Windows 11 כמארח מעבדת בדיקות

  • Windows 11 היא מערכת אירוח מצוינת עבור מעבדות עם Active Directory, Intune, Configuration Manager ו-Microsoft 365.
  • ערכות המעבדה של מיקרוסופט מציעות סביבות וירטואליות מלאות ומוגדרות מראש, מוכנות לפריסה, בדיקה וניהול.
  • ניתן להקים מעבדות מתקדמות לאיתור ניפוי שגיאות בליבת המערכת, פיתוח דרייברים ותרחישי אבטחה התקפיים והגנתיים.
  • בעזרת חומרה צנועה ושיטות עבודה וירטואליזציה טובות, ניתן לשכפל תשתיות ביתיות הדומות מאוד לאלו של חברה.
Lorena Figueredo

13 דקות

Windows 11 כמארח מעבדת בדיקות

הגדר מעבדת בדיקות באמצעות Windows 11 כמערכת הפעלה מארחת זוהי אחת הדרכים המעשיות ביותר ללמוד, לבדוק פריסות ארגוניות ולהתנסות בכלים חדשים מבלי לסכן את סביבת העבודה האמיתית שלכם. בין אם אתם רוצים לשחק עם מכונות וירטואליות לבדיקות חדירה או שהמטרה שלכם היא לדמות תשתית ארגונית שלמה עם Active Directory, Intune, Configuration Manager או Windows IoT, Windows 11 מספק בסיס איתן מאוד לעשות זאת. לקבלת מדריכים מעשיים כיצד להקים מעבדה ביתית, אתם יכולים לעיין ב-[קישור למדריכים רלוונטיים]. להקים מעבדה וירטואלית בבית.

הרעיון פשוט: להשתמש ב-Windows 11 כמארח ולבנות "מיני מרכז נתונים" וירטואלי מעליו. בעזרת בקרי תחום, לקוחות, שרתי יישומים, מעבדות ניפוי שגיאות של מנהלי התקנים או סביבות Microsoft 365 המוכנות לפריצה ללא חשש, תוכלו ליצור סביבה מקיפה להפליא ללימוד, תרגול וניסוי. החל ממדריכים רשמיים וערכות מעבדה של מיקרוסופט, בתוספת כמה טכניקות נוספות לעקיפת מגבלות חומרה מסוימות במכונות צנועות, תוכלו לבנות סביבה מקיפה באמת ללימוד, תרגול וניסוי.

Windows 11 כמארח מעבדה: גישות ומשאבים זמינים

כשאנחנו מדברים על שימוש ב-Windows 11 כמארח מעבדת בדיקות אנחנו משלבים למעשה שלושה רכיבים עיקריים: מערכת המארח עצמה, ההיפר-ויזור (Hyper-V, VMware, VirtualBox וכו'), והתבניות או ערכות המעבדה שנפעיל בתוך המכונות הווירטואליות. מיקרוסופט מציעה מספר סביבות חזקות ומוכנות מראש שתוכננו בדיוק למטרה זו.

אחת המקיפות ביותר היא ערכת מעבדת הפריסה של Windows 11 ו-Microsoft 365.חבילה של מספר קבצים לחילוץ עצמי אשר פורסים באופן אוטומטי סביבת תחום עם תחנות עבודה, שרת Configuration Manager ושער אינטרנט. היא כוללת גרסאות הערכה של:

  • 11 Windows Enterprise (בהתאם למהדורה, 24H2, 25H2 או דומה).
  • שרת Windows (2022 או 2025 בגרסאות האחרונות של הערכות).
  • מנהל התצורה של מיקרוסופט בגרסאות מעודכנות (כגון 2203 או 2409).
  • ADK ו-PE של Windows לצורך בדיקות פריסה.

