Безопасность на основе виртуализации, Virtualization based security или VBS — функция Windows 11 и Windows 10, предотвращающая выполнение потенциально опасного кода в памяти компьютера, изолируя его. Функция полезная, но по некоторым отзывам её отключение может повысить производительность в играх, а некоторые программы могут не запускаться, если она включена.
В этой инструкции описаны способы отключить безопасность на основе виртуализации. Далее рассмотрено отключение Virtualization Based Security в редакторе локальной и групповой политики, а также альтернативные методы, если отключение этими способами не помогло.
Как отключить безопасность на основе виртуализации в редакторе локальной групповой политики или редакторе реестра
Основной способ отключения Virtualization Based Security — настройка соответствующей политики в Windows. Если у вас установлена Pro или Enterprise версия системы, можно использовать редактор локальной групповой политики:
- Нажмите правой кнопкой мыши по кнопке «Пуск», выберите пункт «Выполнить», введите gpedit.msc и нажмите Enter.
- В редакторе локальной групповой политики перейдите к разделу «Конфигурация компьютера» — «Административные шаблоны» — «Система» — «Device Guard». Дважды кликните по пункту «Включить средство обеспечение безопасности на основе виртуализации» в правой панели.
- Установите значение «Отключено» и примените настройки.
- Перезагрузите компьютер.
В случае, если на вашем компьютере установлена домашняя редакция Windows, можно использовать редактор реестра:
- Нажмите клавиши Win+R на клавиатуре, введите regedit и нажмите Enter.
- Перейдите к разделу реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard
- Нажмите правой кнопкой мыши в пустом месте правой панели редактора реестра и создайте новый параметр DWORD с именем EnableVirtualizationBasedSecurity и установите значение 0 для него.
- При наличии такого параметра, дважды нажмите по нему и измените значение на 0.
- Перезагрузите компьютер.
В результате функция VBS будет отключена. Если несмотря на это какая-то программа требует отключить Virtualization Based Security для своей работы, используйте далее описанные методы.
Дополнительные методы отключения Virtualization Based Security
Если предыдущий вариант не помог, и какая-то программа при запуске требует отключить VBS, можно использовать дополнительные подходы. Учитывайте, что при их использовании также будут отключены другие встроенные функции виртуализации Windows 11 и Windows 10 (на базе Hyper-V):
- Запустите командную строку от имени администратора, введите команду
bcdedit /set hypervisorlaunchtype off
и нажмите Enter. После этого перезагрузите компьютер.
- Откройте окно «Программы и компоненты» в панели управления или с помощью Win+R — appwiz.cpl, нажмите «Включение или отключение компонентов Windows» слева, отключите компоненты «Application Guard в Microsoft Defender», «Hyper-V», «Платформа виртуальной машины», нажмите «Ок» и перезагрузите компьютер после удаления компонентов.
Обычно один из этих способов помогает решить проблемы, связанные с включенной функцией безопасности на основе виртуализации. Если вам требуется узнать текущий статус функции, вы можете нажать клавиши Win+R, ввести команду msinfo32 и нажать Enter.
В разделе «Сведения о системе» внизу списка вы найдете пункт «Безопасность на основе виртуализации» с нужной информацией.
После презентации Windows 11 в конце июня 2021 года, энтузиасты со всего мира поспешили попробовать тестовые сборки новоиспеченной системы, однако встретили множество подводных камней. Было выяснено, что ОС требует соблюдение некоторых требований ПК, на который она устанавливается, для поддержки новых систем, а также новых функций, основанных на виртуализации. Направлены эти нововведения в основном на защиту обычных пользователей и бизнеса от новейших вредоносных программ.
- В тему: Всё о Windows 11 — секреты, инструкции, лайфхаки и полезные статьи
Как оказалось, Windows 10 версии 20H2 и новее уже поддерживают все новые функции безопасности. Несмотря на то, обычный вы юзер, владелец малого бизнеса или крупного предприятия, уже сейчас можно использовать новые системы, просто разрешив их в групповой политике, а не дожидаясь выхода новой ОС в октябре.
Первая опция: TPM 2.0
Trusted Platform Module (TPM) — это технология, созданная для обеспечения аппаратных криптографических служб безопасности. Если не вдаваться в детали, то она используется для создания и хранения уникальных ключей вашей системы, а также применяется для поддержки работы функции безопасной загрузки (Secure Boot). Главная проблема в том, что TPM 2.0, необходимый для загрузки Windows 11, доступен в ПК, выпущенных в последние шесть лет.
