Windowsの仮想化ベースのセキュリティとは何ですか？

仮想化ベースのセキュリティは、何年もの間Windows10の機能でした。マイクロソフトがそれを強制していなかったので、それは多くの人々のレーダーの下で飛んだ。ただし、これはWindows11で変更されます。

VBSを詳しく見て、それが何であるか、そしてそれを有効または無効にする方法を見てみましょう。

仮想化ベースのセキュリティ（VBS）とは何ですか？

仮想化ベースのセキュリティ（VBS）は、Windowsハイパーバイザーを使用して、メインメモリのセグメントをオペレーティングシステムの残りの部分から仮想的に分離します。 Windowsは、この分離された安全なメモリ領域を使用して、ログイン資格情報やWindowsセキュリティを担当するコードなどの重要なセキュリティソリューションを保存します。

メモリの隔離された部分内でセキュリティソリューションをホストする理由は、これらの保護を無効にすることを目的としたエクスプロイトからソリューションを保護するためです。マルウェアは、多くの場合、Windowsの組み込みのセキュリティメカニズムを標的にして、重要なシステムリソースにアクセスします。たとえば、悪意のあるコードは、Windowsのコード認証方法を無効にすることで、カーネルレベルのリソースにアクセスする可能性があります。

VBSは、Windowsセキュリティソリューションを他のOSから分離することにより、この問題を解決します。これにより、脆弱性はOS保護にアクセスできないため、OS保護をバイパスできないため、Windowsの安全性が高まります。これらの保護の1つは、ハイパーバイザー強制コード整合性（HVCI）またはメモリ整合性です。

HVCIはVBSを活用して、拡張されたコード整合性チェックを実装します。これらのチェックは、カーネルモードのドライバーとプログラムを認証して、それらが信頼できるソースからのものであることを確認します。したがって、HVCIは、信頼できるコードのみがメモリにロードされることを保証します。

つまり、VBSは、Windowsが重要なセキュリティソリューションを他のすべてのものから分離しておくためのメカニズムです。システムが侵害された場合でも、悪意のあるコードが侵入して無効化/バイパスすることはできないため、VBSによって保護されているソリューションと情報はアクティブなままです。

Windowsにおける仮想化ベースのセキュリティの必要性

Windows 11のVBSの必要性を理解するには、VBSが排除しようとしている脅威を理解する必要があります。 VBSは主に、従来のセキュリティメカニズムでは処理できない悪意のあるコードから保護するためのメカニズムです。

言い換えれば、VBSはカーネルモードのマルウェアを打ち負かすことを目的としています。

カーネルはあらゆるOSのコアです。これは、すべてを管理し、さまざまなハードウェアコンポーネントが連携できるようにするコードです。通常、ユーザープログラムはカーネルモードでは実行されません。それらはユーザーモードで実行されます。ユーザーモードプログラムには昇格された権限がないため、機能が制限されています。たとえば、ユーザーモードプログラムは、別のプログラムの仮想アドレス空間を上書きして、その操作を混乱させることはできません。

カーネルモードプログラムは、その名前が示すように、Windowsカーネルへのフルアクセスを持ち、次にWindowsのリソースへのフルアクセスを持ちます。システムコールを発信したり、重要なデータにアクセスしたり、障害なくリモートサーバーに接続したりできます。

つまり、カーネルモードのプログラムは、アンチウイルスプログラムよりも高い権限を持っています。そのため、Windowsやサードパーティのアプリによって設定されたファイアウォールやその他の保護をバイパスできます。

多くの場合、Windowsは、カーネルレベルのアクセス権を持つ悪意のあるコードがあることすら知りません。これにより、カーネルモードのマルウェアの検出が非常に困難になるか、場合によっては不可能になります。

VBSはこれを変えることを目指しています。

前のセクションで説明したように、VBSはWindowsハイパーバイザーを使用してメモリの安全な領域を作成します。 Windowsハイパーバイザーには、システム内で最高レベルのアクセス許可があります。システムメモリの制限を確認して適用できます。