מעבדת בסיס זו נועדה להתחבר בקלות לשירותי Microsoft 365 במצב ניסיון: רישיונות E5, יישומי Microsoft 365 לעסקים, ו-Office 365 E5 עם Enterprise Mobility + Security (EMS). החלק הכי טוב הוא שהכל מגיע כמעט מוכן לשימוש: דומיין, לקוחות מחוברים, שער אינטרנט ומנהל התצורה שכבר פועל כנקודת ניהול מרכזית.

ערכת כלים חשובה נוספת היא מעבדת ההערכה של Microsoft Endpoint Manager., המתמקד בהוראת כיצד להשתמש במסוף הניהול המאוחד (Intune + Configuration Manager) לניהול אפליקציות Windows 11 ו-Microsoft 365. סביבה זו מבוססת גם על Windows 11 Enterprise, שרת עם Configuration Manager ושירותים המוכנים לשתף פעולה עם Intune ו-Microsoft 365.

בנוסף לערכות הארגוניות הללו, ישנן מעבדות "טכניות" ומעבדות ברמה נמוכה יותר., כמו זה המוקדש לאיתור שגיאות במצב ליבה עם WinDbg ודוגמת מנהל ההתקן KMDF Echo. מעבדה מסוג זה מיועדת למפתחי מנהלי התקנים או מהנדסי אבטחה שרוצים להבין מה קורה בתוך ליבת Windows, כיצד פועלים IRQLs, מחסניות קריאה, תהליכים, הליכים וכו'.

תרחישים שניתן להגדיר ב-Windows 11 כמארח

אחד היתרונות של שימוש ב-Windows 11 כמארח מעבדה היתרון הוא שניתן להגדיר מספר תרחישים שונים מאוד במקביל, מבלי להשפיע על סביבת הייצור. בהתבסס על הערכות והמדריכים הרשמיים, התחומים המעשיים העיקריים המכוסים הם:

1. תכנון והכנת תשתיות לסביבות עסקיותכאן תיכנסו לתחום תשתית שולחן העבודה המודרני. בין היתר, תוכלו להתאמן על:

  • שער ניהול ענן (CMG), כדי לנהל מחשבים מרוחקים דרך האינטרנט מבלי לחשוף ישירות את מנהל התצורה המקומי שלך.
  • התאחדות דיירים וניהול משותףכלומר, כיצד לשלב את ConfigMgr ו-Intune כדי לנהל את אותו התקן.
  • ניתוח נקודות חיבור (Endpoint Analytics), סקירת ביצועים וחוויית משתמש.
  • אופטימיזציה של הפצת עדכוני Windows 11, משחק עם אופטימיזציית מסירה ומדיניות שונות.

2. פריסה המונית של Windows 11באמצעות הסביבה המוגדרת מראש, ניתן לדמות פריסות אופייניות של ארגון:

  • רצפי משימות של הטמעת מערכת הפעלה עם Configuration Manager.
  • תרחישים של טייס אוטומטי של חלונותמרישום מכשירים ועד רישום Azure AD והקצאת פרופילים.

3. תחזוקת המערכת לאחר פריסת Windows 11, נסה שיטות שירות שונות:

  • עדכונים דרך מדיניות קבוצתית (WSUS/GPO).
  • תחזוקה עם Microsoft Intuneהגדרת טבעות עדכון, צירי זמן וחלונות הפעלה מחדש.
  • תחזוקה עם מנהל התצורהניהול אוספים, קבוצות עדכון וניטור.

4. ניהול מכשירים ויישומים באמצעות Intune, כולל:

  • ניהול מכשירים של Windows 11 עם פרופילי תצורה, סקריפטים ומדיניות.
  • ניהול דינמי בהתבסס על תכונות המשתמש והמכשיר.
  • הפצה של יישומי Win32 באמצעות אינטון.
  • תרחישים של סיוע מרחוק למשתמשים.

