Zabezpečení založené na virtualizaci je součástí systému Windows 10 již léta. Pro mnoho lidí to proletělo pod radarem, protože to Microsoft nevynucoval; to se však s Windows 11 změní.
Podívejme se blíže na VBS, uvidíme, co to je a jak jej povolit a zakázat.
Co je zabezpečení založené na virtualizaci (VBS)?
Virtualization-Based Security (VBS) používá Windows Hypervisor k virtuální izolaci segmentu hlavní paměti od zbytku operačního systému. Systém Windows používá tuto izolovanou zabezpečenou oblast paměti k ukládání důležitých bezpečnostních řešení, jako jsou mimo jiné přihlašovací údaje a kód odpovědný za zabezpečení systému Windows.
Důvodem hostování bezpečnostních řešení v izolované části paměti je ochrana řešení před zneužitím, jehož cílem je porazit tyto ochrany. Malware se často zaměřuje na vestavěné bezpečnostní mechanismy Windows, aby získal přístup ke kritickým systémovým zdrojům. Škodlivý kód může například získat přístup ke zdrojům na úrovni jádra tím, že porazí metody ověřování kódu systému Windows.
Příbuzný: Co je zabezpečené přihlášení do systému Windows 10 a jak jej povolím?
VBS tento problém řeší oddělením bezpečnostních řešení Windows od zbytku operačního systému. Díky tomu je systém Windows bezpečnější, protože zranitelnosti nemohou obejít ochranu operačního systému, protože k těmto ochranám nemají přístup. Jednou z těchto ochran je Hypervisor-Enforced Code Integrity (HVCI) nebo Memory Integrity.
HVCI využívá VBS k implementaci rozšířených kontrol integrity kódu. Tyto kontroly ověřují ovladače a programy v režimu jádra, aby se ujistily, že pocházejí z důvěryhodných zdrojů. HVCI tedy zajišťuje, že se do paměti nahraje pouze důvěryhodný kód.
Stručně řečeno, VBS je mechanismus, pomocí kterého systém Windows udržuje důležitá bezpečnostní řešení oddělená od všeho ostatního. V případě narušení systému zůstanou řešení a informace chráněné VBS aktivní, protože škodlivý kód je nemůže infiltrovat a zakázat/obejít je.
Potřeba zabezpečení založeného na virtualizaci ve Windows
Abychom pochopili, že Windows 11 potřebuje VBS, musíme porozumět hrozbám, které má VBS eliminovat. VBS je především mechanismus na ochranu před škodlivým kódem, se kterým si tradiční bezpečnostní mechanismy nemohou poradit.
Jinými slovy, VBS má za cíl porazit malware v režimu jádra.
Příbuzný: Jaký je rozdíl mezi malwarem, počítačovými viry a červy?
Jádro je jádrem každého OS. Je to kód, který vše řídí a umožňuje spolupráci různých hardwarových komponent. Obecně platí, že uživatelské programy neběží v režimu jádra. Běží v uživatelském režimu. Programy v uživatelském režimu mají omezené možnosti, protože nemají zvýšená oprávnění. Například program v uživatelském režimu nemůže přepsat virtuální adresní prostor jiného programu a narušit jeho provoz.
Programy v režimu jádra, jak název napovídá, mají plný přístup k jádru Windows a následně plný přístup ke zdrojům Windows. Mohou provádět systémová volání, přistupovat k důležitým datům a připojovat se ke vzdáleným serverům bez jakýchkoli překážek.
Stručně řečeno, programy v režimu jádra mají vyšší oprávnění než dokonce antivirové programy. Mohou tedy obejít brány firewall a další ochrany nastavené systémem Windows a aplikacemi třetích stran.
V mnoha případech systém Windows ani nebude vědět, že existuje škodlivý kód s přístupem na úrovni jádra. Díky tomu je odhalování malwaru v režimu jádra extrémně obtížné nebo v některých případech dokonce nemožné.
VBS to chce změnit.
Jak bylo zmíněno v předchozí části, VBS vytváří zabezpečenou oblast paměti pomocí Windows Hypervisor. Windows Hypervisor má nejvyšší úroveň oprávnění v systému. Může kontrolovat a vynucovat omezení systémové paměti.
Pokud tedy malware v režimu jádra změnil stránky v systémové paměti, kontroly integrity kódu využívají hypervizor prozkoumá paměťové stránky z hlediska potenciálního porušení integrity uvnitř zabezpečené paměti kraj. Pouze když kus kódu přijme zelený signál z těchto kontrol integrity, stane se spustitelným mimo tuto oblast paměti.
