Uz virtualizāciju balstīta drošība ir bijusi Windows 10 funkcija gadiem ilgi. Daudziem cilvēkiem tas lidoja zem radara, jo Microsoft to nepiespieda; tomēr tas mainīsies ar Windows 11.
Sīkāk apskatīsim VBS, uzzināsim, kas tas ir un kā to iespējot un atspējot.
Kas ir uz virtualizāciju balstīta drošība (VBS)?
Uz virtualizāciju balstītā drošība (VBS) izmanto Windows Hypervisor, lai praktiski izolētu galvenās atmiņas segmentu no pārējās operētājsistēmas. Windows izmanto šo izolēto, drošo atmiņas apgabalu, lai cita starpā saglabātu svarīgus drošības risinājumus, piemēram, pieteikšanās akreditācijas datus un kodu, kas ir atbildīgs par Windows drošību.
Iemesls drošības risinājumu mitināšanai izolētā atmiņas daļā ir aizsargāt risinājumus no izmantošanas, kuru mērķis ir novērst šīs aizsardzības. Ļaunprātīga programmatūra bieži vien ir vērsta uz Windows iebūvētajiem drošības mehānismiem, lai piekļūtu kritiskiem sistēmas resursiem. Piemēram, ļaunprātīgs kods var piekļūt kodola līmeņa resursiem, pārspējot Windows koda autentifikācijas metodes.
Saistīts: Kas ir Windows 10 drošā pierakstīšanās un kā to iespējot?
VBS atrisina šo problēmu, atdalot Windows drošības risinājumus no pārējās OS. Tas padara Windows drošāku, jo ievainojamības nevar apiet OS aizsardzību, jo tām nav piekļuves šai aizsardzībai. Viens no šiem aizsardzības līdzekļiem ir hipervizora nodrošinātā koda integritāte (HVCI) vai atmiņas integritāte.
HVCI izmanto VBS, lai ieviestu uzlabotas koda integritātes pārbaudes. Šīs pārbaudes autentificē kodola režīma draiverus un programmas, lai pārliecinātos, ka tie nāk no uzticamiem avotiem. Tātad HVCI nodrošina, ka atmiņā tiek ielādēts tikai uzticams kods.
Īsāk sakot, VBS ir mehānisms, ar kura palīdzību Windows nošķir kritiskos drošības risinājumus no visa pārējā. Sistēmas pārkāpuma gadījumā risinājumi un informācija, ko aizsargā VBS, paliks aktīvi, jo ļaunprātīgs kods nevar iefiltrēties un tos atspējot/ apiet.
Nepieciešamība pēc virtualizācijas balstītas drošības operētājsistēmā Windows
Lai saprastu Windows 11 nepieciešamību pēc VBS, mums ir jāsaprot draudi, kurus VBS ir paredzēts novērst. VBS galvenokārt ir mehānisms, kas aizsargā pret ļaunprātīgu kodu, ko nevar apstrādāt tradicionālie drošības mehānismi.
Citiem vārdiem sakot, VBS mērķis ir sakaut kodola režīma ļaunprātīgu programmatūru.
Saistīts: Kāda ir atšķirība starp ļaunprātīgu programmatūru, datorvīrusiem un tārpiem?
Kodols ir jebkuras OS kodols. Tas ir kods, kas pārvalda visu un ļauj dažādiem aparatūras komponentiem strādāt kopā. Parasti lietotāju programmas nedarbojas kodola režīmā. Tie darbojas lietotāja režīmā. Lietotāja režīma programmām ir ierobežotas iespējas, jo tām nav paaugstinātu atļauju. Piemēram, lietotāja režīma programma nevar pārrakstīt citas programmas virtuālo adrešu telpu un traucēt tās darbību.
Kodola režīma programmām, kā norāda nosaukums, ir pilna piekļuve Windows kodolam un, savukārt, pilnīga piekļuve Windows resursiem. Viņi var veikt sistēmas zvanus, piekļūt kritiskiem datiem un bez jebkādiem šķēršļiem izveidot savienojumu ar attāliem serveriem.
Īsāk sakot, kodola režīma programmām ir augstākas atļaujas nekā pat pretvīrusu programmas. Tādējādi viņi var apiet ugunsmūrus un citus Windows un trešo pušu lietotņu iestatītos aizsardzības līdzekļus.
Daudzos gadījumos sistēma Windows pat nezinās, ka pastāv ļaunprātīgs kods ar kodola līmeņa piekļuvi. Tas padara kodola režīma ļaunprātīgas programmatūras noteikšanu ārkārtīgi sarežģītu vai dažos gadījumos pat neiespējamu.
VBS mērķis ir to mainīt.
Kā minēts iepriekšējā sadaļā, VBS izveido drošu atmiņas reģionu, izmantojot Windows Hypervisor. Windows Hypervisor sistēmā ir visaugstākais atļauju līmenis. Tas var pārbaudīt un ieviest ierobežojumus sistēmas atmiņai.
Tātad, ja kodola režīma ļaunprātīga programmatūra ir mainījusi lapas sistēmas atmiņā, koda integritātes pārbaudes nodrošina hipervizors pārbauda atmiņas lapas, lai atklātu iespējamos integritātes pārkāpumus drošajā atmiņā novads. Tikai tad, kad koda fragments saņem zaļu signālu no šīm integritātes pārbaudēm, tas tiek padarīts izpildāms ārpus šī atmiņas apgabala.
