Безопасность на основе виртуализации, также известная как VBS, позволяет Windows 11 создавать защищенный анклав памяти, изолированный от небезопасного кода. Другая встроенная функция, называемая целостностью кода с применением гипервизора (HVCI), использует возможности VBS для предотвращения попадания неподписанных или сомнительных драйверов и программного обеспечения в память. Вместе VBS и HVCI добавляют уровень защиты, который ограничивает ущерб, который вредоносное ПО может нанести, даже если оно пройдет мимо вашего антивирусного ПО.
К сожалению, VBS и HVCI требуют значительных затрат на производительность, особенно когда дело касается игр. В тестах обнаружили, что игры работали на 5 процентов медленнее с этими настройками, чем с выключенными. Другие тестировщики увидели еще большое снижение производительности; на сайте PC Gamer отметили падение производительности на 25 процентов, хотя они тестировали процессоры Intel 10-го поколения, когда Microsoft рекомендует не менее 11-го поколения.
Простое обновление до Windows 11 не включит VBS, если вы не включили его в Windows 10, где он не использовался по умолчанию в течение нескольких лет. Так что на данный момент это проблема, с которой сталкиваются немногие.
Однако, если вы выполняете чистую установку Windows 11 или покупаете новый ноутбук или настольный компьютер с Windows 11, по умолчанию у вас может быть включен VBS / HVCI. Microsoft рекомендует включить его в OEMS по умолчанию, но отмечает, что «некоторые устройства, которые особенно чувствительны к производительности (например, игровые ПК), могут поставляться с отключенным HVCI». И уже известно, по крайней мере, об одном OEM, который утверждает, что они будут поставлять свои системы с отключенным VBS.
Если вы используете Windows 11, и производительность, особенно в играх, имеет для вас наибольшее значение, ниже будет показано, как проверить, включен ли VBS / HVCI и как его отключить. Однако, если вы не играете, вы можете оставить защиту на месте.
Как проверить, включен ли VBS в Windows 11
Прежде чем вы начнете думать об отключении VBS, вам нужно выяснить, включен ли он вообще.
1. Откройте системную информацию. Самый простой способ сделать это — выполнить поиск «системной информации» в поиске Windows и щелкнуть верхний результат.
2. Прокрутите вниз и найдите строку «Безопасность на основе виртуализации». Если написано «работает», значит VBS включен. Но если написано «не включено», значит ничего больше делать не надо.
Как отключить VBS / HVCI в Windows 11
1. Найдите Core Isolation в поиске Windows и щелкните верхний результат .
2. Нажмите «Безопасность Windows» и «ОК», если вас спросят, какое приложение использовать. Откроется подменю.
3. Выключите целостность памяти, если она была включена. Если уже выключена, переходите к шагу 6.
4. Перезагрузите компьютер, как будет предложено.
5. Еще раз проверьте информацию о системе, чтобы убедиться, что безопасность на основе виртуализации выключена. Если да, то все готово. Если нет, перейдите к шагу 6, где вы отключите VBS в реестре.
6. Откройте regedit. Самый простой способ — нажать Windows + R, ввести regedit в текстовое поле и нажать ОК.
7. Перейдите к HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard.
8. Откройте EnableVirtualizationBasedSecurity и установите для него значение 0.
9. Закройте regedit и перезагрузите компьютер .
На этом этапе вы должны увидеть, что VBS отключен в приложении с системной информацией.
Telegram-канал @overclockers_news — теперь в новом формате. Подписывайся, чтобы быть в курсе всех новостей!
Некоторые пользователи последних версий Windows жалуются на то, что они работают куда медленнее легендарной «семерки». И правда, многие функции Windows 10 и 11 могут замедлить ваш ПК, если на нем не очень мощный процессор. Как избавить себя от этой напасти простыми действиями — расскажу ниже.
Отключите автозапуск приложений
Это решение будет особенно полезным, если вас бесят долгие загрузки операционной системы. Чтобы ускорить их, зайдите в «Пуск», затем в «Параметры», потом в «Приложения» и найдите там «Автозагрузку». Внутри будет список приложений, который вы можете корректировать — вплоть до полной его очистки.
