Sigurnost zasnovana na virtuelizaciji je funkcija Windows 10 godinama. Mnogima je proleteo ispod radara jer ga Microsoft nije sprovodio; međutim, ovo će se promeniti sa Windows 11.
Hajde da bliže pogledamo VBS, da vidimo šta je to i kako da ga omogućimo i onemogućimo.
Šta je bezbednost zasnovana na virtuelizaciji (VBS)?
Sigurnost zasnovana na virtuelizaciji (VBS) koristi Windows hipervizor da virtuelno izoluje segment glavne memorije od ostatka operativnog sistema. Windows koristi ovu izolovanu, bezbednu oblast memorije za skladištenje važnih bezbednosnih rešenja kao što su akreditivi za prijavljivanje i kod odgovoran za bezbednost Windows-a, između ostalog.
Razlog za hostovanje bezbednosnih rešenja unutar izolovanog dela memorije je zaštita rešenja od eksploatacija koje imaju za cilj da pobede ove zaštite. Zlonamerni softver često cilja na ugrađene bezbednosne mehanizme Windows-a da bi dobio pristup kritičnim sistemskim resursima. Na primer, zlonamerni kod može da dobije pristup resursima na nivou kernela tako što će pobediti metode provere autentičnosti Windows koda.
Повезан: Šta je bezbedno prijavljivanje u Windows 10 i kako da ga omogućim?
VBS rešava ovaj problem odvajanjem Windows bezbednosnih rešenja od ostatka operativnog sistema. Ovo čini Windows sigurnijim jer ranjivosti ne mogu zaobići zaštitu OS-a jer nemaju pristup ovim zaštitama. Jedna od ovih zaštita je integritet koda koji sprovodi hipervizor (HVCI) ili integritet memorije.
HVCI koristi VBS za implementaciju poboljšanih provera integriteta koda. Ove provere potvrđuju autentičnost drajvera i programa u režimu jezgra kako bi se uverili da potiču iz pouzdanih izvora. Dakle, HVCI osigurava da se samo pouzdani kod učita u memoriju.
Ukratko, VBS je mehanizam pomoću kojeg Windows drži kritična bezbednosna rešenja odvojena od svega ostalog. U slučaju proboja sistema, rešenja i informacije zaštićene VBS-om će ostati aktivni jer zlonamerni kod ne može da ih infiltrira i onemogući/zaobiđe.
Potreba za bezbednošću zasnovanom na virtuelizaciji u Windows-u
Da bismo razumeli potrebu za VBS-om za Windows 11, moramo razumeti pretnje koje VBS treba da eliminiše. VBS je uglavnom mehanizam za zaštitu od zlonamernog koda koji tradicionalni bezbednosni mehanizmi ne mogu da podnesu.
Drugim rečima, VBS ima za cilj da pobedi malver u režimu jezgra.
Повезан: Koja je razlika između zlonamernog softvera, računarskih virusa i crva?
Kernel je jezgro svakog OS-a. To je kod koji upravlja svime i omogućava različitim hardverskim komponentama da rade zajedno. Generalno, korisnički programi se ne pokreću u režimu kernela. Pokreću se u korisničkom režimu. Programi u korisničkom režimu imaju ograničene mogućnosti jer nemaju povišene dozvole. Na primer, program u korisničkom režimu ne može da prepiše virtuelni adresni prostor drugog programa i da zabrlja njegovim radom.
Programi u režimu jezgra, kao što samo ime kaže, imaju pun pristup Windows kernelu i zauzvrat potpun pristup Vindovs resursima. Oni mogu da upućuju sistemske pozive, pristupaju kritičnim podacima i povezuju se na udaljene servere bez ikakvih prepreka.
Ukratko, programi u režimu jezgra imaju veće dozvole nego čak antivirusni programi. Dakle, oni mogu zaobići zaštitne zidove i druge zaštite koje postavljaju Windows i aplikacije trećih strana.
U mnogim slučajevima, Windows neće ni znati da postoji zlonamerni kod sa pristupom na nivou kernela. Ovo čini otkrivanje malvera u režimu jezgra izuzetno teškim ili, u nekim slučajevima, čak nemogućim.
VBS ima za cilj da ovo promeni.
Kao što je pomenuto u prethodnom odeljku, VBS kreira bezbedno područje memorije pomoću Windows hipervizora. Windows hipervizor ima najviši nivo dozvola u sistemu. Može da proveri i primeni ograničenja sistemske memorije.
Dakle, ako je malver u režimu jezgra izmenio stranice u sistemskoj memoriji, provere integriteta koda omogućavaju hipervizor ispituje memorijske stranice na potencijalne povrede integriteta unutar bezbedne memorije region. Tek kada deo koda dobije zeleni signal od ovih provera integriteta postaje izvršan izvan ovog memorijskog regiona.
