Η ασφάλεια που βασίζεται στην εικονικοποίηση είναι μια δυνατότητα στα Windows 10 εδώ και χρόνια. Πέταξε κάτω από το ραντάρ για πολλούς ανθρώπους επειδή η Microsoft δεν το επέβαλλε. Ωστόσο, αυτό πρόκειται να αλλάξει με τα Windows 11.
Ας ρίξουμε μια πιο προσεκτική ματιά στο VBS, να δούμε τι είναι και πώς να το ενεργοποιήσετε και να το απενεργοποιήσετε.
Τι είναι η ασφάλεια που βασίζεται στην εικονικοποίηση (VBS);
Virtualization-based Security (VBS) χρησιμοποιεί το Windows Hypervisor για να απομονώσει εικονικά ένα τμήμα της κύριας μνήμης από το υπόλοιπο λειτουργικό σύστημα. Τα Windows χρησιμοποιούν αυτήν την απομονωμένη, ασφαλή περιοχή της μνήμης για την αποθήκευση σημαντικών λύσεων ασφαλείας, όπως τα διαπιστευτήρια σύνδεσης και τον κώδικα που είναι υπεύθυνος για την ασφάλεια των Windows, μεταξύ άλλων.
Ο λόγος για τη φιλοξενία λύσεων ασφαλείας μέσα σε ένα απομονωμένο τμήμα της μνήμης είναι η προστασία των λύσεων από εκμεταλλεύσεις που στοχεύουν στην εξάλειψη αυτών των προστασιών. Το κακόβουλο λογισμικό στοχεύει συχνά τους ενσωματωμένους μηχανισμούς ασφαλείας των Windows για να αποκτήσει πρόσβαση σε σημαντικούς πόρους του συστήματος. Για παράδειγμα, ο κακόβουλος κώδικας μπορεί να αποκτήσει πρόσβαση σε πόρους σε επίπεδο πυρήνα νικώντας τις μεθόδους ελέγχου ταυτότητας κώδικα των Windows.
Σχετίζεται με: Τι είναι η ασφαλής είσοδος στα Windows 10 και πώς μπορώ να την ενεργοποιήσω;
Το VBS επιλύει αυτό το πρόβλημα διαχωρίζοντας τις λύσεις ασφαλείας των Windows από το υπόλοιπο λειτουργικό σύστημα. Αυτό καθιστά τα Windows πιο ασφαλή, καθώς τα τρωτά σημεία δεν μπορούν να παρακάμψουν τις προστασίες του λειτουργικού συστήματος επειδή δεν έχουν πρόσβαση σε αυτές τις προστασίες. Μία από αυτές τις προστασίες είναι η Ακεραιότητα Κώδικα που Επιβάλλεται από Υπερβλέποντα (HVCI) ή Ακεραιότητα Μνήμης.
Το HVCI αξιοποιεί το VBS για την εφαρμογή βελτιωμένων ελέγχων ακεραιότητας κώδικα. Αυτοί οι έλεγχοι ελέγχουν την ταυτότητα προγραμμάτων οδήγησης και προγραμμάτων λειτουργίας πυρήνα για να βεβαιωθούν ότι προέρχονται από αξιόπιστες πηγές. Έτσι, το HVCI διασφαλίζει ότι μόνο αξιόπιστος κώδικας φορτώνεται στη μνήμη.
Εν ολίγοις, το VBS είναι ένας μηχανισμός με τον οποίο τα Windows διατηρούν κρίσιμες λύσεις ασφαλείας ξεχωριστές από οτιδήποτε άλλο. Σε περίπτωση παραβίασης συστήματος, οι λύσεις και οι πληροφορίες που προστατεύονται από το VBS θα παραμείνουν ενεργές, καθώς κακόβουλος κώδικας δεν μπορεί να διεισδύσει και να τις απενεργοποιήσει/παρακάμψει.