Уберите анимации и визуальные эффекты
Визуал последних Windows тоже нагружает ПК. Избавиться от него можно двумя путями.
Первый — самый простой. Вам нужно будет найти в «Параметрах» пункт «Специальные возможности», затем выбрать «Визуальные эффекты». Внутри найдите переключатель «Эффекты анимации» — он-то вам и нужен.
Если вам хочется более подробно настроить отключение анимаций, вы можете пойти другим путем. Включите приложение «Выполнить» комбинацией клавиш Win+R, в появившемся окне введите «sysdm.cpl» и нажмите «Ок».
В открывшемся окне «Свойства системы» выберете вкладку «Дополнительно», найдите раздел «Быстродействие» и кликните там на «Параметры…». В новом меню найдите вкладку «Визуальные эффекты», затем активируйте кнопку «Особые эффекты». Вам откроется подробный список эффектов, которые вы можете отключить.
Откажитесь от VBS
Virtualization-based security (VBS) — это относительно новая фишка Windows 10 и 11, которую Microsoft ввела в погоне за безопасностью пользователей.
Ее смысл — в резервировании части памяти компьютера для создания подсистемы с виртуализацией, которая должна подстраховывать компьютер от вредоносного ПО. Главная проблема этой функции — ее немаленькие аппетиты на память и процессор компьютера.
Отключить ее можно через редактор локальной групповой политики. Для этого открываем «Выполнить» через Win+R, вводим «gpedit.msc» и переходим туда.
Внутри перейдите по пути «Конфигурация компьютера» — «Административные шаблоны» — «Система» — «Device Guard», затем дважды кликните на «Включить средство обеспечения безопасности на основе виртуализации». В новом окне отключите VBS, примените настройки, затем перезагрузите компьютер.
Помните: отключение VBS потенциально ослабляет защиту вашего ПК от вредоносного ПО. Используйте этот пункт на свой страх и риск!
Остановите фоновые приложения
У Windows, помимо стандартных программ, есть фоновые утилиты, которые работают скрыто. Они тоже «едят» ресурсы компьютера и их тоже можно отключить, чтобы сделать его быстрее.
Для этого снова откройте «gpedit.msc», идите по пути «Конфигурация компьютера» — «Административные шаблоны» — «Компоненты Windows» — «Конфиденциальность приложения».
В открывшемся списке найдите «Разрешить приложениям для Windows работать в фоновом режиме». Дважды щелкните на него, затем в новом окне отключите эту функцию.
Отключите поисковое индексирование
Особенно актуально для ПК с HDD, так как старый жесткий диск может сильно нагружаться из-за стремления Windows хэшировать всю файловую систему для ускорения возможного поиска файлов.
Чтобы убрать ее, найдите в меню «Пуск» приложение «Службы». После того, как откроете его, активируйте вкладку «Windows Search» в списке справа.
Найдите строку «Состояние», нажмите там кнопку «Отключить», а затем — «Применить». После перезапуска ПК быстродействие вашей системы должно повыситься — правда, ценой более медленного поиска файлов.
Измените режим питания (для ноутбуков)
Ноутбуки, работающие автономно, можно ускорить, если поменять им режим питания от батареи.
Делается это просто: в «Параметрах» выбираем раздел «Система», а внутри — «Питание». В новой вкладке будет кнопка «Режим питания» — нажимаем на нее и переключаем на «Макс. производительность».
Учтите, что этот способ будет делать ноутбук быстрее за счет меньшего времени автономной работы, так как в нем устройство не будет экономить заряд батареи.
Virtualization-Based Security has been a feature on Windows 10 for years. It flew under the radar for many people because Microsoft wasn’t enforcing it; however, this is going to change with Windows 11.
Let’s take a closer look at VBS, see what it is, and how to enable and disable it.
What Is Virtualization-Based Security (VBS)?
Virtualization-Based Security (VBS) uses Windows Hypervisor to virtually isolate a segment of main memory from the rest of the operating system. Windows uses this isolated, secure region of memory to store important security solutions like log-in credentials and code responsible for Windows security, among other things.