К слову, вам не нужно настраивать TPM, если он уже есть в вашей системе и не отключен через биос. Скорее всего, он уже работает и защищает вашу ОС. Вы можете проверить наличие у вас такого модуля, открыв «Диспетчер устройств» и развернув пункт «Устройства безопасности». Если вы не нашли нужного устройства, то есть вероятность, что TPM, все-таки, отключен в биосе и его нужно включить, поэтому рекомендую почитать дополнительные материалы о подключении этой функции именно для вашей материнской платы.
Вторая опция: безопасность, основанная на виртуализации
Очень важная функция, которая появилась в Windows 10 и 11, — это HCVI или функция, отвечающая за целостность кода с защитой, использующей гипервизор (виртуализацию). В то время как в Windows 11 эта функция поставляется по умолчанию, в 10-й версии вам необходимо ее включить вручную, просто перейдя на вкладку «Безопасность устройства» и активировав в меню «Изоляции ядра» функцию «Целостность памяти».
Важно отметить, что эта функция доступна лишь на 64-разрядных процессорах с аппаратными расширениями виртуализации, такими как Intel VT-X и AMD-V. Звучит страшно, однако наличие всех необходимых компонентов можно проверить в меню Безопасность устройства, которое сообщит, если какой-то функции не хватает.
В Windows 10 и Windows 11 система VBS (Virtualization-Based Security) или «Безопасность на основе виртуализации» использует Microsoft Hyper-V для создания и изоляции защищенной области памяти от ОС, тем самым защищая ее от воздействия вредоносного кода. Эта система напрямую используется в HVCI для усиления функции соблюдения целостности кода, проверяя каждый драйвер и каждый двоичный файл приложения, предотвращая запуск их неподписанных копий, которые могут оказаться поддельными.
Третья опция: Microsoft Defender Application Guard (MDAG)
⚠️ Microsoft Defender Application Guard доступен только в Windows 10 Professional, Education и Enterprise.
Еще одна система, с которой не знакомы многие пользователи Windows, — это Microsoft Defender Application Guard или MDAG. Эта функция, также как и предыдущая, напрямую основана на виртуализации, которая автоматически изолирует экземпляр памяти вашего браузера Microsoft Edge (в Chrome и Firefox работа осуществляется при помощи расширения), тем самым предотвращая возможности взлома вашей системы ненадежными веб-сайтами.
Помимо защиты интернет-соединения через браузер, MDAG также предоставляет возможность его использования с Microsoft 365 и Office. Он запрещает доступ файлам программ Word, PowerPoint и Excel к различным корпоративным данным и личным файлам.
Это перевод материала ZDNet.
2 года назад с запуском Windows 11 были опасения, что новые функции Virtualization Based Security (VBS, безопасность на основе виртуализации) и HyperVisor-Enforced Code Integrity (HVCI, целостность кода с применением гипервизора) могут повлиять на производительность. И таки повлияли, особенно VBS: в играх производительность меньше на 5%, в некоторых случаях около 10%.
С одним из последних обновлений Microsoft по-тихому снова включила VBS, даже если у пользователей она была принудительно выключена. На этой почве ресурс Tom’s Hardware взялся выяснить, как изменилась ситуация с быстродействием с учётом накопившихся обновлений, а также появлением новых процессоров и видеокарт.
Если кратко, то никак. По-прежнему VBS отъедает 5-10%. Наиболее заметно в Flight Simulator, который активно нагружает процессор. Куда более значительные отличия по проценту. Здесь в среднем уже 10%, часто 15%, а игра Total War Warhammer 3 и вовсе показала немыслимые цифры. Впрочем, здесь тоже всё как и раньше (кроме TWW 3).
Игрокам Tom’s Hardware рекомендует снова отключить VBS (инструкция здесь), и периодически проверять, чтобы не включилась сама. Терять fps из-за непонятных «преимуществ безопасности» глупо.
Безопасность на основе виртуализации, также известная как VBS, позволяет Windows 11 создавать защищенный анклав памяти, изолированный от небезопасного кода. Другая встроенная функция, называемая целостностью кода с применением гипервизора (HVCI), использует возможности VBS для предотвращения попадания неподписанных или сомнительных драйверов и программного обеспечения в память. Вместе VBS и HVCI добавляют уровень защиты, который ограничивает ущерб, который вредоносное ПО может нанести, даже если оно пройдет мимо вашего антивирусного ПО.
К сожалению, VBS и HVCI требуют значительных затрат на производительность, особенно когда дело касается игр. В тестах обнаружили, что игры работали на 5 процентов медленнее с этими настройками, чем с выключенными. Другие тестировщики увидели еще большое снижение производительности; на сайте PC Gamer отметили падение производительности на 25 процентов, хотя они тестировали процессоры Intel 10-го поколения, когда Microsoft рекомендует не менее 11-го поколения.
