当微软发布 Windows 11 时,VBS 或基于虚拟化的安全功能是它的一个主要话题。虽然该功能本身并不新颖,但它在 Windows 11 中被默认启用,以提供额外的保护层。在 Windows 11 全面上市时,微软详细解释了为什么 VBS 与 TPM 2.0 版(另一项关键安全功能和操作系统要求)一起如此重要。
今天,微软在一篇技术社区博文中公布了基于 VBS 的新功能 VBS Enclaves 的详细信息,这是一个信任执行环境(TEE),旨在利用隔离用户模式虚拟信任级别(VTL)的强大功能确保第三方应用程序的安全。
VBS enclaves 本质上是一种 DLL 文件,这意味着 Windows 可以在各种程序中使用它们。微软解释说:
...VBS enclave 是主机应用程序地址空间内基于软件的 TEE。它是由标准 Windows 应用程序加载的动态链接库 (DLL)。VBS enclaves 可以帮助保护内存中的机密和敏感操作。其基本前提是,VBS 外域可以隔离应用程序中需要保护的部分,使其处于内存中。
...VBS 使用 Windows Hyper-V 虚拟机管理程序创建一个隔离的特权虚拟环境,称为虚拟信任级别 1(或 VTL1),成为操作系统的信任根。传统的 Windows 环境称为 VTL0。VTL1 又分为隔离用户模式和安全内核。
..
VBS 提供的隔离是一项核心技术,它允许 VBS enclave 将应用程序的一部分隔离在权限更高的 VTL1 中,VTL0 无法访问。
下图解释了 Enclave 如何在 VTL1 内部创建一个 VTL0 无法访问的隔离安全环境。
微软还公布了 VBS Enclaves 的系统要求:
设备要求
运行 VBS Enclaves 需要以下设备:
- 必须启用 VBS/HVCI。默认情况下,Windows 11 或更高版本应启用此功能。
- Windows 11 或更高版本或 Windows Server 2019 或更高版本。
开发人员可以在微软网站上的支持文档中找到有关创建 VBS enclave 的详细信息。