Stručně řečeno, systém Windows potřebuje VBS, aby minimalizoval riziko malwaru v režimu jádra a kromě toho se vypořádal se škodlivým kódem v uživatelském režimu.
Jak Windows 11 používá VBS?
Pokud se blíže podíváme na hardwarové požadavky Windows 11, můžeme vidět, že většina věcí, které Microsoft nařizuje pro Windows 11 PC, je potřeba pro fungování VBS. Microsoft na svém webu podrobně popisuje hardware potřebný pro fungování VBS, včetně:
- 64bitový procesor s funkcemi hardwarové akcelerace, jako jsou Intel VT-X a AMD-V
- Trusted Platform Module (TPM) 2.0
- UEFI
- Ovladače kompatibilní s Hypervisor-Enforced Code Integrity (HVCI).
Z tohoto seznamu je zcela zřejmé, že hlavní hardwarové požadavky systému Windows 11, včetně procesorů Intel 8. generace nebo vyšších, jsou zde proto, aby usnadnily VBS a funkce, které umožňuje. Jednou z takových funkcí je Hypervisor-Enforced Code Integrity (HVCI).
Připomeňme, že VBS používá Windows Hypervisor k vytvoření prostředí virtuální paměti oddělené od zbytku operačního systému. Toto prostředí funguje jako kořen důvěry OS. Jinými slovy, důvěryhodný je pouze kód a bezpečnostní mechanismy umístěné uvnitř tohoto virtuálního prostředí. Programy a řešení umístěné mimo, včetně jakéhokoli kódu režimu jádra, nejsou důvěryhodné, dokud nejsou ověřeny. HVCI je klíčová součást, která posiluje virtuální prostředí, které VBS vytváří.
Uvnitř oblasti virtuální paměti HVCI kontroluje kód režimu jádra, zda nenarušuje integritu. Dotčený kód v režimu jádra může alokovat paměť pouze v případě, že kód pochází z důvěryhodného zdroje a pokud alokace nepředstavují žádnou hrozbu pro zabezpečení systému.
Jak vidíte, HVCI je velká věc. Proto systém Windows 11 tuto funkci ve výchozím nastavení zapíná na každém kompatibilním systému.
Jak zjistit, zda je ve vašem počítači povoleno VBS
Microsoft ve výchozím nastavení povoluje VBS na kompatibilních předem sestavených a OEM počítačích s Windows 11. Bohužel, VBS může tankovat výkon až o 25%. Pokud tedy používáte Windows 11 a nepotřebujete špičkové zabezpečení, nezapomeňte VBS vypnout.
Chcete-li zkontrolovat, zda je VBS na vašem počítači povoleno, klepněte na klíč Windows, zadejte „informace o systému“ a vyberte příslušný výsledek. Jakmile se aplikace otevře, přejděte dolů na Zabezpečení založené na virtualizaci a zjistěte, zda je povoleno.
Chcete-li povolit/zakázat VBS, stiskněte klávesu Windows, zadejte „izolace jádra“ a vyberte příslušný výsledek. V Izolace jádra sekce, přepnout Integrita paměti Zapnuto vypnuto.
Nakonec restartujte počítač.
VBS může udělat Windows 11 mnohem bezpečnější... ale Existují nevýhody
Velké bezpečnostní funkce Windows 11, jako je HVCI, z dobrého důvodu silně spoléhají na VBS. VBS je účinný způsob, jak porazit škodlivý kód a chránit operační systém před narušením bezpečnosti. Ale protože VBS spoléhá na virtualizaci, může sníst pořádný kus výkonu vašeho systému.
Pro podnikové zákazníky Microsoftu je tato bezpečnostní změna, i když jde o cenu výkonu, bezpředmětná. Ale pro průměrné lidi, kteří chtějí rychlý zážitek z Windows, zejména při hraní her, může být obtížné spolknout náklady na výkon VBS.
Naštěstí vám Microsoft umožňuje zakázat VBS na vašem počítači. Ale nebojte se deaktivace VBS. Windows 11 je mnohem bezpečnější než Windows 10 i bez VBS.
Od důvěryhodných podpůrných modulů po UEFI Secure Boot, Windows 11 posílí bezpečnostní hru a mílovými kroky předčí svého staršího bratra.
Přečtěte si další
- Okna
- Windows 11
- Bezpečnostní
- Kybernetická bezpečnost
Fawad je spisovatel na plný úvazek na volné noze. Miluje technologie a jídlo. Když nejí a nepíše o Windows, hraje videohry nebo sní o cestování.
Přihlaste se k odběru našeho newsletteru
Připojte se k našemu zpravodaji a získejte technické tipy, recenze, bezplatné e-knihy a exkluzivní nabídky!
Chcete-li se přihlásit k odběru, klikněte sem
