Zabezpečenie založené na virtualizácii je súčasťou systému Windows 10 už roky. Pre mnohých ľudí to preletelo pod radarom, pretože Microsoft to nepresadzoval; so systémom Windows 11 sa to však zmení.
Pozrime sa bližšie na VBS, uvidíme, čo to je a ako ho povoliť a zakázať.
Čo je bezpečnosť založená na virtualizácii (VBS)?
Virtualization-Based Security (VBS) používa Windows Hypervisor na virtuálnu izoláciu segmentu hlavnej pamäte od zvyšku operačného systému. Systém Windows používa túto izolovanú zabezpečenú oblasť pamäte na ukladanie dôležitých bezpečnostných riešení, ako sú okrem iného prihlasovacie poverenia a kód zodpovedný za bezpečnosť systému Windows.
Dôvodom hosťovania bezpečnostných riešení v izolovanej časti pamäte je ochrana riešení pred zneužitím, ktorého cieľom je poraziť tieto ochrany. Malvér sa často zameriava na vstavané bezpečnostné mechanizmy systému Windows, aby získal prístup ku kritickým systémovým zdrojom. Škodlivý kód môže napríklad získať prístup k zdrojom na úrovni jadra tým, že porazí metódy overovania kódu systému Windows.
Súvisiace: Čo je bezpečné prihlásenie do systému Windows 10 a ako ho povolím?
VBS rieši tento problém oddelením bezpečnostných riešení Windows od zvyšku OS. Vďaka tomu je systém Windows bezpečnejší, pretože zraniteľné miesta nemôžu obísť ochrany operačného systému, pretože nemajú prístup k týmto ochrane. Jednou z týchto ochrán je Hypervisor-Enforced Code Integrity (HVCI) alebo Memory Integrity.
HVCI využíva VBS na implementáciu vylepšených kontrol integrity kódu. Tieto kontroly overujú ovládače a programy v režime jadra, aby ste sa uistili, že pochádzajú z dôveryhodných zdrojov. HVCI teda zaisťuje, že sa do pamäte načíta iba dôveryhodný kód.
Stručne povedané, VBS je mechanizmus, pomocou ktorého systém Windows udržiava kritické bezpečnostné riešenia oddelené od všetkého ostatného. V prípade narušenia systému zostanú riešenia a informácie chránené VBS aktívne, pretože škodlivý kód ich nemôže infiltrovať a zakázať/obísť.
Potreba zabezpečenia založeného na virtualizácii v systéme Windows
Aby sme pochopili, že Windows 11 potrebuje VBS, musíme pochopiť hrozby, ktoré má VBS eliminovať. VBS je hlavne mechanizmus na ochranu pred škodlivým kódom, ktorý tradičné bezpečnostné mechanizmy nedokážu zvládnuť.
Inými slovami, cieľom VBS je poraziť malvér v režime jadra.
Súvisiace: Aký je rozdiel medzi malvérom, počítačovými vírusmi a červami?
Jadro je jadrom každého OS. Je to kód, ktorý riadi všetko a umožňuje, aby rôzne hardvérové komponenty spolupracovali. Vo všeobecnosti používateľské programy nebežia v režime jadra. Bežia v užívateľskom režime. Programy v používateľskom režime majú obmedzené možnosti, pretože nemajú zvýšené povolenia. Napríklad program v užívateľskom režime nemôže prepísať virtuálny adresný priestor iného programu a pokaziť jeho činnosť.
Programy v režime jadra, ako už názov napovedá, majú úplný prístup k jadru systému Windows a tým aj úplný prístup k prostriedkom systému Windows. Môžu uskutočňovať systémové volania, pristupovať k dôležitým údajom a pripájať sa k vzdialeným serverom bez akýchkoľvek prekážok.
Stručne povedané, programy v režime jadra majú zvýšené povolenia antivírusové programy. Môžu teda obísť brány firewall a ďalšie ochrany nastavené systémom Windows a aplikáciami tretích strán.
V mnohých prípadoch systém Windows ani nebude vedieť, že existuje škodlivý kód s prístupom na úrovni jadra. Vďaka tomu je detekcia malvéru v režime jadra mimoriadne náročná alebo v niektorých prípadoch dokonca nemožná.
Cieľom VBS je zmeniť to.
Ako bolo uvedené v predchádzajúcej časti, VBS vytvára zabezpečenú oblasť pamäte pomocou Windows Hypervisor. Windows Hypervisor má najvyššiu úroveň povolení v systéme. Môže kontrolovať a vynucovať obmedzenia na systémovej pamäti.
Ak teda malvér v režime jadra zmenil stránky v systémovej pamäti, kontroly integrity kódu využívajú technológiu hypervízor skontroluje pamäťové stránky z hľadiska potenciálneho narušenia integrity vnútri zabezpečenej pamäte regiónu. Len keď kus kódu dostane zelený signál z týchto kontrol integrity, stane sa spustiteľným mimo tejto pamäťovej oblasti.
