этот момент можно выяснить на сайтах компаний Intel и AMD.
3. Активация и запуск Hyper-V
Hyper-V в комплекте Windows 10 Pro и Enterprise поставляется опционально. Изначально штатный гипервизор отключен. Включается он в разделе панели управления «Программы и компоненты». Самый быстрый способ попасть туда – внутрисистемный поиск.
Запускаем «Включение и отключение системных компонентов».
В появившемся небольшом окошке галочкой отмечаем все подпункты пункта Hyper-V. Жмем «Ок».
Система пару секунд будет применять изменения и попросит перезагрузку. После перезагрузки ищем ярлык запуска диспетчера Hyper-V. Ярлык диспетчера Hyper-V можно сразу закрепить на начальном экране Windows 10, найдя его в средствах администрирования меню «Пуск».
Доступ к ярлыку диспетчера Hyper-V также можно получить с помощью внутрисистемного поиска.
Запускаем диспетчер Hyper-V.
4. Настройка доступа к сети
В диспетчере Hyper-V сеть настраивается отдельным этапом, и сначала нужно создать виртуальный коммутатор – параметр, обеспечивающий доступ к сети. Делаем клик на названии физического компьютера, а в правой части окна выбираем «Диспетчер виртуальных коммутаторов…».
Запустится мастер создания виртуального коммутатора, где первым делом нужно выбрать тип сети. Их три:
- Внешняя – этот тип использует сетевую карту или адаптер Wi-Fi физического компьютера и подключает виртуальную машину к той же сети, в которой находится физический компьютер. Соответственно, это тип сети, предусматривающий доступ виртуальной машины к Интернету;
- Внутренняя – этот тип обеспечивает сеть между физическим компьютером и виртуальными машинами Hyper-V, но не предусматривает их доступ к Интернету;
- Частная – этот тип позволяет создать сеть между виртуальными машинами Hyper-V, но в этой сети не будет физического компьютера, равно как и не будет выхода в Интернет.
В нашем случае доступ виртуальной машины к Интернету необходим, потому выберем первый тип - внешнюю сеть. Жмем «Создать виртуальный коммутатор».
В окне свойств виртуального коммутатора задаем ему имя, это может быть какое угодно имя, например, «Сетевая карта 1». При необходимости виртуальному коммутатору можно добавить примечание. Если физический компьютер имеет на борту и сетевую карту, и адаптер Wi-Fi, конкретное устройство, посредством которого виртуальная машина будет подключаться к сети, можно выбрать из выпадающего списка в графе «Тип подключения». После проделанных настроек жмем «Применить» внизу окна.
5. Создание виртуальной машины
Теперь можно приступить непосредственно к созданию виртуальной машины. Слева в окне Hyper-V выбор по-прежнему должен быть на названии физического компьютера. В правом углу вверху жмем «Создать», затем – соответственно, «Виртуальная машина».
В приветственном окне запустившегося мастера жмем «Далее».
Задаем виртуальной машине имя; также можно сменить ее месторасположение на диске физического компьютера, указав нужный раздел диска и нужную папку с помощью кнопки обзора. Жмем «Далее».
Одна из относительно новых возможностей Hyper-V – выбор поколения виртуальной машины. В нашем случае выбрано поколение 2.
Что это значит? Поколение 1 – это виртуальные машины, поддерживающие 32- и 64-битные системы Windows. Поколение 1 совместимо с прежними версиями Hyper-V.
Поколение 2 – виртуальные машины нового формата со встроенным программным обеспечением на базе UEFI. Такие виртуальные машины поддерживают ряд новых возможностей и способны обеспечить небольшой прирост производительности. На виртуальные машины поколения 2 в качестве гостевых ОС устанавливаются только 64-битные версии Windows 8.1 и 10, а также серверные Windows Server 2012, Server 2012 R2 и Server 2016.
Платформа UEFI обуславливает еще одно требование для использования виртуальных машин поколения 2 – загрузочный носитель UEFI. Этот момент необходимо уточнять, скачивая ISO-образ с дистрибутивом Windows со сторонних источников в Интернете. Но лучше все же скачивать дистрибутивы Windows с официальных источников компании Microsoft. Так, утилита Media Creation Tool, скачивающая с сайта Microsoft дистрибутивы Windows 8.1 и , на выходе создает загрузочный ISO-образ, поддерживающий среду UEFI.