Η ανάγκη για ασφάλεια βασισμένη σε εικονικοποίηση στα Windows
Για να κατανοήσουμε την ανάγκη των Windows 11 για VBS, πρέπει να κατανοήσουμε τις απειλές που έχει σκοπό να εξαλείψει το VBS. Το VBS είναι κυρίως ένας μηχανισμός προστασίας από κακόβουλο κώδικα που οι παραδοσιακοί μηχανισμοί ασφαλείας δεν μπορούν να χειριστούν.
Με άλλα λόγια, το VBS στοχεύει να νικήσει το κακόβουλο λογισμικό λειτουργίας πυρήνα.
Σχετίζεται με: Ποια είναι η διαφορά μεταξύ κακόβουλου λογισμικού, ιών υπολογιστών και σκουληκιών;
Ο πυρήνας είναι ο πυρήνας οποιουδήποτε λειτουργικού συστήματος. Είναι ο κώδικας που διαχειρίζεται τα πάντα και επιτρέπει σε διαφορετικά στοιχεία υλικού να συνεργάζονται. Γενικά, τα προγράμματα χρήστη δεν εκτελούνται σε λειτουργία πυρήνα. Εκτελούνται σε λειτουργία χρήστη. Τα προγράμματα λειτουργίας χρήστη έχουν περιορισμένες δυνατότητες, καθώς δεν έχουν αυξημένα δικαιώματα. Για παράδειγμα, ένα πρόγραμμα σε λειτουργία χρήστη δεν μπορεί να αντικαταστήσει τον εικονικό χώρο διευθύνσεων ενός άλλου προγράμματος και να ανακατέψει τη λειτουργία του.
Τα προγράμματα λειτουργίας πυρήνα, όπως υποδηλώνει το όνομα, έχουν πλήρη πρόσβαση στον πυρήνα των Windows και με τη σειρά τους πλήρη πρόσβαση στους πόρους των Windows. Μπορούν να πραγματοποιούν κλήσεις συστήματος, να έχουν πρόσβαση σε κρίσιμα δεδομένα και να συνδέονται σε απομακρυσμένους διακομιστές χωρίς κανένα εμπόδιο.
Εν ολίγοις, τα προγράμματα λειτουργίας πυρήνα έχουν αυξημένα δικαιώματα παρά ακόμη προγράμματα προστασίας από ιούς. Έτσι, μπορούν να παρακάμψουν τα τείχη προστασίας και άλλες προστασίες που έχουν δημιουργηθεί από Windows και εφαρμογές τρίτων.
Σε πολλές περιπτώσεις, τα Windows δεν γνωρίζουν καν ότι υπάρχει κακόβουλος κώδικας με πρόσβαση σε επίπεδο πυρήνα. Αυτό καθιστά τον εντοπισμό κακόβουλου λογισμικού σε λειτουργία πυρήνα εξαιρετικά δύσκολο ή, σε ορισμένες περιπτώσεις, ακόμη και αδύνατη.
Η VBS στοχεύει να αλλάξει αυτό.
Όπως αναφέρθηκε στην προηγούμενη ενότητα, το VBS δημιουργεί μια ασφαλή περιοχή μνήμης χρησιμοποιώντας το Windows Hypervisor. Το Windows Hypervisor έχει το υψηλότερο επίπεδο δικαιωμάτων στο σύστημα. Μπορεί να ελέγξει και να επιβάλει περιορισμούς στη μνήμη του συστήματος.
Έτσι, εάν ένα κακόβουλο λογισμικό λειτουργίας πυρήνα έχει τροποποιήσει σελίδες στη μνήμη του συστήματος, οι έλεγχοι ακεραιότητας κώδικα υποστηρίζονται από ο hypervisor εξετάζει τις σελίδες μνήμης για πιθανές παραβιάσεις της ακεραιότητας μέσα στην ασφαλή μνήμη περιοχή. Μόνο όταν ένα κομμάτι κώδικα λαμβάνει ένα πράσινο σήμα από αυτούς τους ελέγχους ακεραιότητας, γίνεται εκτελέσιμο εκτός αυτής της περιοχής μνήμης.
