A segurança baseada em virtualização é um recurso do Windows 10 há anos. Ele passou despercebido para muitas pessoas porque a Microsoft não o estava aplicando; no entanto, isso vai mudar com o Windows 11.
Vamos dar uma olhada mais de perto no VBS, ver o que é e como habilitá-lo e desabilitá-lo.
O que é segurança baseada em virtualização (VBS)?
O Virtualization-Based Security (VBS) usa o Windows Hypervisor para isolar virtualmente um segmento da memória principal do resto do sistema operacional. O Windows usa essa região de memória isolada e segura para armazenar soluções de segurança importantes, como credenciais de login e código responsável pela segurança do Windows, entre outras coisas.
A razão para hospedar soluções de segurança dentro de uma parte isolada da memória é proteger as soluções de exploits que visam derrotar essas proteções. O malware geralmente tem como alvo os mecanismos de segurança integrados do Windows para obter acesso a recursos críticos do sistema. Por exemplo, o código malicioso pode obter acesso a recursos no nível do kernel ao derrotar os métodos de autenticação de código do Windows.
Relacionado: O que é o Windows 10 Secure Sign-In e como faço para ativá-lo?
O VBS resolve esse problema separando as soluções de segurança do Windows do restante do sistema operacional. Isso torna o Windows mais seguro, pois as vulnerabilidades não podem contornar as proteções do sistema operacional porque não têm acesso a essas proteções. Uma dessas proteções é a integridade do código imposta pelo hipervisor (HVCI) ou integridade da memória.
A HVCI aproveita o VBS para implementar verificações aprimoradas de integridade de código. Essas verificações autenticam os drivers e programas do modo kernel para garantir que sejam provenientes de fontes confiáveis. Portanto, o HVCI garante que apenas o código confiável seja carregado na memória.
Resumindo, o VBS é um mecanismo pelo qual o Windows mantém as soluções de segurança críticas separadas de todo o resto. Em caso de violação do sistema, as soluções e informações protegidas pelo VBS permanecerão ativas, uma vez que o código malicioso não pode se infiltrar e desabilitá-los / contorná-los.
A necessidade de segurança baseada em virtualização no Windows
Para entender a necessidade do Windows 11 para o VBS, temos que entender as ameaças que o VBS pretende eliminar. O VBS é principalmente um mecanismo de proteção contra códigos maliciosos que os mecanismos de segurança tradicionais não conseguem lidar.
Em outras palavras, o VBS visa derrotar o malware no modo kernel.
Relacionado: Qual é a diferença entre malware, vírus de computador e worms?
O kernel é o núcleo de qualquer sistema operacional. É o código que gerencia tudo e permite que diferentes componentes de hardware trabalhem juntos. Geralmente, os programas do usuário não são executados no modo kernel. Eles são executados no modo de usuário. Os programas do modo de usuário têm recursos limitados, pois não têm permissões elevadas. Por exemplo, um programa em modo de usuário não pode sobrescrever o espaço de endereço virtual de outro programa e bagunçar sua operação.
Crédito da imagem: Microsoft
Os programas em modo kernel, como o nome sugere, têm acesso total ao kernel do Windows e, por sua vez, acesso total aos recursos do Windows. Eles podem fazer chamadas de sistema, acessar dados críticos e se conectar a servidores remotos sem quaisquer obstáculos.
Resumindo, os programas no modo kernel têm permissões mais elevadas do que até mesmo os programas antivírus . Portanto, eles podem contornar firewalls e outras proteções configuradas pelo Windows e por aplicativos de terceiros.
Em muitos casos, o Windows nem sabe que existe um código malicioso com acesso no nível do kernel. Isso torna a detecção de malware no modo kernel extremamente difícil ou, em alguns casos, até impossível.
A VBS pretende mudar isso.
Conforme mencionado na seção anterior, o VBS cria uma região segura de memória usando o Windows Hypervisor. O hipervisor do Windows possui o nível mais alto de permissões no sistema. Ele pode verificar e impor restrições à memória do sistema.
