Защита выполнения данных с аппаратной поддержкой в bios
Функция аппаратной поддержки целостности данных и аттестации выполнения обеспечивает защиту от угроз, возникающих до запуска операционной системы при работе устройства, тогда оно использует аппаратные средства, а удаленные службы аттестации поддерживают целостность данных при загрузке и во время работы.
Безопасная загрузка UEFI
HoloLens 2 всегда принудительно использует безопасную загрузку Unified Extensible Firmware Interface (UEFI), а этот интерфейс загружает только Windows Holographic for Business. Функция безопасной загрузки гарантирует, что вся цепочка загрузки проверяется на целостность данных и что Windows всегда загружается с применением соответствующих политик безопасности. Подробнее о безопасной загрузке.
TPM (Доверенный платформенный модуль)
Доверенный платформенный модуль (TPM) — это специализированная микросхема в устройстве конечной точки. HoloLens 2 использует модуль TPM 2.0, обеспечивающий аппаратную изоляцию ключей. Подробнее о принципах работы TPM.
Защита от угрозы постоянного доступа
Целью большинства кибератак является постоянный доступ к устройству. При киберпреступлениях такой доступ позволяет присоединять скомпрометированное устройство Windows к ботнету, продавать доступ к этому устройству другим злоумышленникам, а также похищать данные многократно. В общем при целенаправленных атаках постоянный доступ — это базовый аспект успеха кибератаки как на устройство, так и на сеть в целом (что бывает чаще).
Целенаправленные атаки даже считаются "расширенными угрозами постоянного доступа" из-за их стратегической потребности поддерживать доступ к конкретному устройству или сети. По этой причине в Windows Holographic for Business защита от угрозы постоянного доступа считается самой важной. Решение использует технологию защиты от нее, предлагая клиентам непробиваемую защиту системы безопасности.
Безопасная загрузка
HoloLens 2 обеспечивает безопасную загрузку интерфейса UEFI на все время работы базовой операционной системы. Благодаря UEFI загружаются только доверенные платформы корпорации Майкрософт, что обеспечивает проверку на целостность данных всей цепи загрузки и что Windows всегда загружается с применением нужных политик безопасности. HoloLens 2 не позволяет отключать безопасную загрузку и использовать загрузчики сторонних производителей.
Обеспечение защиты от угрозы постоянного доступа в Windows
Защита HoloLens 2 от угрозы постоянного доступа гарантирует пользователям, что даже в тех редких случаях, когда работу системы удается скомпрометировать, (например, с помощью удаленного эксплойта), последствия устраняются: весь вредоносный код удаляется из системы при выключении устройства. Чтобы еще больше усилить защиту от угрозы постоянного доступа в HoloLens 2 добавлена мощная защита целостности данных и применяются меры в виде доступа "только для чтения".
Угроза постоянного доступа к данным операционной системы сохраняется, если пользователь не выполняет быстрый сброс параметров (PBR) устройства, при котором очищаются все изменяемые разделы. Получить постоянный доступ к неизменяемым разделам намного труднее, поэтому пользователю необходимо выполнять такой сброс в HoloLens 2, чтобы устранять все возможные угрозы постоянного доступа из изменяемых разделов.
Защита целостности кода
Способность обеспечивать целостность кода — основное свойство системы безопасности современной операционной системы. Обеспечение целостности позволяет принимать обоснованные решения в сфере безопасности, так как предусматривает, что происхождение кода известно и пользователю, и операционной системе. Для полного обеспечения целостности кода требуется выйти за рамки подписывания двоичных образов и ввести принудительные меры в отношении выполнения, такие как целостность потока управления и ограничения динамического кода. Целостность кода играет важнейшую роль в предотвращении атак множества классов, в том числе с применением вредоносного программного обеспечения социального инжиниринга, например программ-шантажистов, эксплойтов удаленного выполнения кода и атак других типов.
Итак, давайте разбираться.
Файл WinHvPlatform.dll
Включена ли виртуализация
Если на компьютере имел место системный сбой, а с приведенной нами ошибкой нередко приходится сталкиваться как раз после таких сбоев, в том числе прерывания завершения работы компьютера или его отправки в гибернацию нажатием Reset (в случае зависания) , необходимо проверить состояние функции аппаратной гибернации.
