Virtualization-Based Security เป็นคุณลักษณะใน Windows 10 มาหลายปีแล้ว มันบินอยู่ใต้เรดาร์สำหรับคนจำนวนมากเพราะ Microsoft ไม่ได้บังคับใช้ อย่างไรก็ตาม สิ่งนี้จะเปลี่ยนไปใน Windows 11
มาดูกันดีกว่าว่า VBS คืออะไร มันคืออะไร และจะเปิดและปิดการใช้งานได้อย่างไร
Virtualization-Based Security (VBS) คืออะไร
Virtualization-Based Security (VBS) ใช้ Windows Hypervisor เพื่อแยกส่วนของหน่วยความจำหลักออกจากระบบปฏิบัติการที่เหลือ Windows ใช้พื้นที่หน่วยความจำแยกและปลอดภัยนี้เพื่อจัดเก็บโซลูชันการรักษาความปลอดภัยที่สำคัญ เช่น ข้อมูลรับรองการเข้าสู่ระบบและรหัสที่รับผิดชอบด้านความปลอดภัยของ Windows เป็นต้น
เหตุผลในการโฮสต์โซลูชันการรักษาความปลอดภัยภายในส่วนที่แยกออกมาของหน่วยความจำคือการปกป้องโซลูชันจากช่องโหว่ที่มุ่งทำลายการป้องกันเหล่านี้ มัลแวร์มักกำหนดเป้าหมายกลไกความปลอดภัยในตัวของ Windows เพื่อเข้าถึงทรัพยากรระบบที่สำคัญ ตัวอย่างเช่น โค้ดที่เป็นอันตรายสามารถเข้าถึงทรัพยากรระดับเคอร์เนลได้โดยการเอาชนะวิธีการตรวจสอบรหัสของ Windows
VBS แก้ปัญหานี้โดยแยกโซลูชันการรักษาความปลอดภัยของ Windows ออกจากระบบปฏิบัติการที่เหลือ สิ่งนี้ทำให้ Windows มีความปลอดภัยมากขึ้นเนื่องจากช่องโหว่ไม่สามารถข้ามการป้องกันระบบปฏิบัติการได้เนื่องจากไม่มีการเข้าถึงการป้องกันเหล่านี้ หนึ่งในการป้องกันเหล่านี้คือ Hypervisor-Enforced Code Integrity (HVCI) หรือ Memory Integrity
HVCI ใช้ประโยชน์จาก VBS เพื่อใช้การตรวจสอบความสมบูรณ์ของโค้ดที่ได้รับการปรับปรุง สิ่งเหล่านี้ตรวจสอบการพิสูจน์ตัวตนของไดรเวอร์โหมดเคอร์เนลและโปรแกรมเพื่อให้แน่ใจว่ามาจากแหล่งที่เชื่อถือได้ ดังนั้น HVCI จึงมั่นใจได้ว่าจะโหลดเฉพาะรหัสที่เชื่อถือได้เท่านั้นที่โหลดลงในหน่วยความจำ
กล่าวโดยย่อ VBS เป็นกลไกที่ Windows แยกโซลูชันการรักษาความปลอดภัยที่สำคัญออกจากอย่างอื่น ในกรณีที่มีการละเมิดระบบ โซลูชันและข้อมูลที่ได้รับการคุ้มครองโดย VBS จะยังคงทำงานอยู่ เนื่องจากโค้ดที่เป็นอันตรายไม่สามารถแทรกซึมและปิดใช้งาน/เลี่ยงผ่านได้
ความต้องการความปลอดภัยบน Virtualization ใน Windows
เพื่อให้เข้าใจถึงความต้องการของ Windows 11 สำหรับ VBS เราต้องเข้าใจภัยคุกคามที่ VBS ตั้งใจจะกำจัด VBS เป็นกลไกหลักในการป้องกันโค้ดที่เป็นอันตรายซึ่งกลไกความปลอดภัยแบบเดิมไม่สามารถจัดการได้
กล่าวอีกนัยหนึ่ง VBS มีเป้าหมายเพื่อเอาชนะมัลแวร์โหมดเคอร์เนล
