هنگامی که مایکروسافت ویندوز 11 را منتشر کرد، امنیت مبتنی بر مجازی سازی (VBS) یکی از نکات مهم درباره آن بود. در حالی که این ویژگی به خودی خود جدید نبود، اما به طور پیش فرض در ویندوز 11 فعال شد تا یک لایه امنیتی اضافی ارائه دهد. هنگامی که ویندوز 11 به طور کلی در دسترس قرار گرفت، مایکروسافت با جزئیات بیشتری توضیح داد که چرا VBS، همراه با TPM نسخه 2.0، که یک ویژگی امنیتی کلیدی دیگر و یک الزام برای سیستم عامل بود، بسیار مهم است.
امروز، شرکت مایکروسافت در یک پست وبلاگ Tech Community، جزئیات مربوط به یک ویژگی جدید مبتنی بر VBS به نام VBS Enclaves منتشر کرده است که یک محیط اجرای قابل اعتماد (TEE) است که برای ایمن کردن برنامه های شخص ثالث با استفاده از قدرت سطوح اعتماد مجازی جداگانه حالت کاربر (VTLs) طراحی شده است.
enclave های VBS اساساً نوعی فایل DLL هستند، به این معنی که ویندوز می تواند از آنها در برنامه های مختلف استفاده کند. مایکروسافت توضیح می دهد:
-
یک enclave VBS یک TEE مبتنی بر نرم افزار در فضای آدرس یک برنامه میزبان است. این یک کتابخانه پیوند پویا (DLL) است که توسط یک برنامه استاندارد ویندوز بارگذاری می شود. enclave های VBS می توانند به ایمن سازی اسرار و عملیات حساس در حافظه کمک کنند. فرض اساسی این است که یک enclave VBS می تواند بخشی از برنامه شما را که می خواهید در حالی که در حافظه است ایمن کند، جدا کند.
-
VBS از هایپرvisor ویندوز Hyper-V برای ایجاد یک محیط مجازی جداگانه و دارای امتیاز به نام Virtual Trust Level 1 (یا VTL1) استفاده می کند که به ریشه اعتماد سیستم عامل تبدیل می شود. محیط سنتی ویندوز VTL0 نامیده می شود. VTL1 بیشتر به حالت کاربر جداگانه و هسته امن تقسیم می شود.
-
جدا سازی ارائه شده توسط VBS فناوری هسته ای است که به یک enclave VBS اجازه می دهد تا بخشی از یک برنامه را در VTL1 با امتیاز بالاتر جدا کند، که برای VTL0 قابل دسترسی نیست.
تصویر زیر نحوه کار Enclave را با ایجاد یک محیط امن جداگانه در VTL1 که برای VTL0 قابل دسترسی نیست، توضیح می دهد.
مایکروسافت همچنین الزامات سیستم برای enclave های VBS را منتشر کرد:
الزامات دستگاه
برای اجرای enclave های VBS موارد زیر مورد نیاز است:
- VBS/HVCI باید فعال باشد. این باید به طور پیش فرض در ویندوز 11 یا بالاتر فعال باشد
- ویندوز 11 یا بالاتر یا ویندوز سرور 2019 یا بالاتر
source