5. פריסה ותחזוקה של יישומי Microsoft 365 לעסקים, הן במחשבים המחוברים לתחום והן במכשירי AD היברידיים או לא קלאסיים:

  • יישומים מנוהל בענן מ-Intune.
  • יישומים מנוהל מקומית עם מנהל התצורה.
  • התקנות על מכשירים שאינם מחוברים ל-AD אך מנוהלים.
  • תחזוקת אפליקציות עם שתי הפלטפורמות.
  • הפצה של יישומי צוותים וקו עסקי (LOB).
  • שימוש מסנני הקצאה לפלח פריסות.

6. ניהול Microsoft Edge בסביבות עסקיות:

  • פריסה ועדכון מבוקרים של דפדפנים.
  • תצורה מצב אינטרנט אקספלורר (מצב IE) עבור אפליקציות מדור קודם.
  • התאמה אישית של דף כרטיסייה חדשה של החברה.

7. אבטחה ותאימותהיכן שהדברים נהיים מעניינים עבור קבוצות אדומות וקבוצות אבטחה הגנתיות:

  • תצורה ובדיקה של BitLocker.
  • הנהלה אנטי-וירוס של Microsoft Defender והמדיניות שלה.
  • פריסה של חלונות שלום לעסקים.
  • הפעלת משמר אישורים והגנות אישורים אחרות.
  • בדיקות של Microsoft Defender Application Guard, בקרת יישומים והגנה מפני פגיעויות.
  • אינטגרציה עם Microsoft Defender עבור נקודות קצה בסביבות בדיקה.

מעבדות ניפוי שגיאות ופיתוח של מנהלי התקנים של Windows 11

Windows 11 כמארח מעבדת בדיקות

מעבר לתחום "ה-IT הארגוני", Windows 11 כמארח מאפשר הגדרת מעבדות ניפוי באגים במצב ליבה. שהם זהב טהור עבור מפתחי מנהלי התקנים ואנליסטים של אבטחה. מעבדה טיפוסית מסוג זה מבוססת על שתי מכונות Windows 11: מכונה מארחת ומכונת יעד, המחוברות באמצעות רשת Ethernet לצורך סשן ניפוי השגיאות.

מעבדת דוגמה של WinDbg לאיתור ניפוי שגיאות בליבת הקרנל עם מנהל התקן KMDF Echo זה מתמקד בהוראה, שלב אחר שלב, כיצד לעבוד עם:

  • פקודות בסיסיות של ניפוי באגים ב-Windows (WinDbg).
  • פקודות סטנדרטיות על מחסניות קריאה, IRQLs, הליכים ותהליכים.
  • פקודות מתקדמות ספציפיות למנהל התקן (פקודות מסוג !extensión).
  • שימוש נכון בסמלים ובקבצי PDB.
  • הקמה וניהול של נקודות עצירה בזמן אמת.
  • ויזואליזציה של עצי התקנים מסוג Plug and Play, מודולים טעונים וכו'.

כדי להגדיר סביבה זו, חומרת המעבדה המינימלית כוללת:

  • מחשב מארח עם Windows 11.
  • מחשב יעד שני (או מכונה וירטואלית) שגם בו פועל Windows 11.
  • מתג או נתב פשוט וכבלי Ethernet.
  • גישה לאינטרנט להורדת סמלים וכלים.

ברמת התוכנה במארח שאתה צריך Visual Studio, ‏SDK של Windows 11, ‏WDK ומנהל ההתקן לדוגמה של Echo עבור Windows 11. בעזרתם, תוכלו להוריד את הקוד מ-GitHub, לקמפל אותו, לחתום עליו במצב בדיקה ולפרוס אותו למחשב היעד, שם תתקינו אותו לאחר מכן באמצעות כלים כמו DevCon.