เคอร์เนลเป็นแกนหลักของระบบปฏิบัติการใดๆ เป็นรหัสที่จัดการทุกอย่างและช่วยให้ส่วนประกอบฮาร์ดแวร์ต่างๆ สามารถทำงานร่วมกันได้ โดยทั่วไป โปรแกรมผู้ใช้จะไม่ทำงานในโหมดเคอร์เนล พวกเขาทำงานในโหมดผู้ใช้ โปรแกรมโหมดผู้ใช้มีความสามารถจำกัด เนื่องจากไม่มีสิทธิ์ระดับสูง ตัวอย่างเช่น โปรแกรมโหมดผู้ใช้ไม่สามารถเขียนทับพื้นที่ที่อยู่เสมือนของโปรแกรมอื่นและทำให้การทำงานของโปรแกรมยุ่งเหยิงได้
โปรแกรมโหมดเคอร์เนลตามชื่อจะสามารถเข้าถึงเคอร์เนลของ Windows ได้อย่างสมบูรณ์และเข้าถึงทรัพยากรของ Windows ได้อย่างเต็มที่ พวกเขาสามารถเรียกระบบ เข้าถึงข้อมูลที่สำคัญ และเชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลได้โดยไม่มีอุปสรรค
กล่าวโดยย่อ โปรแกรมในโหมดเคอร์เนลมีการอนุญาตที่สูงกว่าแม้แต่โปรแกรมป้องกันไวรัส จึงสามารถเลี่ยงไฟร์วอลล์และการป้องกันอื่นๆ ที่ Windows และแอปของบุคคลที่สามตั้งค่าไว้ได้
ในหลายกรณี Windows จะไม่รู้ด้วยซ้ำว่ามีโค้ดอันตรายที่มีการเข้าถึงระดับเคอร์เนล ซึ่งทำให้การตรวจจับมัลแวร์ในโหมดเคอร์เนลทำได้ยากมากหรือในบางกรณีอาจทำไม่ได้
VBS มีเป้าหมายที่จะเปลี่ยนแปลงสิ่งนี้
ดังที่กล่าวไว้ในส่วนก่อนหน้า VBS จะสร้างพื้นที่ปลอดภัยของหน่วยความจำโดยใช้ Windows Hypervisor Windows Hypervisor มีสิทธิ์ระดับสูงสุดในระบบ สามารถตรวจสอบและบังคับใช้ข้อจำกัดในหน่วยความจำระบบได้
ดังนั้น หากมัลแวร์ในโหมดเคอร์เนลเปลี่ยนแปลงเพจในหน่วยความจำระบบ การตรวจสอบความสมบูรณ์ของโค้ดที่ขับเคลื่อนโดยไฮเปอร์ไวเซอร์จะตรวจสอบหน้าหน่วยความจำเพื่อหาการละเมิดความสมบูรณ์ที่อาจเกิดขึ้นภายในพื้นที่หน่วยความจำที่ปลอดภัย เฉพาะเมื่อโค้ดบางส่วนได้รับสัญญาณสีเขียวจากการตรวจสอบความสมบูรณ์เหล่านี้เท่านั้น โค้ดดังกล่าวจึงจะเรียกใช้งานได้นอกขอบเขตหน่วยความจำนี้
สรุปโดยย่อ Windows ต้องการ VBS เพื่อลดความเสี่ยงของมัลแวร์โหมดเคอร์เนลนอกเหนือจากการจัดการกับโค้ดที่เป็นอันตรายในโหมดผู้ใช้
Windows 11 ใช้ VBS อย่างไร
หากเราพิจารณาข้อกำหนดฮาร์ดแวร์ของ Windows 11 อย่างละเอียด เราจะเห็นได้ว่าสิ่งต่างๆ ส่วนใหญ่ที่ Microsoft กำหนดให้ใช้กับพีซี Windows 11 นั้นจำเป็นสำหรับ VBS ในการทำงาน Microsoft ให้รายละเอียดฮาร์ดแวร์ที่จำเป็นสำหรับ VBS ในการทำงานบนเว็บไซต์ ซึ่งรวมถึง:
- CPU 64 บิตพร้อมคุณสมบัติการเร่งด้วยฮาร์ดแวร์ เช่น Intel VT-X และ AMD-V
- Trusted Platform Module (TPM) 2.0
- UEFI
- ไดรเวอร์ที่รองรับ Hypervisor-Enforced Code Integrity (HVCI)
จากรายการนี้ ค่อนข้างชัดเจนว่าข้อกำหนดด้านฮาร์ดแวร์หลักของ Windows 11 รวมถึงซีพียู Intel เจนเนอเรชั่น 8 หรือสูงกว่านั้น มีไว้เพื่อรองรับ VBS และคุณสมบัติต่างๆ ที่เปิดใช้งาน หนึ่งในคุณสมบัติดังกล่าวคือ Hypervisor-Enforced Code Integrity (HVCI)