В случае установки в качестве гостевой ОС Windows 10 именно такой способ получения ISO-образа системы и рекомендуется. Windows 10 предусматривает процесс установки с возможностью отложенного ввода . В нашем случае в качестве гостевой ОС будет установлена Windows 8.1, а ее официальный дистрибутив, получаемый с помощью утилиты Media Creation Tool, в процессе установки требует ввод ключа продукта. Обеспечить поддержку среды UEFI и воспользоваться бесплатной возможностью протестировать систему Windows 8.1 поможет сайт Центра пробного ПО TechNet. На этом сайте можно скачать англоязычную редакцию 64-битной Windows 8.1 Корпоративная и бесплатно тестировать систему целых 3 месяца. Проблему с отсутствием поддержки русского языка после установки системы можно решить отдельно, установив языковой пакет и настроив русский основным языком системы.
Возвращаемся к мастеру создания виртуальной машины. В окне выделения памяти оставляем предустановленные параметры, если физический компьютер имеет не более 4 Гб оперативной памяти. Если ее больше 4 Гб, можно увеличить показатель, выделяемый при запуске виртуальной машины. Для гостевой Windows ХР показатель оперативной памяти можно, наоборот, уменьшить до 512 Мб. Жмем «Далее».
В окне настроек сети из выпадающего списка выбираем ранее созданный виртуальный коммутатор. Жмем «Далее».
В окне подключения виртуального жесткого диска задаем виртуальной машине имя, указываем расположение на диске физического компьютера, указываем размер. Это параметры создания нового жесткого диска. Второй пункт этого шага мастера используется, когда на компьютере уже имеется виртуальный жесткий диск, в частности, с установленной гостевой ОС. При выборе виртуальной машины поколения 2 файл такого виртуального жесткого диска должен иметь формат VHDX (а не VHD), а гостевая ОС должна поддерживать среду загрузки UEFI. Жмем «Далее».
Если в предыдущем шаге мастера выбран пункт создания нового виртуального жесткого диска, следующим шагом будет указание пути к дистрибутиву Windows. Виртуальные машины поколения 2 уже не предусматривают загрузку с физического CD/DVD-привода. Источниками загрузки дистрибутива гостевой ОС могут быть только сеть и ISO-образ. В нашем случае это ISO-образ. Жмем «Далее».
Завершающий этап мастера – жмем «Готово».
6. Подключение виртуальной машины
Создав виртуальную машину, вернемся в окно диспетчера Hyper-V. Теперь ее нужно подключить. Для этого существует команда «Подключить» в числе прочих команд контекстного меню, вызываемого на виртуальной машине. Команда «Подключить» присутствует и в правой части окна диспетчера Hyper-V. Для подключения также можно сделать двойной клик левой клавишей мыши на окошке-превью выбранной виртуальной машины.
В открывшемся окне подключения жмем зеленую кнопку запуска.
Последует обычный процесс установки Windows 8.1, как это происходило бы на физическом компьютере.
Как только начнется копирование файлов установки, можно закрыть окно подключения к виртуальной машине и заняться другими делами.
Закрытие окна подключения высвободит какие-то ресурсы физического компьютера для выполнения других задач, при этом виртуальная машина продолжит свою работу в фоновом режиме. Ее рабочие показатели будут отображаться в диспетчере Hyper-V.
Подключаться к виртуальной машине можно по мере необходимости выполнения в ней действий.
Все – Windows 8.1 установилась. Выключить, приостановить, сохранить виртуальную машину или сбросить ее состояние можно и командами в диспетчере Hyper-V, и кнопками на верхней панели окна подключения.
7. Приоритет загрузки
Чтобы в дальнейшем при запуске виртуальной машины не терять время на окно загрузки с CD/DVD-диска, нужно в выключенном ее состоянии открыть окно параметров и убрать путь к ISO-файлу с дистрибутивом. Это делается во вкладке DVD-привода настроек оборудования виртуальной машины.
Альтернативный вариант – поднять жесткий диск в приоритете загрузки выше DVD-привода (но не выше файла «bootmgfw.efi»). Это делается во вкладке «Встроенное ПО» настроек оборудования.
В обоих случаях проделанные изменения сохраняются кнопкой «Применить» внизу.
8. Обход ограничений окна подключения Hyper-V
Во главу угла работы гипервизора Hyper-V поставлена производительность виртуальных машин, а не функциональность. В отличие от своих конкурентов – VMware и VirtualBox – виртуальные машины Hyper-V не работают с подключенными флешками, не воспроизводят звук, а взаимодействие с физическим компьютером осуществляется только вставкой внутри гостевых ОС текста, скопированного в основной ОС. Такова цена производительности виртуальных машин Hyper-V. Но это если работать с обычным окном подключения Hyper-V.