Откройте Диспетчер задач, переключитесь на вкладку «Производительность», выберите «ЦП» и посмотрите под графиком загруженности, доступна ли виртуализация.
Также вы можете посмотреть статус виртуализации в BIOS , перейдя в раздел Advanced -> CPU Configuration -> Intel Virtualization Technology (в разных моделях BIOS название может отличаться) . Отвечающая за аппаратную виртуализацию опция должна иметь значение Enabled.
Антивирусы
Если аппаратная виртуализация включена, а VirtualBox, тем не менее, утверждает обратное, причина неполадки кроется в программной части, а именно в настройках вашей антивирусной программы, которые могут быть изменены при обновлении приложения.
В частности, причиной ошибки с кодом 0x30004005 при запуске виртуальных машин в VirtualBox может стать включенная политика Защитника Windows «Средство обеспечения безопасности на основе виртуализации».
Если у вас она включена, установите для нее значение либо «Отключена», либо «Не задана» и перезагрузите компьютер.
Другой пример — популярный антивирус Avast с включенной опцией «Виртуализация с аппаратной поддержкой».
Эта функция «обеспечивает дополнительную защиту для некоторых функций виртуализации, что не позволяет вредоносным программам покидать песочницу» , но она же может привести к проблемам использования аппаратной виртуализации вообще.
Отключите ее и перезагрузите компьютер.
Кстати, это уже не первый случай, когда Avast препятствовал работе сторонних гипервизоров, причем не только VirtualBox, но и VMware Workstation.
Сброс BIOS
Наконец, причиной проблемы может стать сбой BIOS — не слишком часто встречающееся явление. Если никакие другие способы устранения неполадки не дали положительного результата, попробуйте сбросить BIOS к исходным настройкам.
Hyper-V , родная для систем Windows – в её серверных выпусках, а также в некоторых десктопных версиях и редакциях – среда для работы с виртуальными машинами и их гостевыми ОС не всегда работает без проблем. Одной из таких проблем может быть выскакивающее при запуске виртуальной машины уведомление, что, мол, Hyper-V не удаётся её запустить, поскольку не выполняется некая низкоуровневая оболочка.
Окно с такой ошибкой является универсальной трактовкой, причина может крыться в нескольких вещах.
Системные требования
Если сама Windows не соответствует требованиям для работы с Hyper-V, а десктопные выпуски не все позволяют работать с этим компонентом, он попросту не активируется в системе. Но есть ещё аппаратные требования. Их несоответствие может не влиять на активацию гипервизора, но в дальнейшем стать причиной появления такой ошибки.
Для работы Hyper-V необходимо:
• Не менее 4 Гб RAM;
• 64-битный процессор с поддержкой SLAT и технологии виртуализации.
Хранилище BCD
Рассматриваемая ошибка может говорить о неверной конфигурации данных хранилища BCD . Компонент Hyper-V глубоко интегрирован в Windows и стартует до запуска ядра системы. Если в хранилище BCD вносились изменения для модификации запуска гипервизора, они могут быть неверными. Либо же запуск Hyper-V и вовсе был ранее намеренно отключён с целью временной оптимизации использования ресурсов компьютера. В таком случае конфигурацию BCD в части запуска гипервизора необходимо либо подкорректировать, либо вернуть дефолтное значение путём установки автозапуска Hyper-V. Для установки автозапуска открываем CMD от имени администратора (обязательно) , вводим:
bcdedit /set hypervisorlaunchtype auto
После этого осуществляем перезагрузку.
AMD Bulldozer
Hyper-V не работает с процессорами компании AMD с архитектурой Bulldozer.
Технологии виртуализации
Для обеспечения жизнедеятельности среды виртуализации посредством любого гипервизора процессор должен быть обустроен технологией, обеспечивающей виртуализацию – Intel Virtualization, либо же AMD-V. О поддержке этих технологий можно узнать на страничке спецификаций процессора на сайтах, соответственно, Intel и AMD . И технология виртуализация, естественно, должна быть включена в BIOS .
Ещё один важный нюанс: для процессоров Intel в BIOS должны быть отключены специфические технологии Intel VT-d и Trusted Execution. С ними встроенный в Windows гипервизор не дружит. Вот примерно так должны выглядеть настройки BIOS для работы с Hyper-V: технология виртуализации включена, а специфические технологии – выключены.