จำได้ว่า VBS ใช้ Windows Hypervisor เพื่อสร้างสภาพแวดล้อมหน่วยความจำเสมือนแยกจากส่วนที่เหลือของระบบปฏิบัติการ สภาพแวดล้อมนี้ทำหน้าที่เป็นรากแห่งความเชื่อถือของระบบปฏิบัติการ กล่าวอีกนัยหนึ่ง มีเพียงรหัสและกลไกความปลอดภัยที่อยู่ภายในสภาพแวดล้อมเสมือนนี้เท่านั้นที่จะได้รับความไว้วางใจ โปรแกรมและโซลูชันที่อยู่ภายนอกรวมถึงโค้ดโหมดเคอร์เนลจะไม่ได้รับความเชื่อถือจนกว่าจะได้รับการพิสูจน์ตัวตน HVCI เป็นองค์ประกอบหลักที่ช่วยเสริมความแข็งแกร่งให้กับสภาพแวดล้อมเสมือนที่ VBS สร้างขึ้น
ภายในขอบเขตหน่วยความจำเสมือน HVCI ตรวจสอบรหัสโหมดเคอร์เนลสำหรับการละเมิดความสมบูรณ์ รหัสโหมดเคอร์เนลที่เป็นปัญหาสามารถจัดสรรหน่วยความจำได้ก็ต่อเมื่อรหัสนั้นมาจากแหล่งที่เชื่อถือได้และหากการจัดสรรไม่ก่อให้เกิดภัยคุกคามต่อความปลอดภัยของระบบ
อย่างที่คุณเห็น HVCI เป็นเรื่องใหญ่ ดังนั้น Windows 11 จะเปิดคุณสมบัติตามค่าเริ่มต้นในทุกระบบที่เข้ากันได้
วิธีดูว่า VBS ถูกเปิดใช้งานบนคอมพิวเตอร์ของคุณหรือไม่
Microsoft เปิดใช้งาน VBS บนเครื่องที่สร้างไว้ล่วงหน้าและ OEM Windows 11 ที่เข้ากันได้โดยค่าเริ่มต้น น่าเสียดายที่ VBS สามารถแทงค์ประสิทธิภาพได้มากถึง 25% ดังนั้น หากคุณใช้ Windows 11 และไม่ต้องการการรักษาความปลอดภัยที่ทันสมัย อย่าลืมปิด VBS
หากต้องการตรวจสอบว่าเปิดใช้งาน VBS บนคอมพิวเตอร์ของคุณแล้ว ให้กด แป้น Windows พิมพ์ "ข้อมูลระบบ" และเลือกผลลัพธ์ที่เกี่ยวข้อง เมื่อแอปเปิดขึ้น ให้เลื่อนลงไปที่ความปลอดภัยบนการจำลองเสมือน และดูว่าเปิดใช้งานอยู่หรือไม่
ในการเปิด/ปิดใช้งาน VBS ให้กดปุ่ม Windows พิมพ์ การแยกหลัก และเลือกผลลัพธ์ที่เกี่ยวข้อง ใน การแยกแกน ส่วน ให้สลับ ความสมบูรณ์ของหน่วยความจำ เปิด/ปิด
สุดท้าย รีสตาร์ทพีซีของคุณ
VBS สามารถทำให้ Windows 11 มีความปลอดภัยมากขึ้น... แต่มีข้อเสียอยู่บ้าง
คุณลักษณะด้านความปลอดภัยที่สำคัญของ Windows 11 เช่น HVCI อาศัย VBS เป็นอย่างมาก ด้วยเหตุผลที่ดี VBS เป็นวิธีที่มีประสิทธิภาพในการเอาชนะโค้ดที่เป็นอันตรายและปกป้องระบบปฏิบัติการจากการละเมิดความปลอดภัย แต่เนื่องจาก VBS อาศัยเวอร์ชวลไลเซชั่น มันจึงกินส่วนประสิทธิภาพของระบบของคุณไปพอสมควร
สำหรับลูกค้าองค์กรของ Microsoft ความปลอดภัยที่เพิ่มขึ้นนี้แม้จะต้องแลกมาด้วยประสิทธิภาพก็ไม่ใช่ปัญหา แต่สำหรับคนทั่วไปที่ต้องการประสบการณ์ Windows ที่รวดเร็ว โดยเฉพาะอย่างยิ่งในระหว่างเล่นเกม ค่าใช้จ่ายด้านประสิทธิภาพของ VBS อาจเป็นเรื่องยากที่จะกลืน
โชคดีที่ Microsoft อนุญาตให้คุณปิดการใช้งาน VBS บนเครื่องของคุณ แต่ไม่ต้องกังวลกับการปิดใช้งาน VBS Windows 11 มีความปลอดภัยมากกว่า Windows 10 แม้จะไม่มี VBS