Полноценную интеграцию физического компьютера и виртуальной машины можно получить с помощью штатной утилиты подключения к удаленному рабочему столу.
Эта утилита позволяет гибко настроить параметры подключения, в частности, сделать доступными внутри виртуальной машины не только подключенные к физическому компьютеру USB-накопители, но и отдельные разделы жесткого диска.
Подключение к виртуальной машине таким образом обеспечит в гостевой ОС воспроизведение звука и двустороннюю передачу файлов.
Отличного Вам дня!
На рынке софта виртуализации операционных систем тройку лидеров возглавляют такие бренды как VMware, VirtualBox и Hyper-V. Однако последний гипервизор занимает особенное место, так как является штатным компонентом серверных систем компании Microsoft.
Поэтому после установки новой операционной системы пользователи часто задаются вопросом: как активировать Hyper-V в Windows 10 и создать виртуальную машину?
Что такое гипервизор Hyper-V?
Штатный компонент Hyper-V Windows 10 получила от предыдущей операционной системы. Однако стоит отметить, что гипервизор присущ только для 64-битных версий Windows 10 Pro и Enterprise. В состав остальных версий ОС данный компонент не включили. Но это не значит, что его невозможно добавить на свой ПК. Главное, чтобы устройство соответствовало определённым требованиям. Среди них выделим:
- Минимальный объем оперативной памяти – 4 Гб;
- Процессор с поддержкой технологии SLAT (большинство современных процессоров адаптированы под это требование);
- Поддержка процессором технологии аппаратной виртуализации и её активное состояние в BIOS;
- Наличие от 4 Гб свободного места на жёстком диске.
- Созданный образ системы.
Как активировать и запустить Hyper-V в Windows 10?
Изначально в любой Windows 10 штатный Hyper-V отключён. Чтобы его активировать нужно выполнить следующие действия.
Жмём «Пуск» и в поисковую строку вводим «Программы и компоненты». Открываем результат выдачи.
Переходим в раздел «Программы и компоненты». В левом меню выбираем «Включение и отключение системных компонентов».
Откроется новое диалоговое окно. Отмечаем все пункты, которые касаются Hyper-V и кликаем «ОК».
В течение нескольких секунд система будет активировать компоненты гипервизора, после чего на экране появится уведомление о необходимости перезагрузки ПК. Жмём «Перезагрузить».
После выполнения перезагрузки кликаем «Пуск» и вводим в поисковую строку «Hyper-V». Появится «Диспетчер Hyper-V». Двойным щелчком запускаем службу. Теперь гипервизор активен и готов к использованию. Также можно его вынести на начальный экран, кликнув правой кнопкой мыши и выбрав нужный пункт.
Как настроить доступ к сети с помощью Hyper-V?
Для того, чтобы настроит доступ к сети в Windows 10 с помощью Hyper-V, необходимо создать виртуальный коммутатор – параметр, который отвечает за доступ к интернету. Поэтому запускаем «Диспетчер Hyper-V» и в левой стороне жмём на названии ПК, а в правой части экрана выбираем «Диспетчер виртуальных коммутаторов…».
Запустится «Мастер создания виртуального коммутатора». Здесь нужно выбрать тип сети.
Различают три типа:
- Внешний, который использует Wi-Fi или сетевую карту для подключения к сети.
- Внутренний – это тип, который создаёт связь между основным ПК и виртуальной машиной, но не предоставляет им доступ к сети.
- Частная – тип для создания связи между виртуальными машинами.
Чтобы подключиться к Интернету, необходимо выбрать первый тип. Далее кликаем «Создать виртуальный коммутатор».
Откроется окно. Присваиваем имя новому коммутатору и выбираем «Тип подключения». Это может быть подключение как через сетевую карту, так и через Wi-Fi. После кликаем «Применить».
Как создать виртуальную машину?
После создания коммутатора можно приступать к настройке виртуальной машины. Открываем «Диспетчер Hyper-V». Кликаем на физическом названии ПК. В правом меню выбираем «Создать». Жмём «Виртуальная машина».
Присваиваем имя новой виртуальной машине, указываем место её расположения и жмём «Далее».
Выбираем втрое поколение устройств. Можно выбрать и первое поколение, однако второе имеет ряд полезных функций. Кликаем «Далее».