したがって、カーネルモードのマルウェアがシステムメモリ内のページを変更した場合、ハイパーバイザーを利用したコード整合性チェックにより、セキュリティで保護されたメモリ領域内の潜在的な整合性違反についてメモリページが検査されます。コードの一部がこれらの整合性チェックから緑色の信号を受信した場合にのみ、このメモリ領域の外で実行可能になります。

簡単に言うと、Windowsには、ユーザーモードの悪意のあるコードの処理に加えて、カーネルモードのマルウェアのリスクを最小限に抑えるためのVBSが必要です。

Windows 11はVBSをどのように使用しますか？

Windows 11のハードウェア要件を詳しく見ると、VBSが機能するには、MicrosoftがWindows11PCに義務付けているもののほとんどが必要であることがわかります。 Microsoftは、VBSがWebサイトで機能するために必要なハードウェアについて、次のように詳しく説明しています。

1. IntelVT-XやAMD-Vなどのハードウェアアクセラレーション機能を備えた64ビットCPU
2. トラステッドプラットフォームモジュール（TPM）2.0
3. UEFI
4. ハイパーバイザー-強制コード整合性（HVCI）互換ドライバー

このリストから、Intel第8世代以降のCPUを含むWindows 11の主要なハードウェア要件が、VBSとそれが可能にする機能を促進するために存在することは明らかです。そのような機能の1つに、ハイパーバイザー強制コード整合性（HVCI）があります。

VBSはWindowsハイパーバイザーを使用して、他のOSとは別の仮想メモリ環境を構築していることを思い出してください。この環境は、OSの信頼のルートとして機能します。つまり、この仮想環境内にあるコードとセキュリティメカニズムのみが信頼されます。カーネルモードコードを含む外部に存在するプログラムとソリューションは、認証されるまで信頼されません。 HVCIは、VBSが作成する仮想環境を強化する重要なコンポーネントです。

仮想メモリ領域内で、HVCIはカーネルモードコードの整合性違反をチェックします。問題のカーネルモードコードは、コードが信頼できるソースからのものであり、割り当てがシステムセキュリティに脅威を与えない場合にのみ、メモリを割り当てることができます。

ご覧のとおり、HVCIは大きな問題です。したがって、Windows 11は、互換性のあるすべてのシステムでこの機能をデフォルトでオンにします。

コンピューターでVBSが有効になっているかどうかを確認する方法

Microsoftは、互換性のあるビルド済みおよびOEMWindows11マシンでVBSをデフォルトで有効にします。残念ながら、VBSはパフォーマンスを25％も低下させる可能性があります。したがって、Windows 11を実行していて、最先端のセキュリティが必要ない場合は、必ずVBSをオフにしてください。

コンピューターでVBSが有効になっていることを確認するには、Windowsキーを押します。 、「システム情報」と入力し、関連する結果を選択します。アプリが開いたら、[仮想化ベースのセキュリティ]まで下にスクロールします 有効になっているかどうかを確認してください。

VBSを有効/無効にするには、Windowsキーを押し、「コア分離」と入力して、関連する結果を選択します。 コア分離 セクションで、メモリの整合性を切り替えます オン/オフ。

最後に、PCを再起動します。

VBSはWindows11をはるかに安全にすることができます...しかし欠点があります

HVCIのようなWindows11の大きなセキュリティ機能は、正当な理由でVBSに大きく依存しています。 VBSは、悪意のあるコードを打ち負かし、セキュリティ違反からOSを保護するための効果的な方法です。ただし、VBSは仮想化に依存しているため、システムパフォーマンスのかなりの部分を消費する可能性があります。

Microsoftの企業顧客にとって、このセキュリティバンプは、パフォーマンスを犠牲にしても、簡単です。しかし、特にゲーム中にスピーディーなWindowsエクスペリエンスを求める平均的な人々にとって、VBSのパフォーマンスコストは飲み込むのが難しい場合があります。

ありがたいことに、MicrosoftではマシンでVBSを無効にすることができます。ただし、VBSを無効にすることについて心配する必要はありません。 Windows 11は、VBSがなくてもWindows10よりもはるかに安全です。