Īsi sakot, operētājsistēmai Windows ir nepieciešama VBS, lai samazinātu kodola režīma ļaunprātīgas programmatūras risku, kā arī apstrādātu lietotāja režīma ļaunprātīgo kodu.
Kā Windows 11 izmanto VBS?
Ja mēs rūpīgi aplūkojam Windows 11 aparatūras prasības, mēs varam redzēt, ka lielākā daļa lietu, ko Microsoft pieprasa Windows 11 personālajam datoram, ir nepieciešamas, lai VBS darbotos. Microsoft sniedz informāciju par aparatūru, kas nepieciešama, lai VBS darbotos savā vietnē, tostarp:
- 64 bitu centrālais procesors ar aparatūras paātrinājuma funkcijām, piemēram, Intel VT-X un AMD-V
- Uzticamās platformas modulis (TPM) 2.0
- UEFI
- Ar Hypervisor Enforced Code Integrity (HVCI) saderīgi draiveri
No šī saraksta ir pilnīgi skaidrs, ka operētājsistēmas Windows 11 galvenās aparatūras prasības, tostarp Intel 8. paaudzes vai jaunāki CPU, ir paredzētas, lai atvieglotu VBS un tā iespējotās funkcijas. Viena no šādām funkcijām ir hipervizora nodrošinātā koda integritāte (HVCI).
Atcerieties, ka VBS izmanto Windows Hypervisor, lai izveidotu virtuālās atmiņas vidi atsevišķi no pārējās OS. Šī vide darbojas kā OS uzticības sakne. Citiem vārdiem sakot, tiek uzticēts tikai kods un drošības mehānismi, kas atrodas šajā virtuālajā vidē. Programmas un risinājumi, kas atrodas ārpusē, tostarp jebkurš kodola režīma kods, nav uzticami, kamēr tie nav autentificēti. HVCI ir galvenais komponents, kas stiprina VBS izveidoto virtuālo vidi.
Virtuālās atmiņas reģionā HVCI pārbauda kodola režīma kodu, lai konstatētu integritātes pārkāpumus. Attiecīgais kodola režīma kods var piešķirt atmiņu tikai tad, ja kods ir no uzticama avota un ja piešķīrumi neapdraud sistēmas drošību.
Kā redzat, HVCI ir liels darījums. Tāpēc operētājsistēmā Windows 11 šī funkcija pēc noklusējuma tiek ieslēgta katrā saderīgā sistēmā.
Kā redzēt, vai jūsu datorā ir iespējots VBS
Microsoft pēc noklusējuma iespējo VBS saderīgās iepriekš iebūvētās un OEM Windows 11 iekārtās. Diemžēl VBS var palielināt veiktspēju pat par 25%. Tātad, ja izmantojat operētājsistēmu Windows 11 un jums nav nepieciešama visprogresīvākā drošība, noteikti izslēdziet VBS.
Lai pārbaudītu, vai datorā ir iespējots VBS, nospiediet Windows atslēga, ierakstiet “sistēmas informācija” un izvēlieties atbilstošo rezultātu. Kad lietotne tiek atvērta, ritiniet uz leju līdz Uz virtualizāciju balstīta drošība un pārbaudiet, vai tas ir iespējots.
Lai iespējotu/atspējotu VBS, nospiediet Windows taustiņu, ierakstiet “core isolation” un izvēlieties atbilstošo rezultātu. Iekš Kodola izolācija sadaļa, pārslēgt Atmiņas integritāte Ieslēgts Izslēgts.
Visbeidzot, restartējiet datoru.
VBS var padarīt Windows 11 daudz drošāku... bet Ir trūkumi
Windows 11 lielie drošības līdzekļi, piemēram, HVCI, pamatota iemesla dēļ lielā mērā ir atkarīgi no VBS. VBS ir efektīvs veids, kā novērst ļaunprātīgu kodu un aizsargāt OS no drošības pārkāpumiem. Bet, tā kā VBS paļaujas uz virtualizāciju, tas var apēst lielu daļu no jūsu sistēmas veiktspējas.
Microsoft korporatīvajiem klientiem šis drošības satricinājums pat tad, ja tas attiecas uz veiktspējas cenu, ir nenozīmīgs. Bet vidusmēra cilvēkiem, kuri vēlas ātru Windows pieredzi, it īpaši spēļu laikā, VBS veiktspējas izmaksas var būt grūti norītas.
Par laimi, Microsoft ļauj atspējot VBS jūsu datorā. Bet neuztraucieties par VBS atspējošanu. Windows 11 ir daudz drošāka nekā Windows 10 pat bez VBS.
No uzticamiem atbalsta moduļiem līdz UEFI Secure Boot sistēmai Windows 11 pastiprinās drošības spēli un par jūdzēm pārspēs savu vecāko brāli.
Lasiet Tālāk
- Windows
- Windows 11
- Drošība
- Kiberdrošība
Favads ir pilna laika ārštata rakstnieks. Viņam patīk tehnoloģija un ēdiens. Kad viņš neēd un neraksta par Windows, viņš vai nu spēlē videospēles, vai sapņo par ceļošanu.
Abonējiet mūsu biļetenu
Pievienojieties mūsu informatīvajam izdevumam, lai saņemtu tehniskos padomus, pārskatus, bezmaksas e-grāmatas un ekskluzīvus piedāvājumus!
Noklikšķiniet šeit, lai abonētu