תהליך העבודה האופייני במעבדה זו כולל מספר שלבים מוסבר היטב במדריכים:

  • קבע את תצורת ניפוי שגיאות בליבת הרשת באמצעות KDNET, רישום כתובת ה-IP של המארח והפעלת ניפוי שגיאות ב-BCD של מכונת היעד.
  • הפעל את WinDbg על המארח עם מחרוזת החיבור המתאימה (-k net:port=...,key=...), המתן עד שהיעד יופעל מחדש וליצירת החיבור.
  • למד כיצד להשתמש בחלון הפקודות WinDbg, שבו מוזנות פקודות ומוצגות הפלט.
  • נסה פקודות כמו vertarget, lm, lm v, x, !lmi, !dhוכו', כדי לבדוק את המערכת.
  • הגדר נתיבי סמלים עם .symfix y .sympath+ולהטעין עם .reload /f כדי לקבל מידע מלא על ניפוי שגיאות.

לאחר התקנת מנהל ההתקן של Echo במחשב היעד (הכנת המערכת לקבלת מנהלי התקנים לבדיקה, התקנת האישור, שימוש devcon install echo.inf root\ECHO (ואימות ההתקן במנהל ההתקנים), ואז ניפוי שגיאות אמיתי נכנס לתמונה: הגדרת נקודות עצירה בפונקציות כגון EchoEvtDeviceAdd o EchoEvtIoWriteהפעל את יישום הבדיקה EchoApp.exe ולצפות בזרימת הביצוע במצב ליבה. עבור טכניקות ניתוח איומים ברמה נמוכה, מומלץ לעיין במדריכים כיצד לזהות רוטקיטים בעזרת RootkitRevealer.

המדריך מכסה היבטים מרכזיים כגון:

  • שימוש בנקודות עצירה bp, bu, bm ונקודות שבירה של נתונים ba.
  • ניווט בקוד המקור כאשר מצב מקור מופעל ותצורה של .srcpath.
  • ויזואליזציה של משתנים מקומיים וגלובליים באמצעות dv וחלונות סביבה מקומית.
  • חקר מחסנית קריאות עם kb, kp o kn.
  • בדיקת תהליכים וחוטים בעזרת !process, !thread ושינוי ההקשר עם .thread.
  • אימות IRQL עם !irql ורשומות עם r.

Windows 11 על חומרה צנועה: דילוג על בדיקות מעבדה

לא לכולם יש שרת עם 128 ג'יגה-בייט של זיכרון RAM בבית.ועדיין ניתן להשתמש ב-Windows 11 כמארח מעבדה במחשבים הרבה פחות חזקים. במחשבים ישנים יותר או מיני-PC עם מעבדים צנועים וזיכרון מוגבל, ייתכן שתוכנית ההתקנה של Windows 11 לא תעמוד בדרישות כגון TPM, זיכרון RAM מינימלי או אתחול מאובטח.

חלק מהחובבים הקדישו את עצמם להתעסק בדיוק עם החלק הזה, שינוי הרישום שהמתקין טוען לזיכרון בעת ​​אתחול מה-USB כדי להחיל סדרה של "עקיפות" על בדיקות אלו:

  • מעקף TPA (קשור לדרישות הפלטפורמה).
  • עקיפת בדיקת RAM, כדי להפחית את הזיכרון המינימלי הנדרש.
  • עקיפת בדיקת אתחול מאובטח, להתגבר על הצורך בהתחלה בטוחה.

בעזרת שינויים אלה, ניתן להתקין את Windows 11 על מכשירים בסיסיים למדי.כגון כוננים קשיחים משרדיים ישנים יותר או מחשבים ניידים פשוטים. למרות זאת, ישנן אזהרות ברורות: אל תשתמשו באותו דיסק כמו מערכת העבודה שלכם, הגבילו סוגים אלה של התקנות למטרות חינוכיות ובדיקות, ואל תסתמכו על סביבה זו למשימות קריטיות עד שהיא מורשית ותוקנת כראוי. יתר על כן, מומלץ לדעת כיצד הגדרת שלמות זיכרון והגנות אחרות לפני שמפעילים כל תמונה לייצור.

