Что такое безопасность на основе виртуализации в Windows?

Безопасность на основе виртуализации уже много лет присутствует в Windows 10. Многие люди не обращали на это внимания, потому что Microsoft не применяла его; однако это изменится в Windows 11.

Давайте подробнее рассмотрим VBS, разберемся, что это такое, а также как его включать и отключать.

Что такое безопасность на основе виртуализации (VBS)?

Безопасность на основе виртуализации (VBS) использует гипервизор Windows для виртуальной изоляции сегмента основной памяти от остальной части операционной системы. Windows использует эту изолированную безопасную область памяти для хранения важных решений безопасности, таких как учетные данные для входа и код, отвечающий за безопасность Windows, среди прочего.

Причина размещения решений безопасности в изолированной части памяти заключается в том, чтобы защитить решения от эксплойтов, направленных на преодоление этих средств защиты. Вредоносное ПО часто нацелено на встроенные механизмы безопасности Windows, чтобы получить доступ к критически важным системным ресурсам. Например, вредоносный код может получить доступ к ресурсам уровня ядра, обойдя методы проверки подлинности кода Windows.

Связанный: Что такое безопасный вход в Windows 10 и как его включить?

VBS решает эту проблему, отделяя решения безопасности Windows от остальной части ОС. Это делает Windows более защищенной, поскольку уязвимости не могут обойти защиту ОС, потому что у них нет доступа к этим средствам защиты. Одной из таких мер защиты является целостность кода, обеспечиваемая гипервизором (HVCI) или целостность памяти.

HVCI использует VBS для реализации расширенных проверок целостности кода. Эти проверки проверяют подлинность драйверов и программ режима ядра, чтобы убедиться, что они получены из надежных источников. Таким образом, HVCI гарантирует, что в память загружается только доверенный код.

Короче говоря, VBS - это механизм, с помощью которого Windows отделяет важные решения безопасности от всего остального. В случае взлома системы решения и информация, защищенные VBS, останутся активными, поскольку вредоносный код не сможет проникнуть и отключить / обойти их.

Потребность в безопасности на основе виртуализации в Windows

Чтобы понять потребность Windows 11 в VBS, мы должны понимать угрозы, которые VBS призван устранить. VBS - это в основном механизм защиты от вредоносного кода, с которым традиционные механизмы безопасности не могут справиться.

Другими словами, VBS стремится победить вредоносное ПО, работающее в режиме ядра.

Связанный: В чем разница между вредоносным ПО, компьютерными вирусами и червями?

Ядро - это ядро ​​любой ОС. Это код, который управляет всем и позволяет различным аппаратным компонентам работать вместе. Как правило, пользовательские программы не работают в режиме ядра. Они работают в пользовательском режиме. Программы пользовательского режима имеют ограниченные возможности, поскольку у них нет повышенных разрешений. Например, программа пользовательского режима не может перезаписывать виртуальное адресное пространство другой программы и нарушать ее работу.

Программы режима ядра, как следует из названия, имеют полный доступ к ядру Windows и, в свою очередь, полный доступ к ресурсам Windows. Они могут без помех выполнять системные вызовы, получать доступ к критически важным данным и подключаться к удаленным серверам.

Короче говоря, программы режима ядра имеют более высокие разрешения, чем даже антивирусные программы. Таким образом, они могут обходить брандмауэры и другие средства защиты, установленные Windows и сторонними приложениями.

Во многих случаях Windows даже не узнает о наличии вредоносного кода с доступом на уровне ядра. Это делает обнаружение вредоносных программ в режиме ядра чрезвычайно трудным, а в некоторых случаях даже невозможным.

VBS стремится изменить это.

Как упоминалось в предыдущем разделе, VBS создает безопасную область памяти с помощью гипервизора Windows. Гипервизор Windows имеет самый высокий уровень разрешений в системе. Он может проверять и применять ограничения на системную память.