Portanto, se um malware no modo kernel alterou páginas na memória do sistema, as verificações de integridade do código acionadas pelo hipervisor examinam as páginas de memória em busca de possíveis violações de integridade dentro da região de memória segura. Somente quando um trecho de código recebe um sinal verde dessas verificações de integridade, ele se torna executável fora dessa região da memória.
Para encurtar a história, o Windows precisa do VBS para minimizar o risco de malware no modo kernel, além de lidar com código malicioso no modo usuário.
Como o Windows 11 usa o VBS?
Se observarmos atentamente os requisitos de hardware do Windows 11, podemos ver que a maioria das coisas que a Microsoft exige para um PC com Windows 11 são necessárias para que o VBS funcione. A Microsoft detalha o hardware necessário para o VBS funcionar em seu site, incluindo:
- Uma CPU de 64 bits com recursos de aceleração de hardware, como Intel VT-X e AMD-V
- Módulo de plataforma confiável (TPM) 2.0
- UEFI
- Drivers compatíveis com Hypervisor-Enforced Code Integrity (HVCI)
A partir desta lista, é bastante claro que os principais requisitos de hardware do Windows 11, incluindo Intel 8ª geração ou CPUs superiores, existem para facilitar o VBS e os recursos que ele habilita. Um desses recursos é o Hypervisor-Enforced Code Integrity (HVCI).
Lembre-se de que o VBS usa o Windows Hypervisor para construir um ambiente de memória virtual separado do restante do sistema operacional. Esse ambiente atua como a raiz de confiança do sistema operacional. Em outras palavras, apenas o código e os mecanismos de segurança residentes nesse ambiente virtual são confiáveis. Programas e soluções que residem fora, incluindo qualquer código de modo kernel, não são confiáveis até que sejam autenticados. HVCI é um componente chave que fortalece o ambiente virtual que o VBS cria.
Dentro da região da memória virtual, o HVCI verifica o código do modo kernel para violações de integridade. O código do modo kernel em questão só pode alocar a memória se o código for de uma fonte confiável e se as alocações não representarem nenhuma ameaça à segurança do sistema.
Como você pode ver, HVCI é um grande negócio. Portanto, o Windows 11 ativa o recurso por padrão em todos os sistemas compatíveis.
Como ver se o VBS está habilitado no seu computador
A Microsoft habilita o VBS em máquinas compatíveis pré-construídas e OEM Windows 11 por padrão. Infelizmente, o VBS pode diminuir o desempenho em até 25%. Portanto, se você estiver executando o Windows 11 e não precisar de segurança de ponta, desative o VBS.
Para verificar se o VBS está habilitado em seu computador, pressione a tecla Windows , digite “informações do sistema” e escolha o resultado desejado. Assim que o aplicativo for aberto, role para baixo até Segurança baseada em virtualização e veja se ele está habilitado.
Para ativar / desativar o VBS, pressione a tecla Windows, digite “isolamento do núcleo” e selecione o resultado relevante. Na seção Isolamento do núcleo , ative / desative a integridade da memória .
Finalmente, reinicie o seu PC.
VBS pode tornar o Windows 11 muito mais seguro ... mas há desvantagens
Os grandes recursos de segurança do Windows 11, como HVCI, dependem muito do VBS, por um bom motivo. O VBS é uma forma eficaz de derrotar códigos maliciosos e proteger o sistema operacional de violações de segurança. Mas, como o VBS depende da virtualização, ele pode consumir uma boa parte do desempenho do sistema.
Para os clientes corporativos da Microsoft, esse aumento na segurança, mesmo quando se trata do custo do desempenho, é óbvio. Mas para as pessoas comuns que desejam uma experiência rápida com o Windows, especialmente durante os jogos, o custo de desempenho do VBS pode ser difícil de engolir.
Felizmente, a Microsoft permite que você desative o VBS em sua máquina. Mas não se preocupe em desabilitar o VBS. O Windows 11 é muito mais seguro do que o Windows 10, mesmo sem VBS.