Virtualiseerimisel põhinev turvalisus on olnud Windows 10 funktsioon juba aastaid. See lendas paljude inimeste jaoks radari alla, sest Microsoft ei jõustanud seda; see aga muutub koos Windows 11-ga.

Vaatame VBS-i lähemalt, vaatame, mis see on ning kuidas seda lubada ja keelata.

Mis on virtualiseerimisel põhinev turvalisus (VBS)?

Virtualiseerimisel põhinev turvalisus (VBS) kasutab Windows Hypervisorit põhimälu segmendi praktiliselt eraldamiseks ülejäänud operatsioonisüsteemist. Windows kasutab seda isoleeritud turvalist mälupiirkonda oluliste turvalahenduste, näiteks sisselogimismandaatide ja Windowsi turvalisuse eest vastutava koodi salvestamiseks.

Turvalahenduste isoleeritud mäluosas majutamise põhjus on kaitsta lahendusi ärakasutamise eest, mille eesmärk on need kaitsed lüüa. Pahavara sihib sageli Windowsi sisseehitatud turbemehhanisme, et pääseda juurde kriitilistele süsteemiressurssidele. Näiteks võib pahatahtlik kood pääseda juurde kernelitaseme ressurssidele, kui alistab Windowsi koodi autentimismeetodid.

instagram viewer

Seotud: Mis on Windows 10 turvaline sisselogimine ja kuidas seda lubada?

VBS lahendab selle probleemi, eraldades Windowsi turbelahendused ülejäänud OS-ist. See muudab Windowsi turvalisemaks, kuna haavatavused ei saa OS-i kaitsetest mööda minna, kuna neil pole neile kaitsetele juurdepääsu. Üks neist kaitsemeetmetest on Hypervisor-Enforced Code Integrity (HVCI) või mälu terviklikkus.

HVCI kasutab VBS-i täiustatud koodi terviklikkuse kontrollimiseks. Need kontrollid autentivad kernelirežiimis draivereid ja programme, veendumaks, et need pärinevad usaldusväärsetest allikatest. Seega tagab HVCI, et mällu laaditakse ainult usaldusväärne kood.

Lühidalt öeldes on VBS mehhanism, mille abil Windows hoiab kriitilised turbelahendused kõigest muust lahus. Süsteemi rikkumise korral jäävad VBS-iga kaitstud lahendused ja teave aktiivseks, kuna pahatahtlik kood ei saa tungida ega neid keelata/mööda minna.

Vajadus virtualiseerimisel põhineva turvalisuse järele Windowsis

Et mõista Windows 11 vajadust VBS-i järele, peame mõistma ohte, mida VBS-i eesmärk on kõrvaldada. VBS on peamiselt mehhanism, mis kaitseb pahatahtliku koodi eest, millega traditsioonilised turvamehhanismid hakkama ei saa.

Teisisõnu, VBS-i eesmärk on võita kerneli režiimis pahavara.

Seotud: Mis vahe on pahavaral, arvutiviirustel ja ussidel?

Kernel on mis tahes OS-i tuum. See on kood, mis haldab kõike ja võimaldab erinevatel riistvarakomponentidel koos töötada. Üldjuhul ei tööta kasutajaprogrammid kerneli režiimis. Need töötavad kasutajarežiimis. Kasutajarežiimi programmide võimalused on piiratud, kuna neil pole kõrgendatud õigusi. Näiteks ei saa kasutajarežiimi programm teise programmi virtuaalset aadressiruumi üle kirjutada ja selle tööd segada.

Pildi krediit: Microsoft

Kernelirežiimi programmidel, nagu nimigi ütleb, on täielik juurdepääs Windowsi tuumale ja omakorda täielik juurdepääs Windowsi ressurssidele. Nad saavad teha süsteemikõnesid, pääseda juurde kriitilistele andmetele ja luua ühenduse kaugserveritega ilma takistusteta.

Lühidalt öeldes on kernelirežiimi programmidel isegi kõrgemad õigused viirusetõrjeprogrammid. Seega saavad nad mööda minna tulemüüridest ja muudest Windowsi ja kolmandate osapoolte rakenduste seadistatud kaitsetest.

Paljudel juhtudel ei tea Windows isegi tuumataseme juurdepääsuga pahatahtliku koodi olemasolu. See muudab kernelirežiimis pahavara tuvastamise äärmiselt raskeks või mõnel juhul isegi võimatuks.

VBS-i eesmärk on seda muuta.

Nagu eelmises jaotises mainitud, loob VBS Windows Hypervisori abil turvalise mälupiirkonna. Windows Hypervisoril on süsteemi kõrgeim õigustase. See võib kontrollida ja jõustada süsteemimälu piiranguid.

Seega, kui kerneli režiimis pahavara on muutnud lehti süsteemimälus, kontrollib koodi terviklikkust hüperviisor uurib mälulehti võimalike terviklikkuse rikkumiste suhtes turvalises mälus piirkond. Ainult siis, kui koodijupp saab nende terviklikkuse kontrollide kaudu rohelise signaali, muudetakse see käivitatavaks väljaspool seda mälupiirkonda.