Ukratko, Windowsu je potreban VBS da bi minimizirao rizik od zlonamernog softvera u režimu jezgra, pored toga da se bavi zlonamernim kodom u korisničkom režimu.
Kako Windows 11 koristi VBS?
Ako pažljivo pogledamo hardverske zahteve operativnog sistema Windows 11, možemo videti da je većina stvari koje Microsoft obavezuje za Windows 11 računar potrebne da bi VBS radio. Microsoft daje detalje o hardveru potrebnom da VBS radi na svojoj veb lokaciji, uključujući:
- 64-bitni CPU sa karakteristikama hardverskog ubrzanja kao što su Intel VT-X i AMD-V
- Modul pouzdane platforme (TPM) 2.0
- UEFI
- Drajveri kompatibilni sa hipervizorskim integritetom koda (HVCI).
Sa ove liste je sasvim jasno da su glavni hardverski zahtevi operativnog sistema Windows 11, uključujući procesore Intel 8. generacije ili novije, tu da olakšaju VBS i funkcije koje on omogućava. Jedna od takvih karakteristika je Integritet koda koji se sprovodi hipervizorom (HVCI).
Podsetimo se da VBS koristi Windows hipervizor za izgradnju virtuelnog memorijskog okruženja odvojeno od ostatka OS-a. Ovo okruženje deluje kao koren poverenja OS-a. Drugim rečima, veruje se samo kodu i bezbednosnim mehanizmima koji se nalaze unutar ovog virtuelnog okruženja. Програми и решења који се налазе изван, укључујући било који код режима језгра, немају поверења док се не потврде аутентичност. HVCI je ključna komponenta koja jača virtuelno okruženje koje VBS stvara.
Unutar regiona virtuelne memorije, HVCI proverava kod u režimu jezgra da li ima kršenja integriteta. Kod u režimu kernela koji je u pitanju može da dodeli memoriju samo ako je kod iz pouzdanog izvora i ako dodele ne predstavljaju pretnju po bezbednost sistema.
Kao što vidite, HVCI je velika stvar. Stoga Windows 11 podrazumevano uključuje ovu funkciju na svakom kompatibilnom sistemu.
Kako da vidite da li je VBS omogućen na vašem računaru
Microsoft podrazumevano omogućava VBS na kompatibilnim unapred izgrađenim i OEM Windows 11 mašinama. Nažalost, VBS može smanjiti performanse za čak 25%. Dakle, ako koristite Windows 11 i nije vam potrebna najsavremenija bezbednost, obavezno isključite VBS.
Da biste proverili da li je VBS omogućen na vašem računaru, pritisnite Windows taster, otkucajte „informacije o sistemu“ i izaberite odgovarajući rezultat. Kada se aplikacija otvori, pomerite se nadole do Sigurnost zasnovana na virtuelizaciji i vidite da li je omogućeno.
Da biste omogućili/onemogućili VBS, pritisnite taster Windows, otkucajte „core isolation“ i izaberite odgovarajući rezultat. U Core Isolation odeljak, prekidač Integritet memorije On/Off.
Na kraju, ponovo pokrenite računar.
VBS može učiniti Windows 11 mnogo sigurnijim... ali postoje nedostaci
Velike bezbednosne funkcije operativnog sistema Windows 11, kao što je HVCI, u velikoj meri se oslanjaju na VBS, sa dobrim razlogom. VBS je efikasan način da se pobedi zlonamerni kod i zaštiti OS od narušavanja bezbednosti. Ali pošto se VBS oslanja na virtuelizaciju, može pojesti dobar deo performansi vašeg sistema.
Za Microsoft-ove poslovne klijente, ovaj bezbednosni pad, čak i kada se radi o ceni performansi, nije lak. Ali za prosečne ljude koji žele brzo Windows iskustvo, posebno tokom igranja, VBS-ov trošak performansi može biti teško progutati.
Srećom, Microsoft vam omogućava da onemogućite VBS na vašoj mašini. Ali ne brinite o onemogućavanju VBS-a. Windows 11 je mnogo sigurniji od Windowsa 10 čak i bez VBS-a.
Od pouzdanih modula za podršku do UEFI Secure Boot, Windows 11 će pojačati bezbednosnu igru i nadmašiti svog starijeg brata miljama.
Read Next
- Windows
- Windows 11
- Bezbednost
- Cybersecurity
Favad je slobodni pisac sa punim radnim vremenom. Voli tehnologiju i hranu. Kada ne jede ili ne piše o Windows-u, on ili igra video igrice ili sanjari o putovanju.
Pretplatite se na naš bilten
Pridružite se našem biltenu za tehničke savete, recenzije, besplatne e-knjige i ekskluzivne ponude!
Kliknite ovde da biste se pretplatili