Με λίγα λόγια, τα Windows χρειάζονται VBS για να ελαχιστοποιήσουν τον κίνδυνο κακόβουλου λογισμικού σε λειτουργία πυρήνα εκτός από την αντιμετώπιση κακόβουλου κώδικα λειτουργίας χρήστη.
Πώς χρησιμοποιούν τα Windows 11 VBS;
Αν ρίξουμε μια προσεκτική ματιά στις απαιτήσεις υλικού των Windows 11, μπορούμε να δούμε ότι τα περισσότερα από τα πράγματα που επιβάλλει η Microsoft για έναν υπολογιστή με Windows 11 χρειάζονται για να λειτουργήσει το VBS. Η Microsoft αναφέρει λεπτομερώς το υλικό που απαιτείται για να λειτουργήσει το VBS στον ιστότοπό της, συμπεριλαμβανομένων:
- CPU 64-bit με χαρακτηριστικά επιτάχυνσης υλικού, όπως Intel VT-X και AMD-V
- Λειτουργική μονάδα αξιόπιστης πλατφόρμας (TPM) 2.0
- UEFI
- Προγράμματα οδήγησης συμβατά με Hypervisor-Enforced Code Integrity (HVCI).
Από αυτή τη λίστα, είναι ξεκάθαρο ότι οι κύριες απαιτήσεις υλικού των Windows 11, συμπεριλαμβανομένων των επεξεργαστών Intel 8ης γενιάς ή ανώτερων επεξεργαστών, είναι εκεί για να διευκολύνουν το VBS και τις δυνατότητες που ενεργοποιεί. Ένα τέτοιο χαρακτηριστικό είναι η Ακεραιότητα Κώδικα με Επιβολή Hypervisor (HVCI).
Θυμηθείτε ότι το VBS χρησιμοποιεί το Windows Hypervisor για να δημιουργήσει ένα περιβάλλον εικονικής μνήμης ξεχωριστό από το υπόλοιπο λειτουργικό σύστημα. Αυτό το περιβάλλον λειτουργεί ως η ρίζα εμπιστοσύνης του λειτουργικού συστήματος. Με άλλα λόγια, μόνο ο κώδικας και οι μηχανισμοί ασφαλείας που βρίσκονται μέσα σε αυτό το εικονικό περιβάλλον είναι αξιόπιστοι. Προγράμματα και λύσεις που βρίσκονται εκτός, συμπεριλαμβανομένου οποιουδήποτε κώδικα λειτουργίας πυρήνα, δεν είναι αξιόπιστα μέχρι να επικυρωθούν. Το HVCI είναι ένα βασικό στοιχείο που ενισχύει το εικονικό περιβάλλον που δημιουργεί η VBS.
Μέσα στην περιοχή εικονικής μνήμης, το HVCI ελέγχει τον κώδικα λειτουργίας πυρήνα για παραβιάσεις ακεραιότητας. Ο υπό εξέταση κώδικας λειτουργίας πυρήνα μπορεί να εκχωρήσει τη μνήμη μόνο εάν ο κώδικας προέρχεται από αξιόπιστη πηγή και εάν οι εκχωρήσεις δεν αποτελούν απειλή για την ασφάλεια του συστήματος.
Όπως μπορείτε να δείτε, το HVCI είναι μεγάλη υπόθεση. Επομένως, τα Windows 11 ενεργοποιούν τη δυνατότητα από προεπιλογή σε κάθε συμβατό σύστημα.