Итак, если вредоносная программа в режиме ядра изменила страницы в системной памяти, проверка целостности кода осуществляется с помощью гипервизор проверяет страницы памяти на предмет потенциальных нарушений целостности внутри защищенной памяти область. Только когда фрагмент кода получает зеленый сигнал от этих проверок целостности, он становится исполняемым за пределами этой области памяти.

Короче говоря, Windows нуждается в VBS, чтобы минимизировать риск вредоносных программ режима ядра в дополнение к работе с вредоносным кодом пользовательского режима.

Как в Windows 11 используется VBS?

Если мы внимательно посмотрим на требования к оборудованию Windows 11, мы увидим, что большинство вещей, которые Microsoft требует для ПК с Windows 11, необходимы для работы VBS. Microsoft подробно описывает оборудование, необходимое для работы VBS, на своем веб-сайте, в том числе:

1. 64-разрядный процессор с функциями аппаратного ускорения, такими как Intel VT-X и AMD-V.
2. Доверенный платформенный модуль (TPM) 2.0
3. UEFI
4. Драйверы, совместимые с Hypervisor-Enforcement Code Integrity (HVCI)

Из этого списка совершенно ясно, что основные требования к оборудованию Windows 11, включая процессоры Intel 8-го поколения или выше, призваны облегчить VBS и функции, которые она обеспечивает. Одной из таких функций является целостность кода, обеспечиваемая гипервизором (HVCI).

Напомним, что VBS использует гипервизор Windows для создания среды виртуальной памяти, отдельной от остальной ОС. Эта среда действует как корень доверия ОС. Другими словами, доверяют только коду и механизмам безопасности, находящимся внутри этой виртуальной среды. Внешние программы и решения, включая любой код режима ядра, не считаются доверенными до тех пор, пока они не будут аутентифицированы. HVCI - ключевой компонент, усиливающий виртуальную среду, создаваемую VBS.

Внутри области виртуальной памяти HVCI проверяет код режима ядра на предмет нарушений целостности. Рассматриваемый код режима ядра может выделять память только в том случае, если код взят из надежного источника и если выделения не представляют угрозы для безопасности системы.

Как видите, HVCI - это большое дело. Поэтому Windows 11 включает эту функцию по умолчанию во всех совместимых системах.

Как узнать, включен ли VBS на вашем компьютере

Microsoft по умолчанию включает VBS на совместимых предварительно созданных и OEM-машинах с Windows 11. К сожалению, VBS может увеличить производительность на 25%. Итак, если вы используете Windows 11 и не нуждаетесь в ультрасовременной безопасности, обязательно выключите VBS.

Чтобы проверить, включен ли VBS на вашем компьютере, нажмите Клавиша Windows, введите «системная информация» и выберите соответствующий результат. Когда приложение откроется, прокрутите вниз до Безопасность на основе виртуализации и посмотрите, включен ли он.

Чтобы включить / отключить VBS, нажмите клавишу Windows, введите «изоляция ядра» и выберите соответствующий результат. в Изоляция ядра раздел, переключить Целостность памяти Вкл выкл.

Наконец, перезагрузите компьютер.

VBS может сделать Windows 11 намного безопаснее... но есть недостатки

Большие функции безопасности Windows 11, такие как HVCI, в значительной степени полагаются на VBS, и не зря. VBS - это эффективный способ победить вредоносный код и защитить ОС от нарушений безопасности. Но поскольку VBS полагается на виртуализацию, она может съесть значительную часть производительности вашей системы.

Для корпоративных клиентов Microsoft этот скачок в безопасности, даже когда он достигается за счет производительности, не составляет труда. Но среднестатистическим людям, которым нужна быстрая работа с Windows, особенно во время игр, может быть трудно переварить стоимость производительности VBS.

К счастью, Microsoft позволяет отключить VBS на вашем компьютере. Но не беспокойтесь об отключении VBS. Windows 11 намного безопаснее, чем Windows 10, даже без VBS.

Windows 11 намного безопаснее, чем Windows 10: вот почему

От надежных модулей поддержки до UEFI Secure Boot, Windows 11 повысит безопасность и превзойдет своего старшего брата на много миль.

Читать далее

Об авторе