ハードウェア支援仮想化がセキュリティの問題になるのはなぜですか?



Why Can Hardware Assisted Virtualization Be Security Issue



解決:

私の調査によると、設定の意味を誤って解釈していることがわかります。たとえば、このスレッドを参照してください。

アバストは、ハードウェア支援仮想化を使用して、より優れたアンチウイルス保護を提供できます。ただし、これにより他のソフトウェアとの互換性の問題が発生する可能性があるため、この機能を無効にするオプションが提供されています。



つまり、「ハードウェア支援仮想化を有効にする」をオフにしても、PCでハードウェア仮想化を無効にするようにアバストに指示しているわけではありません。むしろ、あなたはアバストにハードウェア仮想化機能自体を利用しないように言っています。


理論的には、ハードウェア支援による仮想化により、ハイパーバイザーベースのルートキットが可能になります。ただし、このタイプのマルウェアはすでに非常に高い特権を必要とし、特定の脅威ではありません。さらに、ハードウェア支援仮想化をWindowsで使用して、セキュリティを強化するためにサンドボックスを補完することができます。これはセキュリティの問題ではなく、ある理論上の種類のマルウェアによってオプションで使用される機能です。



ハイパーバイザーは、その下で仮想オペレーティングシステムを実行できるソフトウェアです。つまり、ハイパーバイザーは実際のハードウェアのふりをするため、ハイパーバイザーの下で実行されているオペレーティングシステムはこの事実を認識する必要はありません。ハードウェア支援仮想化(Intelの場合はVT-x、AMDの場合はAMD-Vと呼ばれます)は、ハイパーバイザーが存在しないかのように、ハイパーバイザーをネイティブパフォーマンスで実行できるようにするCPU機能です。

ハードウェア支援仮想化を無効にしてもセキュリティは向上しません。そもそも使用するには非常に高い特権が必要なため、それを使用できるマルウェアはすべて すでに 設定した制限をバイパスできます。そのため、この機能を無効にするアバストのオプションは追加のセキュリティを提供せず、WindowsがHyperVベースのサンドボックスでこの機能を使用できないようにすることで実際にセキュリティを低下させる可能性があります。


あるVMからのデータが別のVMにリークする可能性がある不適切なゲスト分離のため、VTが問題になる可能性があります。影響を受けるCPUおよび考えられる移行アプローチについては、L1TF-L1端末障害を参照してください。これらのコンテナはすべてあなたの管理下にありますが、攻撃ベクトルはかなり理論的です。



しかし 確かに、OS内からVTを無効にすることはできません。アバストアンチウイルスには独自のサンドボックスコンテナがあり、ハードウェアアクセラレーションで実行される場合と実行されない場合があります。これは、起動速度とリソース使用率に影響を与える可能性がありますが、セキュリティに直接的な影響はありません。同様に検索site:forum.avast.com仮想化のヒントは、他のVMとの干渉の可能性を示しています。したがって、他の仮想マシンとの干渉はなく(使用するハイパーバイザーのタイプによって異なります)、BIOSでVTxが有効になっていますが、アバストのハードウェアアクセラレーションを有効にする必要があります。この設定は通常、サンドボックス化されたコンテナにタイプIとタイプIIのハイパーバイザーを使用することに関するものです。