Kaj je varnost, ki temelji na virtualizaciji v sistemu Windows?

Varnost, ki temelji na virtualizaciji, je že leta funkcija v sistemu Windows 10. Marsikomu je letelo pod radar, ker ga Microsoft ni uveljavljal; vendar se bo to z operacijskim sistemom Windows 11 spremenilo.

Oglejmo si podrobneje VBS, poglejmo, kaj je in kako ga omogočiti in onemogočiti.

Kaj je varnost, ki temelji na virtualizaciji (VBS)?

Virtualization-Based Security (VBS) uporablja Windows Hypervisor za praktično izolacijo segmenta glavnega pomnilnika od preostalega operacijskega sistema. Windows uporablja to izolirano, varno območje pomnilnika za shranjevanje pomembnih varnostnih rešitev, kot so poverilnice za prijavo in koda, ki je med drugim odgovorna za varnost sistema Windows.

Razlog za gostovanje varnostnih rešitev v izoliranem delu pomnilnika je zaščita rešitev pred izkoriščanjem, katerih cilj je premagati te zaščite. Zlonamerna programska oprema pogosto cilja na vgrajene varnostne mehanizme sistema Windows za dostop do kritičnih sistemskih virov. Zlonamerna koda lahko na primer pridobi dostop do virov na ravni jedra tako, da premaga metode preverjanja pristnosti kode Windows.

Povezano: Kaj je varna prijava v sistem Windows 10 in kako jo omogočim?

VBS rešuje to težavo tako, da varnostne rešitve Windows loči od preostalega operacijskega sistema. Zaradi tega je Windows bolj varen, saj ranljivosti ne morejo zaobiti zaščite OS, ker nimajo dostopa do teh zaščit. Ena od teh zaščit je integriteta kode, ki jo uveljavlja hipervizor (HVCI) ali integriteta pomnilnika.

HVCI uporablja VBS za izvajanje izboljšanih preverjanj integritete kode. Ti pregledi preverjajo pristnost gonilnikov in programov v načinu jedra, da se prepričajo, da prihajajo iz zaupanja vrednih virov. Tako HVCI zagotavlja, da se v pomnilnik naloži samo zaupanja vredna koda.

Skratka, VBS je mehanizem, s katerim Windows kritične varnostne rešitve hrani ločeno od vsega drugega. V primeru kršitve sistema bodo rešitve in informacije, zaščitene s sistemom VBS, ostale aktivne, saj se zlonamerna koda ne more infiltrirati in onemogočiti/zaobiti.

Potreba po varnosti, ki temelji na virtualizaciji v sistemu Windows

Da bi razumeli potrebo sistema Windows 11 po VBS, moramo razumeti grožnje, ki jih namerava VBS odpraviti. VBS je predvsem mehanizem za zaščito pred zlonamerno kodo, ki je tradicionalni varnostni mehanizmi ne morejo obvladati.

Z drugimi besedami, cilj VBS je premagati zlonamerno programsko opremo v načinu jedra.

Povezano: Kakšna je razlika med zlonamerno programsko opremo, računalniškimi virusi in črvi?

Jedro je jedro vsakega OS. To je koda, ki upravlja vse in omogoča delo različnih komponent strojne opreme. Na splošno se uporabniški programi ne izvajajo v načinu jedra. Delujejo v uporabniškem načinu. Programi v uporabniškem načinu imajo omejene zmogljivosti, saj nimajo povišanih dovoljenj. Program v uporabniškem načinu na primer ne more prepisati navideznega naslovnega prostora drugega programa in zmotiti njegovo delovanje.

Programi v načinu jedra, kot že ime pove, imajo popoln dostop do jedra sistema Windows in posledično popoln dostop do virov sistema Windows. Opravljajo lahko sistemske klice, dostopajo do kritičnih podatkov in se brez ovir povežejo z oddaljenimi strežniki.

Skratka, programi v načinu jedra imajo zvišana dovoljenja kot celo protivirusnih programov. Tako lahko zaobidejo požarne zidove in druge zaščite, ki jih nastavijo Windows in aplikacije drugih proizvajalcev.

V mnogih primerih Windows sploh ne bo vedel, da obstaja zlonamerna koda z dostopom na ravni jedra. Zaradi tega je odkrivanje zlonamerne programske opreme v načinu jedra izjemno težko ali v nekaterih primerih celo nemogoče.

VBS želi to spremeniti.

Kot je bilo omenjeno v prejšnjem razdelku, VBS ustvari varno območje pomnilnika z uporabo Windows Hypervisor. Windows Hypervisor ima najvišjo raven dovoljenj v sistemu. Lahko preveri in uveljavi omejitve sistemskega pomnilnika.

