Какво представлява защитата, базирана на виртуализация в Windows?

Защитата, базирана на виртуализация, е функция на Windows 10 от години. Той лети под радара за много хора, защото Microsoft не го прилагаше; обаче това ще се промени с Windows 11.

Нека разгледаме по-отблизо VBS, да видим какво представлява и как да го активираме и деактивираме.

Какво представлява защита, базирана на виртуализация (VBS)?

Базирана на виртуализация сигурност (VBS) използва Windows Hypervisor за виртуално изолиране на сегмент от основната памет от останалата част от операционната система. Windows използва този изолиран, защитен регион на паметта, за да съхранява важни решения за сигурност като идентификационни данни за влизане и код, отговорен за сигурността на Windows, наред с други неща.

Причината да се хостват решения за сигурност в изолирана част от паметта е да се защитят решенията от експлойти, които имат за цел да победят тези защити. Зловредният софтуер често е насочен към вградените механизми за сигурност на Windows, за да получи достъп до критични системни ресурси. Например, злонамереният код може да получи достъп до ресурси на ниво ядро, като побеждава методите за удостоверяване на кода на Windows.

Свързани: Какво е защитен вход в Windows 10 и как да го активирам?

VBS решава този проблем, като отделя решенията за сигурност на Windows от останалата част от операционната система. Това прави Windows по-сигурен, тъй като уязвимостите не могат да заобиколят защитите на ОС, тъй като нямат достъп до тези защити. Една от тези защити е целостта на кода, наложен от хипервизор (HVCI) или целостта на паметта.

HVCI използва VBS за прилагане на подобрени проверки на целостта на кода. Тези проверки удостоверяват автентичността на драйверите и програмите в режим на ядрото, за да се уверят, че идват от надеждни източници. Така че, HVCI гарантира, че само доверен код се зарежда в паметта.

Накратко, VBS е механизъм, чрез който Windows държи критичните решения за сигурност отделно от всичко останало. В случай на пробив в системата решенията и информацията, защитени от VBS, ще останат активни, тъй като злонамереният код не може да ги проникне и деактивира/заобиколи.

Необходимостта от защита, базирана на виртуализация в Windows

За да разберем нуждата на Windows 11 от VBS, трябва да разберем заплахите, които VBS има за цел да елиминира. VBS е основно механизъм за защита срещу злонамерен код, с който традиционните механизми за сигурност не могат да се справят.

С други думи, VBS има за цел да победи зловреден софтуер в режим на ядрото.

Свързани: Каква е разликата между злонамерен софтуер, компютърни вируси и червеи?

Ядрото е ядрото на всяка ОС. Това е кодът, който управлява всичко и позволява на различни хардуерни компоненти да работят заедно. По принцип потребителските програми не се изпълняват в режим на ядрото. Те работят в потребителски режим. Програмите в потребителски режим имат ограничени възможности, тъй като нямат повишени разрешения. Например, програма в потребителски режим не може да презапише виртуалното адресно пространство на друга програма и да се забърка с нейната работа.

Програмите в режим на ядрото, както подсказва името, имат пълен достъп до ядрото на Windows и от своя страна пълен достъп до ресурсите на Windows. Те могат да извършват системни обаждания, да осъществяват достъп до критични данни и да се свързват с отдалечени сървъри без никакви пречки.

Накратко, програмите в режим на ядрото имат повишени разрешения от дори антивирусни програми. Така те могат да заобиколят защитните стени и други защити, създадени от Windows и приложения на трети страни.

В много случаи Windows дори няма да знае, че има злонамерен код с достъп на ниво ядро. Това прави откриването на зловреден софтуер в режим на ядрото изключително трудно или в някои случаи дори невъзможно.

VBS има за цел да промени това.

Както бе споменато в предишния раздел, VBS създава защитен регион на паметта с помощта на Windows Hypervisor. Windows Hypervisor има най-високото ниво на разрешения в системата. Той може да проверява и налага ограничения върху системната памет.