The reason to host security solutions inside an isolated part of memory is to protect the solutions from exploits that aim to defeat these protections. Malware often targets Windows’ built-in security mechanisms to gain access to critical system resources. For instance, malicious code can gain access to kernel-level resources by defeating Windows’ code authentication methods.
VBS solves this problem by separating Windows security solutions from the rest of the OS. This makes Windows more secure since vulnerabilities can’t bypass the OS protections because they don’t have access to these protections. One of these protections is Hypervisor-Enforced Code Integrity (HVCI) or Memory Integrity.
HVCI leverages VBS to implement enhanced code integrity checks. These checks authenticate kernel-mode drivers and programs to make sure they come from trusted sources. So, HVCI ensures that only trusted code is loaded into memory.
In short, VBS is a mechanism by which Windows keeps critical security solutions separate from everything else. In case of a system breach, solutions and information protected by VBS will remain active since malicious code can’t infiltrate and disable/bypass them.
The Need for Virtualization-Based Security in Windows
To understand Windows 11’s need for VBS, we have to understand the threats that VBS is intended to eliminate. VBS is mainly a mechanism to protect against malicious code that traditional security mechanisms can’t handle.
In other words, VBS aims to defeat kernel-mode malware.
The kernel is the core of any OS. It is the code that manages everything and allows different hardware components to work together. Generally, user programs don’t run in kernel-mode. They run in user-mode. User-mode programs have limited capabilities as they don’t have elevated permissions. For instance, a user-mode program can’t overwrite another program’s virtual address space and mess with its operation.
Kernel-mode programs, as the name suggests, have full access to Windows kernel and in turn full access to Windows’ resources. They can make system calls, access critical data, and connect to remote servers without any hindrances.
In short, kernel-mode programs have elevated permissions than even anti-virus programs. So, they can bypass firewalls and other protections set up by Windows and third-party apps.
In many cases, Windows won’t even know there is malicious code with kernel-level access. This makes detecting kernel-mode malware extremely hard or, in some cases, even impossible.
VBS aims to change this.
As mentioned in the previous section, VBS creates a secure region of memory using Windows Hypervisor. Windows Hypervisor has the highest level of permissions in the system. It can check and enforce restrictions on system memory.
So, if a kernel-mode malware has altered pages in system memory, code integrity checks powered by the hypervisor examine memory pages for potential integrity violations inside the secure memory region. Only when a piece of code receives a green signal from these integrity checks is it made executable outside of this memory region.
Long story short, Windows needs VBS to minimize the risk of kernel-mode malware in addition to dealing with user-mode malicious code.
How Does Windows 11 Use VBS?
If we take a close look at the hardware requirements of Windows 11, we can see that most of the things Microsoft is mandating for a Windows 11 PC are needed for VBS to work. Microsoft details the hardware needed for VBS to work on its website, including:
- A 64-bit CPU with hardware acceleration features such as Intel VT-X and AMD-V
- Trusted Platform Module (TPM) 2.0
- UEFI
- Hypervisor-Enforced Code Integrity (HVCI) compatible drivers
From this list, it is quite clear that Windows 11’s major hardware requirements, including Intel 8th gen or above CPUs, are there to facilitate VBS and the features it enables. One such feature is Hypervisor-Enforced Code Integrity (HVCI).
Recall that VBS uses Windows Hypervisor to build a virtual memory environment separate from the rest of the OS. This environment acts as the OS’s root of trust. In other words, only the code and security mechanisms residing inside this virtual environment are trusted. Programs and solutions residing outside including any kernel-mode code are not trusted until they are authenticated. HVCI is a key component that strengthens the virtual environment that VBS creates.
Inside the virtual memory region, HVCI checks kernel-mode code for integrity violations. The kernel-mode code under question can only allocate the memory if the code is from a trusted source and if the allocations don’t pose any threat to system security.
As you can see, HVCI is a big deal. Therefore, Windows 11 turns the feature on by default on every compatible system.
How to See if VBS Is Enabled on Your Computer
Microsoft enables VBS on compatible pre-built and OEM Windows 11 machines by default. Unfortunately, VBS can tank performance by as much as 25%. So, if you are running Windows 11 and don’t need cutting-edge security, make sure to turn VBS off.