Lühidalt öeldes vajab Windows lisaks kasutajarežiimi pahatahtliku koodiga tegelemisele ka VBS-i, et minimeerida kernelirežiimis pahavara riski.

Kuidas Windows 11 VBS-i kasutab?

Kui vaatame tähelepanelikult Windows 11 riistvaranõudeid, näeme, et enamik asju, mida Microsoft Windows 11 arvuti jaoks nõuab, on VBS-i töötamiseks vajalik. Microsoft kirjeldab oma veebisaidil VBS-i töötamiseks vajalikku riistvara, sealhulgas:

  1. 64-bitine protsessor riistvaralise kiirenduse funktsioonidega, nagu Intel VT-X ja AMD-V
  2. Usaldusväärse platvormi moodul (TPM) 2.0
  3. UEFI
  4. Hypervisor-enforced Code Integrity (HVCI) ühilduvad draiverid

Sellest loendist on üsna selge, et Windows 11 peamised riistvaranõuded, sealhulgas Inteli 8. põlvkonna või uuemad protsessorid, on mõeldud VBS-i ja selle lubatavate funktsioonide hõlbustamiseks. Üks selline funktsioon on Hypervisor-Enforced Code Integrity (HVCI).

Tuletage meelde, et VBS kasutab Windows Hypervisorit, et luua ülejäänud OS-ist eraldiseisev virtuaalmälukeskkond. See keskkond toimib OS-i usalduse juurena. Teisisõnu usaldatakse ainult selles virtuaalses keskkonnas asuvat koodi ja turvamehhanisme. Väljas asuvaid programme ja lahendusi, sealhulgas kerneli režiimi koodi, ei usaldata enne, kui need on autentitud. HVCI on võtmekomponent, mis tugevdab VBS-i loodud virtuaalset keskkonda.

Virtuaalse mälu piirkonnas kontrollib HVCI kerneli režiimi koodi terviklikkuse rikkumiste suhtes. Kõnealune kernelirežiimi kood saab eraldada mälu ainult siis, kui kood pärineb usaldusväärsest allikast ja kui eraldamine ei kujuta endast ohtu süsteemi turvalisusele.

Nagu näete, on HVCI suur asi. Seetõttu lülitab Windows 11 selle funktsiooni igas ühilduvas süsteemis vaikimisi sisse.

Kuidas näha, kas teie arvutis on VBS lubatud

Microsoft lubab vaikimisi VBS-i ühilduvates eelehitatud ja OEM-i Windows 11 masinates. Kahjuks suudab VBS jõudlust suurendada kuni 25%. Seega, kui kasutate Windows 11 ja te ei vaja tipptasemel turvalisust, lülitage VBS kindlasti välja.

Kontrollimaks, kas VBS on teie arvutis lubatud, klõpsake nuppu Windowsi võti, tippige "süsteemiteave" ja valige asjakohane tulemus. Kui rakendus avaneb, kerige alla Virtualiseerimisel põhinev turvalisus ja vaadake, kas see on lubatud.

VBS-i lubamiseks/keelamiseks vajutage Windowsi klahvi, tippige "core isolation" ja valige asjakohane tulemus. Aastal Tuum isolatsioon sektsioon, lüliti Mälu terviklikkus Sisse välja.

Lõpuks taaskäivitage arvuti.

VBS võib muuta Windows 11 palju turvalisemaks... kuid on puudusi

Windows 11 suured turvafunktsioonid, nagu HVCI, sõltuvad mõjuval põhjusel suuresti VBS-ist. VBS on tõhus viis pahatahtliku koodi tõrjumiseks ja OS-i kaitsmiseks turvarikkumiste eest. Kuid kuna VBS tugineb virtualiseerimisele, võib see teie süsteemi jõudlusest õiglase osa ära süüa.

Microsofti äriklientide jaoks ei ole see turvaprobleem isegi siis, kui see on jõudluse hinnaga, mõttetu. Kuid tavalistel inimestel, kes soovivad kiiret Windowsi kasutuskogemust, eriti mängude ajal, võib VBS-i jõudluskulusid olla raske alla neelata.

Õnneks lubab Microsoft teil oma arvutis VBS-i keelata. Kuid ärge muretsege VBS-i keelamise pärast. Windows 11 on palju turvalisem kui Windows 10 isegi ilma VBS-ita.

JagaSäutsMeil
Windows 11 on palju turvalisem kui Windows 10: siin on põhjus

Alates usaldusväärsetest tugimoodulitest ja lõpetades UEFI Secure Bootiga – Windows 11 täiustab turvamängu ja edestab oma vanemat venda miili võrra.

Loe edasi

Seotud teemad
  • Windows
  • Windows 11
  • Turvalisus
  • Küberturvalisus
Autori kohta
Fawad Murtaza (Avaldatud 65 artiklit)

Fawad on täiskohaga vabakutseline kirjanik. Ta armastab tehnoloogiat ja toitu. Kui ta ei söö ega kirjuta Windowsist, mängib ta videomänge või unistab reisimisest.

Rohkem Fawad Murtazalt

Liituge meie uudiskirjaga

Liituge meie uudiskirjaga tehniliste näpunäidete, arvustuste, tasuta e-raamatute ja eksklusiivsete pakkumiste saamiseks!

Tellimiseks klõpsake siin