encle

当微软发布Windows 11时，基于虚拟化的VBS或安全功能成为一个主要话题。虽然这个功能本身并不新颖，但在Windows 11中它是默认启用的，以提供额外的一层保护。当Windows 11全面推出时，微软详细解释了为什么VBS与TPM 2.0版(另一个关键的安全功能和操作系统要求)一起如此重要。

今天，该公司在技术社区的一篇博客文章中公布了基于VBS的新功能VBS飞地的细节，这是一个信任执行环境(TEE)，通过在隔离用户模式下使用虚拟信任级别(VTL)的强大功能来确保第三方应用程序的安全。

VBS飞地本质上是DLL文件，这意味着Windows可以在各种程序中使用它们。微软解释道:

…VBS飞地是一个基于软件的TEE在主机应用地址空。它是由标准Windows应用程序加载的动态链接库(DLL)。VBS飞地可以帮助保护内存中的机密和敏感操作。基本前提是，VBS飞地可以隔离应用程序中需要在内存中保护的部分。

…VBS使用Windows Hyper-V虚拟机管理程序来创建一个隔离的特权虚拟环境，称为虚拟信任级别1(或VTL1)，它成为操作系统的信任根。传统的Windows环境称为VTL0。VTL1分为隔离用户模式和安全内核。

..

VBS提供的隔离是一项核心技术，允许VBS以更高的权限隔离VTL1中的一部分应用，VTL0无法访问。

下图说明了Encle如何在VTL1内部创建VTL0无法访问的隔离安全环境。

微软还宣布了VBS飞地的系统要求:

设施请求

管理VBS飞地需要下列设备:

必须启用VBS/HVCI。在Windows 11或更高版本中，默认情况下应启用该功能。

Windows 11或更高版本或Windows Server 2019或更高版本。

开发者可以在微软网站的支持文档中找到关于创建VBS飞地的详细信息。