Πώς να δείτε εάν το VBS είναι ενεργοποιημένο στον υπολογιστή σας
Η Microsoft ενεργοποιεί το VBS σε συμβατά προκατασκευασμένα και OEM μηχανήματα Windows 11 από προεπιλογή. Δυστυχώς, το VBS μπορεί να έχει απόδοση έως και 25%. Επομένως, εάν χρησιμοποιείτε Windows 11 και δεν χρειάζεστε ασφάλεια αιχμής, φροντίστε να απενεργοποιήσετε το VBS.
Για να ελέγξετε ότι το VBS είναι ενεργοποιημένο στον υπολογιστή σας, πατήστε το κλειδί Windows, πληκτρολογήστε "πληροφορίες συστήματος" και επιλέξτε το σχετικό αποτέλεσμα. Μόλις ανοίξει η εφαρμογή, κάντε κύλιση προς τα κάτω στο Ασφάλεια βασισμένη σε εικονικοποίηση και δείτε αν είναι ενεργοποιημένο.
Για να ενεργοποιήσετε/απενεργοποιήσετε το VBS, πατήστε το πλήκτρο Windows, πληκτρολογήστε «core isolation» και επιλέξτε το σχετικό αποτέλεσμα. Στο Απομόνωση πυρήνα ενότητα, εναλλαγή Ακεραιότητα μνήμης On/Off.
Τέλος, επανεκκινήστε τον υπολογιστή σας.
Το VBS μπορεί να κάνει τα Windows 11 πολύ πιο ασφαλή... αλλά υπάρχουν μειονεκτήματα
Τα μεγάλα χαρακτηριστικά ασφαλείας των Windows 11 όπως το HVCI βασίζονται σε μεγάλο βαθμό στο VBS, για καλό λόγο. Το VBS είναι ένας αποτελεσματικός τρόπος για να νικήσετε τον κακόβουλο κώδικα και να προστατέψετε το λειτουργικό σύστημα από παραβιάσεις ασφαλείας. Αλλά επειδή το VBS βασίζεται στην εικονικοποίηση, μπορεί να τρώει ένα μεγάλο κομμάτι της απόδοσης του συστήματός σας.
Για τους εταιρικούς πελάτες της Microsoft, αυτό το χτύπημα ασφαλείας, ακόμη και όταν έρχεται με το κόστος της απόδοσης, είναι ασήμαντο. Αλλά για τους μέσους ανθρώπους που θέλουν μια γρήγορη εμπειρία Windows, ειδικά κατά τη διάρκεια του παιχνιδιού, το κόστος απόδοσης του VBS μπορεί να είναι δύσκολο να καταποθεί.
Ευτυχώς, η Microsoft σάς επιτρέπει να απενεργοποιήσετε το VBS στον υπολογιστή σας. Αλλά μην ανησυχείτε για την απενεργοποίηση του VBS. Τα Windows 11 είναι πολύ πιο ασφαλή από τα Windows 10 ακόμα και χωρίς VBS.
Από αξιόπιστες μονάδες υποστήριξης έως την Ασφαλή εκκίνηση του UEFI, τα Windows 11 θα ενισχύσουν το παιχνίδι ασφαλείας και θα ξεπεράσουν τον μεγαλύτερο αδελφό τους κατά μίλια.
Διαβάστε Επόμενο
- Windows
- Windows 11
- Ασφάλεια
- Κυβερνασφάλεια
Ο Fawad είναι ανεξάρτητος συγγραφέας πλήρους απασχόλησης. Λατρεύει την τεχνολογία και το φαγητό. Όταν δεν τρώει ή δεν γράφει για τα Windows, είτε παίζει βιντεοπαιχνίδια είτε ονειρεύεται ότι ταξιδεύει.
Εγγραφείτε στο ενημερωτικό μας δελτίο
Εγγραφείτε στο ενημερωτικό μας δελτίο για συμβουλές τεχνολογίας, κριτικές, δωρεάν ebook και αποκλειστικές προσφορές!
Κάντε κλικ εδώ για να εγγραφείτε