In diesem Arbeitspaket wird die Komponente Virtual Secure Mode (VSM) des Microsoft Windows 10 Betriebssystems analysiert und die nutzbaren Kommunikationsschnittstellen sowie Logging- und Konfigurationsmöglichkeiten betrachtet.

• Work Package 6: Virtual Secure Mode (Version 1.0)

Aufgrund der langen Laufzeit dieses Projekts wurde für dieses Arbeitspaket eine Differenz-Analyse zwischen der ursprünglichen Version Windows 10, Build 1607 und Windows 10 Enterprise LTSC 2019 (Build 1809) durchgeführt. Diese Version wird von Microsoft bis 2029 unterstützt. Änderungen haben sich im Wesentlichen im Startverhalten des Hypervisor Loaders sowie in der Anzahl der Dienste im sogenannten „Isolated User Mode" ergeben.

• Download der Differenz-Analyse zu VSM

Inhalt Analysedokument

1 Einleitung
1.1 Zusammenfassung
1.2 Executive Summary
1.3 Konzept und Fachbegriffe
2 Technische Analyse der Funktionalitäten
2.1 VSM Initialisierung
2.2 Kommunikationsschnittstellen
2.2.1 IUM System Calls
2.2.2 Hypercalls
2.2.3 Secure Services
2.2.4 Normal-mode Services
2.2.5 Sicherheitsaspekte
3 Konfigurations- und Loggingmöglichkeiten
3.1 Hardware- und Softwareanforderungen
3.2 Konfigurationsmöglichkeiten
3.2 Loggingmöglichkeiten
Anhang
Literaturverzeichnis
Schlüsselwörter und Abkürzungsverzeichnis

Kurzzusammenfassung der Analyseergebnisse

VSM bezeichnet in Windows 10 eine Technik zur Erstellung und Verwaltung einer sicheren Windows-basierten Umgebung, die von der traditionellen Windows Umgebung isoliert ist. Diese Umgebung wurde entworfen um sicherheitskritische Funktionalität zu betreiben und diese vor Angriffen zu schützen, die von weniger vertrauenswürdigen oder exponierteren Komponenten im Betriebssystem ausgehen. Sicherheitskritische Funktionalität umfasst dabei die Speicherung sensibler Daten und die Ausführung kryptografischer Operationen.

VSM nutzt Hyper-V Virtualisierung als Basis für die implementierte Isolation. Der Hypervisor virtualisiert die System-Hardware und führt eine oder mehrere virtuelle Maschinen aus, die Partitionen genannt werden. Die sogenannte Root-Partition wird für die Verwaltung anderer Partitionen verwendet und bietet diesen Dienste an. Jede Partition wird innerhalb ihrer eigenen Grenzen ausgeführt; Hauptspeicher, Geräte und Central Processing Unit (CPU) sind zwischen den Partitionen durch den Hypervisor isoliert. Dadurch kann eine Partition nicht auf Ressourcen anderer Partitionen zugreifen.

In VSM Umgebungen bietet Hyper-V neben den genannten Partitionen den zusätzlichen Isolationsmechanismus Virtual Trust Level (VTL). Das Konzept der VTLs erzwingt Isolation in den Bereichen Speicherzugriff, Prozessor sowie Interrupts.

Hyper-V implementiert zwei VTLs: VTL 0 und VTL 1. In VTL 0 wird die traditionelle Windows-Umgebung betrieben. Diese Umgebung wird als normal environment und der darin ausgeführte Kernel als normal kernel bezeichnet. In VTL 1 wird die sichere, isolierte Windows-Umgebung für die Ausführung sicherheitskritischer Funktionalität betrieben. Diese Umgebung wird als secure environment, der darin betriebene Kernel als secure kernel bezeichnet. Das secure environment umfasst dabei einen Kernel und die benötigten Treiber sowie eine Userland-Umgebung in welcher dedizierte Anwendungen gestartet und ausgeführt werden können. Die Umgebung ist als Isolated User Mode (IUM) bekannt, die darin ausgeführten Prozesse als Trustlets oder IUM Applikationen.

Eine VSM-basierte Windows-Umgebung implementiert als Kommunikationsschnittstellen IUM System Calls (kann nur durch IUM Anwendungen genutzt werden), Normal-mode Services (auch als „VTL return“ bezeichnet), Secure Services („VTL call“) und Hypercalls. Zusätzlich existiert die klassische, nicht- VSM-spezifische System Call Schnittstelle zwischen Nutzer-Applikationen und normal kernel. Windows 10 implementiert Sicherheitsmechanismen für alle genannten Schnittstellen.

Die VSM Features HVCI und Credential Guard können via Gruppenrichtlinie konfiguriert werden. Die verfügbaren Optionen erlauben unter anderem die Aktivierung und Deaktivierung von HVCI oder Credential Guard.
Windows 10 nutzt das Event Tracing for Windows (ETW) Framework für das Logging VSM-bezogener Ereignisse. Die folgende Tabelle enthält die Namen und Globally Unique Identifiers (GUIDs) der ETW Provider:

ETW Provider	GUID
Microsoft-Windows-IsolatedUserMode	73a33ab2-1966-4999-8add-868c41415269
Microsoft-Windows-Wininit	206f6dea-d3c5-4d10-bc72-989f03c8b84b
Microsoft-Windows-DeviceGuard	f717d024-f5b4-4f03-9ab9-331b2dc38ffb