To check VBS is enabled on your computer, hit the Windows key, type “system information”, and choose the relevant result. Once the app opens up, scroll down to Virtualization-based security and see if it is enabled.
To enable/disable VBS, press the Windows key, type “core isolation”, and pick the relevant result. In the Core Isolation section, toggle Memory integrity On/Off.
Finally, restart your PC.
VBS Can Make Windows 11 Much More Secure… but There Are Drawbacks
Windows 11’s big security features like HVCI rely heavily on VBS, for good reason. VBS is an effective way to defeat malicious code and protect the OS from security breaches. But because VBS relies on virtualization, it can eat a fair chunk of your system performance.
For Microsoft’s enterprise customers, this security bump, even when it comes at the cost of performance, is a no-brainer. But for average folks who want a speedy Windows experience, especially during gaming, VBS’s performance cost can be hard to swallow.
Thankfully, Microsoft allows you to disable VBS on your machine. But don’t worry about disabling VBS. Windows 11 is way more secure than Windows 10 even without VBS.
Время на прочтение2 мин
Количество просмотров1.2K
Microsoft раскрыла подробности работы и системные требования новой функции безопасности на основе виртуализации VBS Enclave в Windows 11. Её включили по умолчанию для обеспечения дополнительного уровня защиты.
Компания опубликовала подробную информацию о VBS Enclaves, которая представляет собой среду доверенного выполнения (TEE) для обеспечения безопасности сторонних приложений с использованием возможностей режима изолированного пользователя Virtual Trust.
Анклавы VBS по сути представляют собой тип файла DLL, и Windows может использовать их в различных программах. Microsoft объясняет: анклав VBS — это программный TEE внутри адресного пространства хост-приложения. Это библиотека динамической компоновки (DLL), загружаемая стандартным приложением Windows. Анклавы VBS могут помочь защитить секреты и конфиденциальные операции в памяти. Основная предпосылка заключается в том, что они могут изолировать часть приложения, которую требуется защитить в памяти.
VBS использует гипервизор Windows Hyper-V для создания изолированной привилегированной виртуальной среды с уровнем 1 (VTL1). Традиционная среда Windows называется VTL0. VTL1 дополнительно делится на режим изолированного пользователя и защищённое ядро. Это позволяет анклаву VBS изолировать часть приложения в VTL1 с более высоким уровнем привилегий, недоступную для VTL0.
Microsoft также опубликовала системные требования для анклавов VBS:
-
VBS/HVCI должен быть включён;
-
требуется Windows 11 или Windows Server 2019 или новее.
VBS позволяет автоматически запускать Credential Guard — функцию, использующую VBS для защиты от кражи учётных данных и доступа вредоносных программ к системным секретам, а также дополнительную защиту процесса локального администратора безопасности (LSA), гарантируя, что процесс загружает только подписанный код.
2 года назад с запуском Windows 11 были опасения, что новые функции Virtualization Based Security (VBS, безопасность на основе виртуализации) и HyperVisor-Enforced Code Integrity (HVCI, целостность кода с применением гипервизора) могут повлиять на производительность. И таки повлияли, особенно VBS: в играх производительность меньше на 5%, в некоторых случаях около 10%.
С одним из последних обновлений Microsoft по-тихому снова включила VBS, даже если у пользователей она была принудительно выключена. На этой почве ресурс Tom’s Hardware взялся выяснить, как изменилась ситуация с быстродействием с учётом накопившихся обновлений, а также появлением новых процессоров и видеокарт.
Если кратко, то никак. По-прежнему VBS отъедает 5-10%. Наиболее заметно в Flight Simulator, который активно нагружает процессор. Куда более значительные отличия по проценту. Здесь в среднем уже 10%, часто 15%, а игра Total War Warhammer 3 и вовсе показала немыслимые цифры. Впрочем, здесь тоже всё как и раньше (кроме TWW 3).
Игрокам Tom’s Hardware рекомендует снова отключить VBS (инструкция здесь), и периодически проверять, чтобы не включилась сама. Терять fps из-за непонятных «преимуществ безопасности» глупо.