Če je torej zlonamerna programska oprema v načinu jedra spremenila strani v sistemskem pomnilniku, preverja integriteto kode hipervizor pregleda pomnilniške strani glede morebitnih kršitev integritete v varnem pomnilniku regija. Šele ko del kode prejme zeleni signal iz teh preverjanj integritete, se izvede izven tega pomnilniškega območja.

Skratka, Windows potrebuje VBS, da zmanjša tveganje zlonamerne programske opreme v načinu jedra poleg obravnave zlonamerne kode v uporabniškem načinu.

Kako Windows 11 uporablja VBS?

Če natančno pogledamo strojne zahteve sistema Windows 11, lahko vidimo, da je večina stvari, ki jih Microsoft nalaga za računalnik z operacijskim sistemom Windows 11, potrebne za delovanje VBS. Microsoft podrobno opisuje strojno opremo, potrebno za VBS za delo na svojem spletnem mestu, vključno z:

1. 64-bitni CPU s funkcijami strojnega pospeševanja, kot sta Intel VT-X in AMD-V
2. Modul zaupanja vredne platforme (TPM) 2.0
3. UEFI
4. Gonilniki, združljivi s Hypervisor-Enforced Code Integrity (HVCI).

S tega seznama je povsem jasno, da so glavne strojne zahteve sistema Windows 11, vključno s procesorji Intel 8. generacije ali novejšimi, zato, da olajšajo VBS in funkcije, ki jih omogoča. Ena takih funkcij je integriteta kode, ki jo izvaja hipervizor (HVCI).

Spomnimo se, da VBS uporablja Windows Hypervisor za izgradnjo navideznega pomnilniškega okolja, ločenega od preostalega operacijskega sistema. To okolje deluje kot temelj zaupanja OS. Z drugimi besedami, zaupanja vredna sta samo koda in varnostni mehanizmi, ki se nahajajo v tem virtualnem okolju. Programi in rešitve, ki se nahajajo zunaj, vključno s katero koli kodo v načinu jedra, niso zaupanja vredni, dokler niso overjeni. HVCI je ključna komponenta, ki krepi virtualno okolje, ki ga ustvarja VBS.

V območju navideznega pomnilnika HVCI preveri kodo načina jedra za kršitve integritete. Zadevna koda v načinu jedra lahko dodeli pomnilnik le, če je koda iz zaupanja vrednega vira in če dodelitve ne predstavljajo nobene grožnje za varnost sistema.

Kot lahko vidite, je HVCI velika stvar. Zato Windows 11 to funkcijo privzeto vklopi v vsakem združljivem sistemu.

Kako preveriti, ali je VBS omogočen v vašem računalniku

Microsoft privzeto omogoča VBS na združljivih vnaprej izdelanih in OEM napravah z operacijskim sistemom Windows 11. Na žalost lahko VBS zmanjša zmogljivost za kar 25%. Torej, če uporabljate Windows 11 in ne potrebujete vrhunske varnosti, ne pozabite izklopiti VBS.

Če želite preveriti, ali je VBS omogočen na vašem računalniku, pritisnite tipka Windows, vnesite »informacije o sistemu« in izberite ustrezen rezultat. Ko se aplikacija odpre, se pomaknite navzdol do Varnost, ki temelji na virtualizaciji in preverite, ali je omogočeno.

Če želite omogočiti/onemogočiti VBS, pritisnite tipko Windows, vnesite »core isolation« in izberite ustrezen rezultat. V Izolacija jedra razdelek, preklop Celovitost pomnilnika Prižgi ugasni.

Na koncu znova zaženite računalnik.

VBS lahko naredi Windows 11 veliko bolj varen... vendar obstajajo pomanjkljivosti

Velike varnostne funkcije sistema Windows 11, kot je HVCI, se z dobrim razlogom močno zanašajo na VBS. VBS je učinkovit način za premagovanje zlonamerne kode in zaščito OS pred varnostnimi kršitvami. Ker pa se VBS zanaša na virtualizacijo, lahko poje precejšen del zmogljivosti vašega sistema.

Za Microsoftove poslovne stranke je ta varnostni udarec, tudi če gre za ceno zmogljivosti, nesmiseln. Toda za povprečne ljudi, ki želijo hitro izkušnjo z operacijskim sistemom Windows, zlasti med igranjem iger, je stroške zmogljivosti VBS težko pogoltniti.

Na srečo vam Microsoft omogoča, da onemogočite VBS na vašem računalniku. Vendar ne skrbite, da bi onemogočili VBS. Windows 11 je veliko bolj varen kot Windows 10 tudi brez VBS.

Windows 11 je veliko bolj varen kot Windows 10: Evo zakaj

Od zaupanja vrednih podpornih modulov do varnega zagona UEFI bo Windows 11 okrepil varnostno igro in za kilometre presegel svojega starejšega brata.

Preberite Naprej

O avtorju