Stručne povedané, Windows potrebuje VBS, aby okrem riešenia škodlivého kódu v používateľskom režime minimalizoval riziko malvéru v režime jadra.
Ako Windows 11 používa VBS?
Ak sa bližšie pozrieme na hardvérové požiadavky systému Windows 11, vidíme, že väčšina vecí, ktoré spoločnosť Microsoft vyžaduje pre počítač so systémom Windows 11, je potrebná na fungovanie VBS. Spoločnosť Microsoft na svojej webovej lokalite podrobne uvádza hardvér potrebný na fungovanie VBS vrátane:
- 64-bitový procesor s funkciami hardvérovej akcelerácie, ako sú Intel VT-X a AMD-V
- Trusted Platform Module (TPM) 2.0
- UEFI
- Ovládače kompatibilné s Hypervisor-Enforced Code Integrity (HVCI).
Z tohto zoznamu je celkom jasné, že hlavné hardvérové požiadavky systému Windows 11, vrátane procesorov Intel 8. gen. alebo vyššej, slúžia na uľahčenie VBS a funkcií, ktoré umožňuje. Jednou z takýchto funkcií je Hypervisor-Enforced Code Integrity (HVCI).
Pripomeňme, že VBS používa Windows Hypervisor na vytvorenie prostredia virtuálnej pamäte oddeleného od zvyšku OS. Toto prostredie funguje ako koreň dôvery operačného systému. Inými slovami, dôveryhodný je iba kód a bezpečnostné mechanizmy nachádzajúce sa v tomto virtuálnom prostredí. Programy a riešenia nachádzajúce sa mimo, vrátane akéhokoľvek kódu režimu jadra, nie sú dôveryhodné, kým nie sú overené. HVCI je kľúčový komponent, ktorý posilňuje virtuálne prostredie, ktoré VBS vytvára.
Vo vnútri oblasti virtuálnej pamäte HVCI kontroluje kód režimu jadra, či nenarušuje integritu. Spomínaný kód režimu jadra môže alokovať pamäť iba vtedy, ak kód pochádza z dôveryhodného zdroja a ak alokácie nepredstavujú žiadnu hrozbu pre bezpečnosť systému.
Ako vidíte, HVCI je veľká vec. Preto systém Windows 11 túto funkciu predvolene zapína na každom kompatibilnom systéme.
Ako zistiť, či je vo vašom počítači povolená VBS
Microsoft štandardne povoľuje VBS na kompatibilných vopred zostavených a OEM počítačoch so systémom Windows 11. Bohužiaľ, VBS dokáže zvýšiť výkon až o 25%. Ak teda používate Windows 11 a nepotrebujete špičkové zabezpečenie, nezabudnite vypnúť VBS.
Ak chcete skontrolovať, či je na vašom počítači povolená VBS, stlačte tlačidlo Windows kľúč, zadajte „informácie o systéme“ a vyberte príslušný výsledok. Po otvorení aplikácie prejdite nadol Bezpečnosť založená na virtualizácii a skontrolujte, či je povolená.
Ak chcete povoliť/zakázať VBS, stlačte kláves Windows, napíšte „izolácia jadra“ a vyberte príslušný výsledok. V Izolácia jadra sekcia, prepnúť Integrita pamäte Zap./Vyp.
Nakoniec reštartujte počítač.
VBS môže urobiť Windows 11 oveľa bezpečnejším... ale Existujú nevýhody
Veľké bezpečnostné funkcie systému Windows 11, ako je HVCI, sa z dobrého dôvodu vo veľkej miere spoliehajú na VBS. VBS je efektívny spôsob, ako poraziť škodlivý kód a chrániť OS pred narušením bezpečnosti. Ale keďže sa VBS spolieha na virtualizáciu, môže zjesť poriadny kus výkonu vášho systému.
Pre podnikových zákazníkov spoločnosti Microsoft je táto bezpečnostná zmena, aj keď ide o cenu výkonu, samozrejmosťou. Ale pre priemerných ľudí, ktorí chcú rýchly zážitok so systémom Windows, najmä počas hrania, môže byť ťažké prehltnúť náklady na výkon VBS.
Našťastie vám spoločnosť Microsoft umožňuje zakázať VBS na vašom počítači. Nerobte si však starosti so zakázaním VBS. Windows 11 je oveľa bezpečnejší ako Windows 10 aj bez VBS.
Od dôveryhodných podporných modulov až po UEFI Secure Boot, Windows 11 posilní bezpečnostnú hru a prekoná svojho staršieho brata míľovými krokmi.
Prečítajte si ďalej
- Windows
- Windows 11
- Bezpečnosť
- Kyber ochrana
Fawad je spisovateľ na plný úväzok na voľnej nohe. Miluje technológie a jedlo. Keď neje a nepíše o Windowse, hrá videohry alebo sníva o cestovaní.
prihlásiť sa ku odberu noviniek
Pripojte sa k nášmu bulletinu a získajte technické tipy, recenzie, bezplatné e-knihy a exkluzívne ponuky!
Ak sa chcete prihlásiť na odber, kliknite sem