В следующих разделах курсив указывает текст пользовательского Интерфейса, который отображается в анализатор соответствия рекомендациям для этой проблемы.
Проблема
низкоуровневая оболочка Windows не запущена.
Влияние
виртуальные машины не могут быть запущены, пока не будет запущена низкоуровневая оболочка Windows.
Решение
проверьте каталог сервера Windows, чтобы узнать, является ли этот сервер полным для запуска Hyper-V. Теперь убедитесь, что в BIOS включена аппаратная виртуализация и предотвращение выполнения данных, обеспечивающее аппаратное обеспечение. Затем проверьте журнал событий гипервизора Hyper-V.
сведения о проверке каталога см. в разделе каталог Windows Server ( ).
Изменение определенных параметров в BIOS компьютера может привести к прекращению загрузки операционной системы компьютером или к тому, что устройства, например жесткие диски, недоступны. Всегда проконсультируйтесь с руководством пользователя компьютера, чтобы определить правильный способ настройки BIOS системы. Кроме того, всегда рекомендуется отследить параметры, которые вы изменяете, и их исходное значение, чтобы при необходимости их можно было восстановить позже. При возникновении проблем после изменения параметров в BIOS системы попробуйте загрузить параметры по умолчанию (параметр обычно доступен в служебной программе настройки BIOS) или обратитесь за помощью к изготовителю компьютера.
Проверка поддержки виртуализации в BIOS или UEFI
Найдите параметры виртуализации и аппаратной защиты, обеспечивающие выполнение данных (DEP), и убедитесь, что они включены. Ниже приведены общие расположения меню для этих параметров в средстве настройки, а также примеры их именования.
Обычно доступен под параметрами основного процессора или производительности. Иногда он находится под параметрами безопасности.
Найдите имена параметров, которые включают "виртуализация" или "технология виртуализации".
Аппаратное обеспечение DEP:
Обычно доступен в параметрах безопасности или памяти.
Найдите имена параметров, которые включают "выполнение", "выполнение" или "предотвращение".
При необходимости включите параметры, следуя инструкциям в средстве настройки. Сохраните изменения и завершите работу.
Если вы внесли изменения, выключите и снова включите питание, чтобы завершить работу.
Рекомендуется выключить и снова включить питание (иногда это называется циклом электропитания), так как изменения не применяются на некоторых компьютерах, пока это не произойдет.
Затем проверьте журнал событий низкоуровневой оболочки Hyper-V. При возникновении проблем вы также сможете проверить системный журнал.
Проверка журналов событий
Откройте журнал событий низкоуровневой оболочки Hyper-V. в области навигации разверните узел журналы приложений и службMicrosoft Windows Hyper-V-гипервизор, а затем выберите пункт операционная.
если Windows низкоуровневая оболочка запущена, дальнейшие действия не требуются. если Windows гипервизор не работает, сделайте следующее:
Откройте системный журнал. (в области навигации разверните узел журналы Windows , а затем выберите пункт система.)
Используйте фильтр для поиска событий гипервизора Hyper-V:
- На панели действия выберите пункт Фильтровать текущий журнал. Для источников событийукажите Hyper-V-гипервизор.
- Найдите события, сообщающие о проблемах. Например, событие с ИДЕНТИФИКАТОРом 41 указывает на проблему с конфигурацией BIOS: "сбой запуска Hyper-V; В BIOS отсутствует или не включено значение VMX. "
См. также
дополнительные сведения об использовании hyper-v на Windows 10, в том числе о том, как проверить, может ли компьютер работать под управлением hyper-v, см. в статье Windows 10 требования к системе hyper-v.
В этой статье помогают решить проблемы, которые возникают при установке Hyper-V роли или запуске Hyper-V виртуальных машин.
Применяется к: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 2762297
Симптомы
Различные симптомы и ошибки:
Проблема 1
- Убедитесь, что процессор физического компьютера имеет поддерживаемую версию виртуализации с аппаратной помощью.
- Убедитесь, что в BIOS физического компьютера включена виртуализация с аппаратным обеспечением и защита от выполнения данных с помощью аппаратного обеспечения. (Если вы редактируете BIOS, чтобы включить любой параметр, необходимо отключить питание на физическом компьютере, а затем включить его обратно. Сброс физического компьютера не является достаточным.)