В окне выделения памяти оставляем всё без изменений. Если ПК имеет ОП более чем 4 Гб, показатель можно увеличить. После кликаем «Далее».
В окне настроек сети выбираем ранее созданный коммутатор. Жмём «Далее».
В следующем окне вводим имя виртуальной машины и указываем её размер на виртуальном жёстком диске. Вновь кликаем «Далее».
Если в предыдущем окне вы выбрали создание виртуального жёсткого диска, то в этом окне нужно указать путь к дистрибутиву Windows 10. Во втором поколении это будет или ISO-образ или сеть. Выбираем ISO-образ и кликаем «Далее».
После создания диска нажимаем «Готово».
Как подключить виртуальную машину?
Чтобы виртуальная машина стала активной нужно выделить её в списке и нажать «Подключиться» в правом меню «Диспетчера Hyper-V».
Откроется новое окно. Жмём на зелёную кнопку.
Запустится стандартный процесс установки новых компонентов. После перезагружаем ПК и включаем виртуальную машину для использования.
В одной из тестовых задач понадобилось установить компонент виртуализации Hyper-V на виртуальной машине с ОС Windows 10 (применимо и к Windows Server 2016), запущенной на гипервизоре VMWare ESXi. Т.е. нужно организовать вложенную виртуализацию Hyper-V на VMWare ESXi.
Сначала пару слов в вложенной виртуализации. Вложенная виртуализация (Nested Virtualization ) – возможность запускать гипервизор внутри виртуальной машины на другом гипервизоре. В Hyper-V полноценная поддержка вложенной виртуализации появилась Windows Server 2016 / Windows 10 Anniversary Update, в VMWare технология вложенной виртуализации работает уже давно (появилась еще в ESXi 5.0).
Имеем: хост виртуализации VMWare ESXi 6.0, на нем запущена виртуальная машина с Windows 10 1709.
При попытке установить роль гипервизор Hyper-V (компонент называется Низкоуровневая оболочка Hyper-V ) с помощью функции включения/ отключения компонентов в классической панели управления Windows 10, данная опция оказалась недоступна. В качестве причины указывается:
Hyper-V cannot be installed: The processor does not have the required virtualization capabilities
Чтобы включить вложенную виртуализацию для данной ВМ, откройте настройки виртуальной машины с помощью веб клиента vSphere (ВМ должна быть выключена). В разделе CPU включите опцию «» (эта опция не доступна в “тяжелом” C# клиенте vCenter)
Примечание . В более старых версиях ESXi, в которых отсутствует данная опция, а также в настольном VMWare Workstation аналогичный эффект вызывается за счет добавления следующих опций в конфигурационный файл виртуальной машины (*.vmx).
hypervisor.cpuid.v0 = “FALSE”
mce.enable = “TRUE”
vhv.enable= "TRUE"
В клиенте vSphere данные опции можно добавить в настройках ВМ. Вкладка Options -> General -> Configure parameters . Добавьте две новые строки с данными параметрами (кнопка Add Row ).
Включаем виртуальную машину с Windows 10 и еще раз пытаемся установить роль Hyper-V. Система теперь перестала определять, что она работает внутри другого гипервизора, но теперь появилась другая ошибка:
Hyper-V cannot be installed: the processor dose not support second level address translation (SLAT).
Т.е. процессор виртуальной машины помимо поддержки виртуализации должен поддерживать технологию SLAT — возможность виртуализации страниц памяти и передачи их под прямой контроль гостевой ОС. В терминологии Intel эта фича называется Еxtended Page Tables (EPT ), у AMD — Rapid Virtualization Indexing (RVI ).
Проверим поддержку SLAT процессором с помощью команды:
Команда в разделе «Требования Hyper-V» должна вернуть, что отсутствует поддержка SLAT.
Second Level Address Translation: No
Преобразование адресов второго уровня: Нет
В этом случае нужно изменить параметры процессора виртуальной машины. В веб клиенте в секции CPU/MMU Virtualization нужно выбрать Hardware CPU and MMU .
В «классическом» клиенте аналогичная опция находится на вкладке Options в секции CPU/MMU Virtualization и называется ””.
Запустите виртуальную машину Windows 10 и убедитесь, что ее процессор теперь поддерживает SLAT. Теперь можно установить все компоненты роли Hyper-V и запускать внутри виртуалки Win10 собственные виртуальные машины.
Виртуализация может понадобиться тем пользователям, которые работают с различными эмуляторами и/или виртуальными машинами. И те и те вполне могут работать без включения данного параметра, однако если вам требуется высокая производительность во время использования эмулятора, то его придётся включить.
Важное предупреждение
Изначально желательно убедиться, есть ли у вашего компьютера поддержка виртуализации. Если её нет, то вы рискуете просто зря потратить время, пытаясь произвести активацию через BIOS. Многие популярные эмуляторы и виртуальные машины предупреждают пользователя о том, что его компьютер поддерживает виртуализацию и если подключить этот параметр, то система будет работать значительно быстрее.
Если у вас не появилось такого сообщения при первом запуске какого-нибудь эмулятора/виртуальной машины, то это может значить следующее:
- Виртуализация уже подключена по умолчанию (такое бывает редко);
- Компьютер не поддерживает этот параметр;
- Эмулятор не способен произвести анализ и оповестить пользователя о возможности подключения виртуализации.
Включение виртуализации на процессоре Intel
Воспользовавшись этой пошаговой инструкцией, вы сможете активировать виртуализацию (актуальна только для компьютеров, работающих на процессоре Intel):
Включение виртуализации на процессоре AMD
Пошаговая инструкция выглядит в этом случае похожим образом:
Включить виртуализацию на компьютере несложно, для этого нужно лишь следовать пошаговой инструкции. Однако если в BIOS нет возможности включить эту функцию, то не стоит пытаться это сделать при помощи сторонних программ, так как это не даст никакого результата, но при этом может ухудшить работу компьютера.
Мы рады, что смогли помочь Вам в решении проблемы.
Опрос: помогла ли вам эта статья?
Да Нетlumpics.ru
Virtual Secure Mode (VSM) в Windows 10 Enterprise
В Windows 10 Enterprise (и только в этой редакции) появился новый компонент Hyper-V под названием Virtual Secure Mode (VSM). VSM – это защищённый контейнер (виртуальная машина), запущенный на гипервизоре и отделенный от хостовой Windows 10 и ее ядра. Критичные с точки зрения безопасности компоненты системы запускаются внутри этого защищенного виртуального контейнера. Никакой сторонний код внутри VSM выполняться не может, а целостность кода постоянно проверяется на предмет модификации. Такая архитектура позволяет защитить данные в VSM, даже если ядро хостовой Windows 10 скомпрометировано, ведь даже ядро не имеет прямого доступа к VSM.
Контейнер VSM не может быть подключен к сети, и никто не может получить административные привилегии в нем. Внутри контейнера Virtual Secure Mode могут храниться ключи шифрования, авторизационные данные пользователей и другая критичная с точки зрения компрометация информация. Таким образом, атакующий теперь не сможет с помощью локально закэшированных данных учетной записи доменных пользователей проникнуть внутрь корпоративной инфраструктуры.
Внутри VSM могут работать следующие системные компоненты:
- LSASS (Local Security Subsystem Service) – компонент, отвечающий за авторизацию и изоляцию локальных пользователей (таким образом система защищена от атак типа “pass the hash” и утилит типа mimikatz). Это означает, что пароли (и/или хэши) пользователей, зарегистрированных в системе, не сможет получить даже пользователь с правами локального администратора.
- Виртуальный TPM (vTPM) – синтетическое TPM устройство для гостевых машин, необходимое для шифрования содержимого дисков
- Система контроля целостности кода ОС – защита кода системы от модификации
Для возможности использования режима VSM, к среде предъявляются следующие аппаратные требования:
- Поддержка UEFI, Secure Boot и Trusted Platform Module (TPM) для безопасного хранения ключей
- Поддержка аппаратной виртуализации (как минимум VT-x или AMD-V)
Как включить Virtual Secure Mode (VSM) в Windows 10
Рассмотрим, как включить режим Virtual Secure Mode Windows 10 (в нашем примере это Build 10130).
Проверка работы VSM
Убедится, что режим VSM активен можно по наличию процесса Secure System в диспетчере задач.
Или по событию “Credential Guard (Lsalso.exe) was started and will protect LSA credential” в журнале системы.
Тестирование защиты VSM
Итак, на машины с включенным режимом VSM регистрируемся под доменной учетной записью и из-под локального администратора запускаем такую команду mimikatz:
mimikatz.exe privilege::debug sekurlsa::logonpasswords exit
Мы видим, что LSA запущен в изолированной среде и хэши паролей пользователя получить не удается.
Если ту же операцию выполнить на машине с отключенным VSM, мы получаем NTLM хэш пароля пользователя, который можно использовать для атак “pass-the-hash”. 
