Advertentie
Microsoft gaat door het draaien van kleine virtuele machines op je pc, je data beter beveiligen tegen hackers. Dit doen ze met behulp van Virtualization-Based Security (VBS), een functie die standaard geactiveerd wordt tijdens de installatie van Windows 11. Het idee hierachter is om je desktopomgeving te draaien als een virtuele omgeving op basis van Hyper-V Hypervisor, waardoor de databeveiliging en integriteit van je Windows-installatie veel beter te beheersen zijn. Het probleem met deze benadering is echter dat het een negatieve invloed heeft op de prestaties van je machine.
Gamers en mensen die hoge eisen stellen aan hun machines wordt meestal geadviseerd om VBS en Hyper-V-gebaseerde virtualisatie uit te zetten, omdat dit een positieve invloed heeft op de prestaties. Toch blijft Microsoft een groot voorstander van VBS, en ze introduceren nu een nieuwe functie genaamd VBS enclaves, die het mogelijk maakt om applicaties te bouwen waarvoor databeveiliging topprioriteit heeft.
Een VBS enclave is een op software gebaseerde beveiligde vertrouwde uitvoeringsomgeving (TEE - Trusted Execution Environment). Dankzij Hyper-V kan VBS op een hoger privilege draaien dan het besturingssysteem zelf. Met de VBS enclaves kunnen ontwikkelaars specifieke gedeelten van hun applicatie beveiligen met behulp van Dynamic Link Library (DLL) bestanden, die geladen kunnen worden door elke standaard Windows-applicatie.
Deze geïsoleerde omgevingen draaien op Virtual Trust Level 1 (VTL 1), wat Microsoft omschrijft als de root of trust van het besturingssysteem. Het traditionele besturingssysteem draait een niveau lager, op VTL0, terwijl VTL1 draait in geïsoleerde gebruikersmodus en beveiligde kernel. Een gevirtualiseerde Windows-omgeving draait veel van zijn beveiligde processen ook in VTL 1, en de enclaves kunnen dus gedeelten van applicaties daar ook draaien. Niets wat op VTL0 draait kan bij die processen, dus kunnen ontwikkelaars die VBS enclaves gebruiken data opslaan zoals wachtwoorden, gevoelige data, en bijvoorbeeld data decrypteren in een beveiligde omgeving, wat volgens Microsoft hacker-vrij zou moeten zijn.
Om gebruik te maken van VBS enclaves, heb je een gevirtualiseerde Windows-omgeving nodig met de functies VBS/HVCI aan. Windows 11 en Windows Server 2019 zijn ook nodig. Ontwikkelaars hebben Visual Studio 2022 versie 17.9 of later nodig om gebruik te kunnen maken van de VBS enclaves. Of VBS enclaves echt het ei van Columbus zijn om je data beter te beveiligen moet zich nog bewijzen. De meeste gebruikers draaien namelijk Windows niet onder virtualisatie vanwege de eerder genoemde nadelen, maar de kans is groot dat Microsoft een manier vindt om dit ook voor normale gebruikers te integreren en je data hiermee beter te beveiligen.