- Если в хранилище данных конфигурации загрузки внесены изменения, просмотрите эти изменения, чтобы убедиться, что гипервизор настроен на автоматический запуск.
Проблема 2
- Hyper-V невозможно установить, так как поддержка виртуализации не включена в BIOS.
- Hyper-V невозможно установить: не включена профилактика выполнения данных.
- Проверка службы BIOS компьютера имеет поддержку виртуализации и включена защита от выполнения данных.
Выпуск 3
- SR-IOV нельзя использовать на этом компьютере, так как процессор не поддерживает перевод адресов второго уровня (SLAT). Для процессоров Intel эта функция может называться Расширенные таблицы страниц (EPT). Для процессоров AMD эту функцию можно называть быстрой индексацией виртуализации (RVI) или вложенными таблицами страниц (NPT).
- Микросхема в системе не прерывает повторное перенапорку, без которой невозможно поддерживать SR-IOV.
- Микросхема в системе не делает DMA-remapping, без которой SR-IOV не может поддерживаться.
- SR-IOV не может использоваться в этой системе, так как она настроена для отключения использования оборудования для повторного использования I/O.
- Убедитесь, что в системе есть поддержка чипсетов для SR-IOV и включена виртуализация I/O в BIOS.
- Чтобы использовать SR-IOV на этом компьютере, BIOS необходимо обновить, так как он содержит неверные сведения, описывающие возможности оборудования. Обратитесь к производителю компьютера для обновления.
- SR-IOV нельзя использовать в этой системе, так как сообщается, что нет автобуса экспресс-экспресса PCI. Дополнительные сведения обратитесь к производителю системы.
- Чтобы использовать SR-IOV в этой системе, необходимо обновить систему BIOS, чтобы разрешить Windows PCI Express. Обратитесь к производителю системы для обновления.
- SR-IOV нельзя использовать в этой системе, так как оборудование PCI Express не поддерживает службы управления доступом (ACS) в корневом порту. Дополнительные сведения обратитесь к поставщику систем.
Причина
Различные причины, связанные с вопросами, упомянутыми в разделе Симптомы.
Причина проблемы 1
Эта ошибка возникает из-за включения функции Расширения безопасного режима (SMX), доступной в BIOS, и изменения в среде выполнения. Из-за этого гипервизор не загружается.
Причина проблемы 2
Эта ошибка может возникнуть, когда BIOS сообщает, что поддержка виртуализации или защита от выполнения данных не включена, даже если она включена в меню конфигурации BIOS.
Причина проблемы 3
Эти ошибки могут быть вызваны следующими причинами:
- Устаревшая BIOS
- Неправильный параметр BIOS
- Несовместимое оборудование
Решение
Чтобы устранить проблемы, указанные в разделе Symptoms, обратитесь к соответствующему разделу ниже:
Разрешение проблемы 1
Обратитесь к производителю оборудования, чтобы проверить обновление BIOS/firmware и отключить функцию Secure Mode Extensions (SMX) из BIOS.
Разрешение проблемы 2
Обратитесь к производителю оборудования, чтобы проверить обновление BIOS/firmware.
Разрешение проблемы 3
- Убедитесь, что система содержит необходимую поддержку микросхем и поддерживается для возможностей SR-IOV с помощью прошивки.
- Убедитесь, что система обновляется с помощью последнего выпуска прошивки, содержащего поддержку SR-IOV.
- Возможно, потребуется изменить параметры прошивки, чтобы включить VT-d (на платформах Intel) или AMD-Vi (на платформах AMD). Об этом можно сказать несколькими способами, включая "IOMMU", "IO/MMU", "I/O Virtualization" или "SR-IOV support". Наименование параметров прошивки является специфическим для поставщика.
- Некоторые системы могут иметь параметры в двух разных местах в прошивке, которые требуют настройки. Необходимо ознакомиться с документацией производителей оборудования для определенных параметров и оборудования NIC, которое они поддерживают для сетей SR-IOV.
- После изменения параметров BIOS/прошивки может потребоваться перезапустить систему.
Кроме того, обратитесь к Windows Server 2012 для Hyper-V, которые содержат дополнительные сведения о SR-IOV.
Заметки о выпуске: важные проблемы в Windows Server 2012
Читайте также: