מהי אבטחה מבוססת וירטואליזציה ב-Windows?

אבטחה מבוססת וירטואליזציה הייתה תכונה ב-Windows 10 במשך שנים. זה עף מתחת לרדאר עבור אנשים רבים כי מיקרוסופט לא אוכפת את זה; עם זאת, זה הולך להשתנות עם Windows 11.

בואו נסתכל מקרוב על VBS, נראה מה זה ואיך להפעיל ולהשבית אותו.

מהי אבטחה מבוססת וירטואליזציה (VBS)?

אבטחה מבוססת וירטואליזציה (VBS) משתמשת ב-Windows Hypervisor כדי לבודד למעשה קטע של זיכרון ראשי משאר מערכת ההפעלה. Windows משתמש באזור הזיכרון המבודד והמאובטח הזה כדי לאחסן פתרונות אבטחה חשובים כמו אישורי כניסה וקוד האחראי על אבטחת Windows, בין היתר.

הסיבה לארח פתרונות אבטחה בתוך חלק מבודד של הזיכרון היא להגן על הפתרונות מפני ניצולים שמטרתם להביס את ההגנות הללו. תוכנה זדונית מכוונת לרוב למנגנוני האבטחה המובנים של Windows כדי לקבל גישה למשאבי מערכת קריטיים. לדוגמה, קוד זדוני יכול לקבל גישה למשאבים ברמת הליבה על ידי הבסת שיטות אימות הקוד של Windows.

קָשׁוּר: מהי כניסה מאובטחת של Windows 10 וכיצד אוכל להפעיל אותה?

VBS פותר בעיה זו על ידי הפרדת פתרונות האבטחה של Windows משאר מערכת ההפעלה. זה הופך את Windows לאבטח יותר מכיוון שפגיעויות אינן יכולות לעקוף את הגנות מערכת ההפעלה מכיוון שאין להן גישה להגנות אלו. אחת מההגנות הללו היא Hypervisor-Enforced Code Integrity (HVCI) או שלמות זיכרון.

HVCI ממנפת את VBS כדי ליישם בדיקות תקינות קוד משופרות. בדיקות אלו מאמתות מנהלי התקנים ותוכניות במצב ליבה כדי לוודא שהם מגיעים ממקורות מהימנים. אז, HVCI מבטיח שרק קוד מהימן נטען לזיכרון.

בקיצור, VBS הוא מנגנון שבאמצעותו Windows שומר על פתרונות אבטחה קריטיים בנפרד מכל השאר. במקרה של פריצת מערכת, פתרונות ומידע המוגנים על ידי VBS יישארו פעילים מכיוון שקוד זדוני לא יכול לחדור ולהשבית/לעקוף אותם.

הצורך באבטחה מבוססת וירטואליזציה ב-Windows

כדי להבין את הצורך של Windows 11 ב-VBS, עלינו להבין את האיומים ש-VBS נועדה לחסל. VBS הוא בעיקר מנגנון להגנה מפני קוד זדוני שמנגנוני אבטחה מסורתיים לא יכולים להתמודד איתו.

במילים אחרות, VBS שואפת להביס תוכנות זדוניות במצב ליבה.

קָשׁוּר: מה ההבדל בין תוכנות זדוניות, וירוסי מחשב ותולעים?

הקרנל הוא הליבה של כל מערכת הפעלה. הקוד הוא שמנהל הכל ומאפשר לרכיבי חומרה שונים לעבוד יחד. בדרך כלל, תוכניות משתמש אינן פועלות במצב ליבה. הם פועלים במצב משתמש. לתוכניות במצב משתמש יש יכולות מוגבלות מכיוון שאין להן הרשאות גבוהות. לדוגמה, תוכנית במצב משתמש לא יכולה לדרוס את מרחב הכתובות הווירטואלי של תוכנה אחרת ולהתעסק עם הפעולה שלה.

לתוכניות במצב ליבה, כפי שהשם מרמז, יש גישה מלאה לקרנל של Windows ובתורם גישה מלאה למשאבים של Windows. הם יכולים לבצע שיחות מערכת, לגשת לנתונים קריטיים ולהתחבר לשרתים מרוחקים ללא כל הפרעה.

בקיצור, לתוכניות במצב ליבה יש הרשאות גבוהות יותר אפילו תוכנות אנטי וירוס. אז, הם יכולים לעקוף חומות אש והגנות אחרות שהוגדרו על ידי Windows ואפליקציות צד שלישי.

במקרים רבים, Windows אפילו לא יודע שיש קוד זדוני עם גישה ברמת ליבה. זה הופך את זיהוי תוכנות זדוניות במצב ליבה לקשה ביותר או, במקרים מסוימים, אפילו בלתי אפשרי.

VBS שואפת לשנות זאת.

כפי שהוזכר בסעיף הקודם, VBS יוצר אזור מאובטח של זיכרון באמצעות Windows Hypervisor. ל-Windows Hypervisor יש את רמת ההרשאות הגבוהה ביותר במערכת. זה יכול לבדוק ולאכוף הגבלות על זיכרון המערכת.

לכן, אם תוכנה זדונית במצב ליבה שינתה דפים בזיכרון המערכת, בדיקות שלמות הקוד מופעלות על ידי המבקר בוחן את דפי הזיכרון לאיתור הפרות שלמות אפשריות בתוך הזיכרון המאובטח אזור. רק כאשר חתיכת קוד מקבלת אות ירוק מבדיקות תקינות אלה, היא הופכת לניתנת להפעלה מחוץ לאזור הזיכרון הזה.

בקיצור, Windows זקוקה ל-VBS כדי למזער את הסיכון של תוכנות זדוניות במצב ליבה בנוסף להתמודדות עם קוד זדוני במצב משתמש.

כיצד Windows 11 משתמש ב-VBS?

אם נסתכל מקרוב על דרישות החומרה של Windows 11, נוכל לראות שרוב הדברים שמיקרוסופט דורשת עבור מחשב Windows 11 נחוצים כדי ש-VBS יפעל. מיקרוסופט מפרטת את החומרה הדרושה ל-VBS כדי לעבוד באתר האינטרנט שלה, כולל:

1. מעבד 64 סיביות עם תכונות האצת חומרה כגון Intel VT-X ו-AMD-V
2. Trusted Platform Module (TPM) 2.0
3. UEFI
4. מנהלי התקנים תואמי Hypervisor-Enforced Code Integrity (HVCI).

מרשימה זו, די ברור שדרישות החומרה העיקריות של Windows 11, כולל מעבדי Intel מהדור השמיני ומעלה, קיימות כדי להקל על VBS והתכונות שהיא מאפשרת. תכונה אחת כזו היא Hypervisor-Enforced Code Integrity (HVCI).

נזכיר כי VBS משתמש ב-Windows Hypervisor כדי לבנות סביבת זיכרון וירטואלית נפרדת משאר מערכת ההפעלה. סביבה זו פועלת כשורש האמון של מערכת ההפעלה. במילים אחרות, רק הקוד ומנגנוני האבטחה השוכנים בתוך סביבה וירטואלית זו הם מהימנים. תוכניות ופתרונות השוכנים בחוץ, כולל כל קוד במצב ליבה, אינם מהימנים עד שהם מאומתים. HVCI הוא מרכיב מרכזי שמחזק את הסביבה הוירטואלית ש-VBS יוצרת.

בתוך אזור הזיכרון הווירטואלי, HVCI בודק קוד במצב ליבה עבור הפרות שלמות. קוד מצב הקרנל הנדון יכול להקצות את הזיכרון רק אם הקוד הוא ממקור מהימן ואם ההקצאות אינן מהוות איום כלשהו על אבטחת המערכת.

כפי שאתה יכול לראות, HVCI הוא עניין גדול. לכן, Windows 11 מפעיל את התכונה כברירת מחדל בכל מערכת תואמת.

כיצד לראות אם VBS מופעל במחשב שלך

מיקרוסופט מאפשרת VBS על מכונות מובנות מראש ו-OEM Windows 11 כברירת מחדל. למרבה הצער, VBS יכול להעלות ביצועים של עד 25%. לכן, אם אתה מריץ את Windows 11 ואינך זקוק לאבטחה מתקדמת, הקפד לכבות את VBS.

כדי לבדוק ש-VBS מופעל במחשב שלך, לחץ על מקש Windows, הקלד "מידע מערכת" ובחר את התוצאה הרלוונטית. לאחר שהאפליקציה נפתחת, גלול מטה אל אבטחה מבוססת וירטואליזציה ולראות אם זה מופעל.

כדי להפעיל/להשבית את VBS, הקש על מקש Windows, הקלד "בידוד ליבה" ובחר את התוצאה הרלוונטית. בתוך ה בידוד ליבה מקטע, להחליף שלמות זיכרון דולק כבוי.

לבסוף, הפעל מחדש את המחשב.

VBS יכול להפוך את Windows 11 למאובטח הרבה יותר... אבל יש חסרונות

תכונות האבטחה הגדולות של Windows 11 כמו HVCI מסתמכות במידה רבה על VBS, מסיבה טובה. VBS היא דרך יעילה להביס קוד זדוני ולהגן על מערכת ההפעלה מפני פרצות אבטחה. אבל מכיוון ש-VBS מסתמכת על וירטואליזציה, היא יכולה לאכול נתח נאה מביצועי המערכת שלך.

עבור הלקוחות הארגוניים של מיקרוסופט, חבטת אבטחה זו, גם כאשר היא באה במחיר של ביצועים, היא דבר לא מובן מאליו. אבל עבור אנשים ממוצעים שרוצים חווית Windows מהירה, במיוחד במהלך המשחקים, עלות הביצועים של VBS יכולה להיות קשה לבליעה.

למרבה המזל, מיקרוסופט מאפשרת לך להשבית את VBS במחשב שלך. אבל אל תדאג לגבי השבתת VBS. Windows 11 מאובטח הרבה יותר מ-Windows 10 אפילו ללא VBS.

Windows 11 מאובטח הרבה יותר מ-Windows 10: הנה הסיבה

ממודולי תמיכה מהימנים ועד UEFI Secure Boot, Windows 11 תגביר את משחק האבטחה ותעלה בקילומטרים את אחיו הגדול.

קרא הבא

על הסופר