encle

当微软发布Windows 11时,基于虚拟化的VBS或安全功能成为一个主要话题。虽然这个功能本身并不新颖,但在Windows 11中它是默认启用的,以提供额外的一层保护。当Windows 11全面推出时,微软详细解释了为什么VBS与TPM 2.0版(另一个关键的安全功能和操作系统要求)一起如此重要。

今天,该公司在技术社区的一篇博客文章中公布了基于VBS的新功能VBS飞地的细节,这是一个信任执行环境(TEE),通过在隔离用户模式下使用虚拟信任级别(VTL)的强大功能来确保第三方应用程序的安全。

VBS飞地本质上是DLL文件,这意味着Windows可以在各种程序中使用它们。微软解释道:

…VBS飞地是一个基于软件的TEE在主机应用地址空。它是由标准Windows应用程序加载的动态链接库(DLL)。VBS飞地可以帮助保护内存中的机密和敏感操作。基本前提是,VBS飞地可以隔离应用程序中需要在内存中保护的部分。

…VBS使用Windows Hyper-V虚拟机管理程序来创建一个隔离的特权虚拟环境,称为虚拟信任级别1(或VTL1),它成为操作系统的信任根。传统的Windows环境称为VTL0。VTL1分为隔离用户模式和安全内核。

..

VBS提供的隔离是一项核心技术,允许VBS以更高的权限隔离VTL1中的一部分应用,VTL0无法访问。

下图说明了Encle如何在VTL1内部创建VTL0无法访问的隔离安全环境。

enclave微软还宣布了VBS飞地的系统要求:

设施请求

管理VBS飞地需要下列设备:

必须启用VBS/HVCI。在Windows 11或更高版本中,默认情况下应启用该功能。

Windows 11或更高版本或Windows Server 2019或更高版本。

开发者可以在微软网站的支持文档中找到关于创建VBS飞地的详细信息。

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。

发表回复

登录后才能评论