Така че, ако злонамерен софтуер в режим на ядрото е променил страници в системната памет, проверките на целостта на кода се захранват от хипервизорът проверява страниците на паметта за потенциални нарушения на целостта в защитената памет регион. Само когато част от код получи зелен сигнал от тези проверки на целостта, тя се прави изпълнима извън тази област на паметта.

Накратко, Windows се нуждае от VBS, за да сведе до минимум риска от злонамерен софтуер в режим на ядрото в допълнение към справянето със злонамерен код в потребителския режим.

Как Windows 11 използва VBS?

Ако разгледаме отблизо хардуерните изисквания на Windows 11, можем да видим, че повечето неща, които Microsoft изисква за компютър с Windows 11, са необходими, за да работи VBS. Microsoft подробно описва необходимия хардуер, за да може VBS да работи на нейния уебсайт, включително:

1. 64-битов процесор с функции за хардуерно ускорение като Intel VT-X и AMD-V
2. Доверен платформен модул (TPM) 2.0
3. UEFI
4. Драйвери, съвместими с Hypervisor-Enforced Code Integrity (HVCI).

От този списък е съвсем ясно, че основните хардуерни изисквания на Windows 11, включително процесори Intel 8-то поколение или по-нови, са там, за да улеснят VBS и функциите, които позволява. Една такава функция е целостта на кода, наложен от хипервизор (HVCI).

Припомнете си, че VBS използва Windows Hypervisor за изграждане на среда за виртуална памет, отделна от останалата част от операционната система. Тази среда действа като корен на доверие на операционната система. С други думи, има доверие само на кода и механизмите за сигурност, намиращи се в тази виртуална среда. Програми и решения, намиращи се извън, включително код в режим на ядрото, не са надеждни, докато не бъдат удостоверени. HVCI е ключов компонент, който укрепва виртуалната среда, която VBS създава.

В областта на виртуалната памет HVCI проверява кода в режим на ядрото за нарушения на целостта. Въпросният код в режим на ядрото може да разпредели паметта само ако кодът е от доверен източник и ако разпределенията не представляват заплаха за сигурността на системата.

Както можете да видите, HVCI е голяма работа. Следователно Windows 11 включва функцията по подразбиране на всяка съвместима система.

Как да видите дали VBS е активиран на вашия компютър

Microsoft активира VBS на съвместими предварително изградени и OEM машини с Windows 11 по подразбиране. За съжаление, VBS може да намали производителността с цели 25%. Така че, ако използвате Windows 11 и не се нуждаете от авангардна защита, не забравяйте да изключите VBS.

За да проверите дали VBS е активиран на вашия компютър, натиснете Windows ключ, въведете „системна информация“ и изберете съответния резултат. След като приложението се отвори, превъртете надолу до Сигурност, базирана на виртуализация и вижте дали е активиран.

За да активирате/деактивирате VBS, натиснете клавиша Windows, въведете „core isolation“ и изберете съответния резултат. В Изолация на ядрото раздел, превключване Цялост на паметта Вкл./Изкл.

Накрая рестартирайте компютъра си.

VBS може да направи Windows 11 много по-сигурен... но има недостатъци

Големите функции за сигурност на Windows 11, като HVCI, разчитат в голяма степен на VBS, по добра причина. VBS е ефективен начин за побеждаване на злонамерен код и защита на операционната система от пробиви в сигурността. Но тъй като VBS разчита на виртуализацията, може да изяде доста голяма част от производителността на вашата система.

За корпоративните клиенти на Microsoft този удар в сигурността, дори когато става дума за цената на производителността, е безсмислен. Но за обикновените хора, които искат бързо изживяване с Windows, особено по време на игри, цената на производителността на VBS може да бъде трудна за преглъщане.

За щастие, Microsoft ви позволява да деактивирате VBS на вашата машина. Но не се притеснявайте да деактивирате VBS. Windows 11 е много по-сигурен от Windows 10 дори без VBS.

Windows 11 е много по-сигурен от Windows 10: Ето защо

От надеждни модули за поддръжка до UEFI Secure Boot, Windows 11 ще засили играта за сигурност и ще надмине по-големия си брат с километри.

Прочетете Следващото

За автора