Op virtualisatie gebaseerde beveiliging is al jaren een functie op Windows 10. Het vloog voor veel mensen onder de radar omdat Microsoft het niet handhaafde; dit gaat echter veranderen met Windows 11.
Laten we VBS eens nader bekijken, zien wat het is en hoe u het kunt in- en uitschakelen.
Wat is op virtualisatie gebaseerde beveiliging (VBS)?
Virtualization-Based Security (VBS) gebruikt Windows Hypervisor om een deel van het hoofdgeheugen virtueel te isoleren van de rest van het besturingssysteem. Windows gebruikt dit geïsoleerde, veilige geheugengebied om belangrijke beveiligingsoplossingen op te slaan, zoals inloggegevens en code die verantwoordelijk is voor onder meer Windows-beveiliging.
De reden om beveiligingsoplossingen in een geïsoleerd deel van het geheugen te hosten, is om de oplossingen te beschermen tegen exploits die deze beveiligingen willen omzeilen. Malware richt zich vaak op de ingebouwde beveiligingsmechanismen van Windows om toegang te krijgen tot kritieke systeembronnen. Kwaadaardige code kan bijvoorbeeld toegang krijgen tot bronnen op kernelniveau door de code-authenticatiemethoden van Windows te verslaan.
Verwant: Wat is veilig aanmelden bij Windows 10 en hoe schakel ik dit in?
VBS lost dit probleem op door Windows-beveiligingsoplossingen te scheiden van de rest van het besturingssysteem. Dit maakt Windows veiliger omdat kwetsbaarheden de OS-beveiligingen niet kunnen omzeilen omdat ze geen toegang hebben tot deze beveiligingen. Een van deze beveiligingen is Hypervisor-Enforced Code Integrity (HVCI) of Memory Integrity.
HVCI maakt gebruik van VBS om verbeterde code-integriteitscontroles te implementeren. Deze controles verifiëren stuurprogramma's en programma's in de kernelmodus om er zeker van te zijn dat ze afkomstig zijn van vertrouwde bronnen. HVCI zorgt er dus voor dat alleen vertrouwde code in het geheugen wordt geladen.
Kortom, VBS is een mechanisme waarmee Windows kritieke beveiligingsoplossingen gescheiden houdt van al het andere. In het geval van een systeeminbreuk blijven oplossingen en informatie die door VBS worden beschermd, actief omdat kwaadaardige code niet kan infiltreren en deze niet kan uitschakelen/omzeilen.
De behoefte aan op virtualisatie gebaseerde beveiliging in Windows
Om de behoefte van Windows 11 aan VBS te begrijpen, moeten we de bedreigingen begrijpen die VBS moet elimineren. VBS is voornamelijk een mechanisme om te beschermen tegen kwaadaardige code die traditionele beveiligingsmechanismen niet aankunnen.
Met andere woorden, VBS heeft tot doel malware in de kernelmodus te verslaan.
Verwant: Wat is het verschil tussen malware, computervirussen en wormen?
De kernel is de kern van elk besturingssysteem. Het is de code die alles beheert en verschillende hardwarecomponenten laat samenwerken. Over het algemeen draaien gebruikersprogramma's niet in de kernelmodus. Ze draaien in de gebruikersmodus. Programma's in de gebruikersmodus hebben beperkte mogelijkheden omdat ze geen verhoogde machtigingen hebben. Een programma in de gebruikersmodus kan bijvoorbeeld de virtuele adresruimte van een ander programma niet overschrijven en knoeien met de werking ervan.
Programma's in de kernelmodus hebben, zoals de naam al doet vermoeden, volledige toegang tot de Windows-kernel en op hun beurt volledige toegang tot de bronnen van Windows. Ze kunnen zonder enige belemmering systeemaanroepen doen, toegang krijgen tot kritieke gegevens en verbinding maken met externe servers.
Kortom, programma's in de kernelmodus hebben hogere rechten dan zelfs antivirusprogramma's. Ze kunnen dus firewalls en andere beveiligingen omzeilen die zijn ingesteld door Windows en apps van derden.
In veel gevallen zal Windows niet eens weten dat er kwaadaardige code is met toegang op kernelniveau. Dit maakt het detecteren van malware in de kernelmodus extreem moeilijk of in sommige gevallen zelfs onmogelijk.
VBS wil hier verandering in brengen.
Zoals vermeld in de vorige sectie, maakt VBS een beveiligd geheugengebied met behulp van Windows Hypervisor. Windows Hypervisor heeft het hoogste machtigingsniveau in het systeem. Het kan beperkingen op het systeemgeheugen controleren en afdwingen.
Dus als een malware in de kernelmodus gewijzigde pagina's in het systeemgeheugen heeft, worden code-integriteitscontroles mogelijk gemaakt door de hypervisor onderzoekt geheugenpagina's op mogelijke integriteitsschendingen in het beveiligde geheugen regio. Pas als een stukje code een groen signaal krijgt van deze integriteitscontroles, wordt het uitvoerbaar gemaakt buiten dit geheugengebied.