עבור מעבדה עם מארח Windows 11 ומכונות וירטואליות מרובותבאופן אידיאלי, תרצו מחשב עם 16 ג'יגה-בייט של זיכרון RAM או יותר, כונן SSD סביר, ואם אפשר, תמיכה בווירטואליזציה של חומרה מופעלת ב-BIOS. משם, זה רק עניין של הקצאת משאבים בין המארח למכונות הווירטואליות בהתאם למה שאתם מתכוונים לעשות.

יצירת המעבדה: היפר-ויזור, מכונות וירטואליות ושיטות עבודה מומלצות

עם Windows 11 כמארח, יש לך מספר אפשרויות לווירטואליזציה.Hyper-V (כלול במהדורות Pro/Enterprise), VMware Workstation או Player, ו-Oracle VirtualBox. לכל אחד מהם ניואנסים משלו, אך הגישה הכללית דומה: מכונה וירטואלית אחת לכל תפקיד (בקר, לקוח, שרת SQL וכו'), ואם אתם רוצים לפשט את הדברים, השתמשו במכונות הווירטואליות שמגיעות מוגדרות מראש בערכות המעבדה של מיקרוסופט.

במקרה מעבדה "מעורב" טיפוסי עם שני מכונות וירטואליות (אחד עבור Windows ואחד עבור Linux), הגישה הנבונה ביותר היא להקצות כמות סבירה של RAM ו-CPU למארח של Windows 11 כדי לשמור על ביצועים חלקים, ולחלק את השאר בין המכונות הווירטואליות. לדוגמה, במחשב עם 32 ג'יגה-בייט של RAM, ניתן להקצות 8-10 ג'יגה-בייט למארח ו-10-12 ג'יגה-בייט לכל מכונה וירטואלית, תוך התאמה בהתאם לעומס. במעבדים מרובי ליבות, שמירת 2-4 ליבות למארח והשאר למכונות הווירטואליות בדרך כלל עובדת די טוב.

בנוגע לתוכנת וירטואליזציה עבור מעבדות בדיקה עם Windows 11:

  • Hyper-V זה אידיאלי אם אתם רוצים להתקרב למה שמשתמשים בו בחברות רבות ולעקוב אחר המדריכים של מיקרוסופט בדיוק, במיוחד עבור ערכות Windows 11 + Microsoft 365 או Windows IoT Enterprise.
  • VMware זה נשאר נוח מאוד למי שכבר מכיר את זה ומשתלב היטב עם תמונות בזק ורשתות וירטואליות מתקדמות יותר.
  • VirtualBox זוהי אפשרות חינמית פופולרית מאוד להתחיל ולהתנסות, שמספיקה לרוב תרחישי הלמידה.

נקודה מעניינת היא מקורות ההתקנה עבור מכונות וירטואליות של Windows.במחשב מארח שמגיע עם Windows 11 מותקן מראש, ניתן ליצור כונן שחזור USB, אך זה לא תמיד המקור הטוב ביותר להתקנת מכונה וירטואלית. הגישה הנקייה ביותר היא בדרך כלל להוריד תמונות ISO רשמיות או לשימוש פנימי (Windows 11, Windows Server, Windows 11 IoT Enterprise LTSC) ממרכז ההערכה או פורטלים של רישוי ולהשתמש בקבצי ISO אלה ישירות כמדיית התקנה על ההיפר-ויזור.

עבור Windows IoT Enterprise, לדוגמה, הזרימה הבסיסית כוללת הכינו מחשב טכני עם Windows 11, התקינו את ה-ADK וכלי הפריסה, הכינו את קובץ ה-ISO של IoT Enterprise LTSC וצרו מדיית התקנה (USB או ISO המשויך למכונה וירטואלית). לאחר מכן, אתחלו את התקן הייחוס, בצעו התקנה סטנדרטית של Windows, עברו דרך שלב ה-OOBE והיכנסו למצב ביקורת. Ctrl+Shift+F3 כדי להיות מסוגל להתאים אישית את התמונה באמצעות Sysprep.

