Анклавы безопасности на основе виртуализации (VBS)

Анклав безопасности на основе виртуализации (VBS) — это программная среда доверенного выполнения в адресном пространстве ведущего приложения. Анклавы VBS используют базовую технологию VBS для изоляции конфиденциальной части приложения в безопасной секции памяти. Анклава VBS обеспечивают изоляцию конфиденциальных рабочих нагрузок от ведущего приложения и остальной части системы.

Запланировав заранее и изолировав конфиденциальную часть рабочей нагрузки, ее можно изолировать в анклавах VBS, как показано на следующей схеме:

Требования к устройствам

Для запуска анклавов VBS необходимо следующее:

• Необходимо включить VBS/HVCI. Это должно быть включено в Windows 11 или более поздней версии по умолчанию. Дополнительные сведения см. в статье "Включение защиты целостности кода на основе виртуализации ".
• Windows 11 или более поздней версии или Windows Server 2019 или более поздней версии.

Предварительные требования для разработки

Помимо требований к устройству, для разработки анклавов VBS необходимо следующее:

• Visual Studio 2022 версии 17.9 или более поздней версии— требуется компилятор Microsoft Visual C++ (MSVC ). Установка Visual Studio упрощает эту процедуру.
• Пакет SDK для Windows версии 10.0.22621.3233 или более поздней версии, который предоставляет veiid.exe (служебную программу привязки идентификаторов импорта ИД VBS) и signtool.exe.
• Учетная запись доверенного подписывания .

Дополнительные ресурсы

• Руководство по разработке анклава VBS
• API, доступные в анклавах VBS
• Защита конфиденциальных рабочих нагрузок с помощью анклава VBS
• Обзор безопасных анклавах (доверенное выполнение)
• Документация по Always Encrypted с безопасными анклавами
• Безопасность на основе виртуализации (VBS) | Разработчик оборудования Windows
• Новые функции Windows 11 по укреплению безопасности для решения развивающейся ландшафтной кибербезопасности