Om een lang verhaal kort te maken, Windows heeft VBS nodig om het risico van malware in de kernelmodus te minimaliseren, naast het omgaan met kwaadaardige code in de gebruikersmodus.
Hoe gebruikt Windows 11 VBS?
Als we de hardwarevereisten van Windows 11 onder de loep nemen, kunnen we zien dat de meeste dingen die Microsoft vereist voor een Windows 11-pc, nodig zijn om VBS te laten werken. Microsoft geeft details over de hardware die nodig is om VBS op zijn website te laten werken, waaronder:
- Een 64-bits CPU met hardwareversnellingsfuncties zoals Intel VT-X en AMD-V
- Trusted Platform Module (TPM) 2.0
- UEFI
- Hypervisor-Enforced Code Integrity (HVCI)-compatibele stuurprogramma's
Uit deze lijst is het vrij duidelijk dat de belangrijkste hardwarevereisten van Windows 11, inclusief Intel 8e generatie of hoger CPU's, er zijn om VBS en de functies die het mogelijk maakt, te vergemakkelijken. Een dergelijke functie is Hypervisor-Enforced Code Integrity (HVCI).
Bedenk dat VBS Windows Hypervisor gebruikt om een virtuele geheugenomgeving te bouwen die losstaat van de rest van het besturingssysteem. Deze omgeving fungeert als de vertrouwensbasis van het besturingssysteem. Met andere woorden, alleen de code en beveiligingsmechanismen die zich in deze virtuele omgeving bevinden, worden vertrouwd. Programma's en oplossingen die zich buiten bevinden, inclusief code in de kernelmodus, worden niet vertrouwd totdat ze zijn geverifieerd. HVCI is een belangrijk onderdeel dat de virtuele omgeving die VBS creëert, versterkt.
Binnen het virtuele geheugengebied controleert HVCI de kernelmoduscode op integriteitsschendingen. De betreffende kernelmoduscode kan het geheugen alleen toewijzen als de code afkomstig is van een vertrouwde bron en als de toewijzingen geen bedreiging vormen voor de systeembeveiliging.
Zoals u kunt zien, is HVCI een groot probleem. Daarom schakelt Windows 11 de functie standaard in op elk compatibel systeem.
Hoe te zien of VBS op uw computer is ingeschakeld?
Microsoft schakelt VBS standaard in op compatibele, vooraf gebouwde en OEM Windows 11-machines. Helaas kan VBS de prestaties met maar liefst 25% verminderen. Dus als u Windows 11 gebruikt en geen geavanceerde beveiliging nodig hebt, moet u VBS uitschakelen.
Om te controleren of VBS op uw computer is ingeschakeld, drukt u op de Windows-toets, typ "systeeminformatie" en kies het relevante resultaat. Zodra de app is geopend, scrolt u omlaag naar Op virtualisatie gebaseerde beveiliging en kijk of het is ingeschakeld.
Om VBS in of uit te schakelen, drukt u op de Windows-toets, typt u "core isolation" en kiest u het relevante resultaat. In de Kernisolatie sectie, toggle Geheugenintegriteit Aan uit.
Start ten slotte uw pc opnieuw op.
VBS kan Windows 11 veel veiliger maken... maar er zijn nadelen
De grote beveiligingsfuncties van Windows 11, zoals HVCI, zijn niet voor niets sterk afhankelijk van VBS. VBS is een effectieve manier om kwaadaardige code te verslaan en het besturingssysteem te beschermen tegen beveiligingsinbreuken. Maar omdat VBS afhankelijk is van virtualisatie, kan het een behoorlijk deel van uw systeemprestaties opslokken.
Voor zakelijke klanten van Microsoft is deze beveiligingsbump, zelfs als het ten koste gaat van de prestaties, een goed idee. Maar voor gemiddelde mensen die een snelle Windows-ervaring willen, vooral tijdens het gamen, kunnen de prestatiekosten van VBS moeilijk te slikken zijn.
Gelukkig kunt u met Microsoft VBS op uw computer uitschakelen. Maar maak je geen zorgen over het uitschakelen van VBS. Windows 11 is veel veiliger dan Windows 10, zelfs zonder VBS.
Van vertrouwde ondersteuningsmodules tot UEFI Secure Boot, Windows 11 zal het beveiligingsspel opvoeren en zijn oudere broer mijlenver overtreffen.
Lees volgende
- ramen
- Windows 11
- Veiligheid
- Cyberbeveiliging
Fawad is een fulltime freelance schrijver. Hij houdt van technologie en eten. Als hij niet aan het eten is of over Windows schrijft, is hij ofwel aan het gamen of aan het dagdromen over reizen.
Abonneer op onze nieuwsbrief
Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!
Klik hier om je te abonneren