Microsoft раскрыла подробности работы и системные требования новой функции безопасности на основе виртуализации VBS Enclave в Windows 11. Её включили по умолчанию для обеспечения дополнительного уровня защиты.
Компания опубликовала подробную информацию о VBS Enclaves, которая представляет собой среду доверенного выполнения (TEE) для обеспечения безопасности сторонних приложений с использованием возможностей режима изолированного пользователя Virtual Trust.
Анклавы VBS по сути представляют собой тип файла DLL, и Windows может использовать их в различных программах. Microsoft объясняет: анклав VBS — это программный TEE внутри адресного пространства хост-приложения. Это библиотека динамической компоновки (DLL), загружаемая стандартным приложением Windows. Анклавы VBS могут помочь защитить секреты и конфиденциальные операции в памяти. Основная предпосылка заключается в том, что они могут изолировать часть приложения, которую требуется защитить в памяти.
VBS использует гипервизор Windows Hyper-V для создания изолированной привилегированной виртуальной среды с уровнем 1 (VTL1). Традиционная среда Windows называется VTL0. VTL1 дополнительно делится на режим изолированного пользователя и защищённое ядро. Это позволяет анклаву VBS изолировать часть приложения в VTL1 с более высоким уровнем привилегий, недоступную для VTL0.
Microsoft также опубликовала системные требования для анклавов VBS:
VBS/HVCI должен быть включён;
требуется Windows 11 или Windows Server 2019 или новее.
VBS позволяет автоматически запускать Credential Guard — функцию, использующую VBS для защиты от кражи учётных данных и доступа вредоносных программ к системным секретам, а также дополнительную защиту процесса локального администратора безопасности (LSA), гарантируя, что процесс загружает только подписанный код.