אם הקטע שלך הוא בדיקות חדירה או אבטחה התקפיתWindows 11 כמארח משמש כבסיס להגדרת תחום Windows Server 2022/2025, הוספת תחנת עבודה אחת או יותר של Windows 11 אליו, ולאחר מכן השחתתו "בכוונה" באמצעות פרויקטים כמו BadBlood.

הרעיון פשוט: ראשית עליך להגדיר בקר תחום עם Windows Server., אתה יוצר את הדומיין (לדוגמה, thehackerway.localלאחר מכן עליך להגדיר תחנת עבודה וירטואלית של Windows 11 שמצביעה על כתובת ה-IP של ה-DC כשרת ה-DNS שלה. מתחנת עבודה זו:

  • אתה משנה את שם הקבוצה עם שם ברור, כמו תחנת עבודה THW.
  • אתה מגדיר את כרטיס הרשת לשימוש בכתובת ה-IP של ה-DC כ-DNS.
  • אתה משתמש באשף "הצטרף התקן זה לתחום Active Directory מקומי" כדי להוסיף אותו לתחום.
  • אתה בודק ב"משתמשי Active Directory ומחשבים" שהמכונה מופיעה תחת הגורם המכיל "מחשבים".

לאחר שהדומיין וכמה לקוחות פועליםהיכנסו ל-BadBlood, סקריפט PowerShell שממלא את Active Directory באובייקטים אקראיים (משתמשים, מחשבים, OUs, קבוצות, רשימות ACL עם תצורות לא מאובטחות וכו') ומדמה סביבה עסקית "אמיתית", אך כזו רוויה בשיטות עבודה רעות. הוא מושלם לבדיקת וזיהוי התקפות.

התהליך, באופן כללי, מורכב מ:

  • העתק את הסקריפט Invoke-BadBlood.ps1 לבקר התחום.
  • פתח את PowerShell כמנהל, הרפה את מדיניות הביצוע עם Set-ExecutionPolicy unrestricted.
  • הפעל את הסקריפט, קבל את האזהרות וכתוב badblood כאשר יתבקש.
  • המתן בסבלנות בזמן שהדומיין מאוכלס במאות אובייקטים ותצורות פגיעים.

חשוב לציין ש-BadBlood אינו מציע מנגנון לביטול שינויים.לכן, מומלץ ליצור תמונת מצב של המכונה הווירטואלית של ה-DC לפני הפעלתה. כך, תוכלו לחזור למצב הקודם לאחר השלמת בדיקות החדירה או הליכי ההקשחה.

עם מעבדה מסוג זה המוגדרת על Windows 11 כמארחניתן לתרגל התקפות Kerberos, הסלמת הרשאות AD, ספירה של אובייקטים לא בטוחים, ובמקביל, לבדוק כיצד מגיבים כלי הגנה כמו Microsoft Defender for Endpoint, מדיניות אבטחה של Intune, הגבלות ביצוע וכו'.

בסופו של דבר, השתמשנו ב-Windows 11 כמערכת הפעלה מארחת עבור המעבדה. זה מאפשר לך לשכפל בבית (או בסביבה מבוקרת) רבים מהתרחישים שאתה מוצא בעסקים: פריסות ענק עם Configuration Manager ו-Autopilot, שימוש ב-Microsoft 365 E5, Edge מנוהל, Windows IoT, פיתוח וניפוי שגיאות ברמה נמוכה של מנהלי התקנים, ותחומים שלמים של Active Directory מוכנים לתקיפה או לחיסכון. עם חומרה טובה, קצת סבלנות וערכות המעבדה של מיקרוסופט, אתה יכול להפוך מחשב Windows 11 פשוט ל"מפעל" למידה טכנית אמיתי.

תוכנת גיבוי
Artaculo relacionado:
כיצד להקים מעבדה וירטואלית בבית ליצירת רשת ואבטחה