Простое обновление до Windows 11 не включит VBS, если вы не включили его в Windows 10, где он не использовался по умолчанию в течение нескольких лет. Так что на данный момент это проблема, с которой сталкиваются немногие.
Однако, если вы выполняете чистую установку Windows 11 или покупаете новый ноутбук или настольный компьютер с Windows 11, по умолчанию у вас может быть включен VBS / HVCI. Microsoft рекомендует включить его в OEMS по умолчанию, но отмечает, что «некоторые устройства, которые особенно чувствительны к производительности (например, игровые ПК), могут поставляться с отключенным HVCI». И уже известно, по крайней мере, об одном OEM, который утверждает, что они будут поставлять свои системы с отключенным VBS.
Если вы используете Windows 11, и производительность, особенно в играх, имеет для вас наибольшее значение, ниже будет показано, как проверить, включен ли VBS / HVCI и как его отключить. Однако, если вы не играете, вы можете оставить защиту на месте.
Как проверить, включен ли VBS в Windows 11
Прежде чем вы начнете думать об отключении VBS, вам нужно выяснить, включен ли он вообще.
1. Откройте системную информацию. Самый простой способ сделать это — выполнить поиск «системной информации» в поиске Windows и щелкнуть верхний результат.
2. Прокрутите вниз и найдите строку «Безопасность на основе виртуализации». Если написано «работает», значит VBS включен. Но если написано «не включено», значит ничего больше делать не надо.
Как отключить VBS / HVCI в Windows 11
1. Найдите Core Isolation в поиске Windows и щелкните верхний результат .
2. Нажмите «Безопасность Windows» и «ОК», если вас спросят, какое приложение использовать. Откроется подменю.
3. Выключите целостность памяти, если она была включена. Если уже выключена, переходите к шагу 6.
4. Перезагрузите компьютер, как будет предложено.
5. Еще раз проверьте информацию о системе, чтобы убедиться, что безопасность на основе виртуализации выключена. Если да, то все готово. Если нет, перейдите к шагу 6, где вы отключите VBS в реестре.
6. Откройте regedit. Самый простой способ — нажать Windows + R, ввести regedit в текстовое поле и нажать ОК.
7. Перейдите к HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard.
8. Откройте EnableVirtualizationBasedSecurity и установите для него значение 0.
9. Закройте regedit и перезагрузите компьютер .
На этом этапе вы должны увидеть, что VBS отключен в приложении с системной информацией.
Telegram-канал @overclockers_news — теперь в новом формате. Подписывайся, чтобы быть в курсе всех новостей!
For a Windows operating system, Hypervisor-Protected Code Integrity (HVCI) can use hardware technology and virtualization to isolate the Code Integrity (CI) decision-making function from the rest of the Windows operating system. When using virtualization-based security to isolate Code Integrity, the only way kernel memory can become executable is through a Code Integrity verification. So this over all increases the security of your system. In this article, we will see how you can enable virtualization-based security in Windows 11/Windows 10.
The virtualization-based security offers following features:
- HVCI protects modification of the Control Flow Guard (CFG) bitmap.
- HVCI also ensures that your other trusted processes, like Credential Guard, have got a valid certificate.
- Modern device drivers must also have an EV (Extended Validation) certificate and should support HVCI infrastructure.
You can checkout all about HVCI in this documentation. If you want to enable this virtualization-based security on your Windows, here’s how you can do that.
Page Contents
Enable virtualization-based security in Windows 11/10
Method 1 – Using Windows Security
You can easily enable HVCI in Windows 11/10 using Windows Security app. Here, it is labelled as Memory integrity. Follow these steps:
1. Open Windows Security from taskbar, or using search.
2. Go to Device Security > Core isolation > Core isolation details. Under Memory integrity, you’ll find this option turned Off by default. You can turn On this option to enable HVCI.
3. After this, you will receive a notification that this change requires a system restart. Click on Restart in that notification.
Your system will now reboot and after reboot, you should have virtualization-based security enabled.
Method 2 – Using Group Policy
1. Open Group Policy Editor snap-in.
2. In the Group Policy Editor window, navigate here:
Computer Configuration > Administrative Templates > System > Device Guard
3. In the right pane of Device Guard, locate the policy setting named Turn on Virtualization Based Security. Double click on that to modify its settings.
4. In the policy configuration window, select Enabled. Under Options, for Virtualization Based Protection of Code Integrity, select Enabled with UEFI lock. Click Apply, OK.
You can now restart the system, or update Group Policy engine by running gpupdate /force command to have virtualization-based security enabled.
That’s it!
Related: How to enable/disable Windows Defender antivirus.