Contenidos
La seguridad basada en virtualización ha sido una característica de Windows 10 durante años. Pasó desapercibido para mucha gente porque Microsoft no lo estaba haciendo cumplir; sin embargo, esto cambiará con Windows 11.
Echemos un vistazo más de cerca a VBS, veamos qué es y cómo habilitarlo y deshabilitarlo.
¿Qué es la seguridad basada en virtualización (VBS)?
La seguridad basada en virtualización (VBS) utiliza el hipervisor de Windows para aislar virtualmente un segmento de la memoria principal del resto del sistema operativo. Windows usa esta región de memoria aislada y segura para almacenar importantes soluciones de seguridad, como credenciales de inicio de sesión y código responsable de seguridad de Windows, entre otras cosas.
La razón para alojar soluciones de seguridad dentro de una parte aislada de la memoria es proteger las soluciones de exploits que apuntan a vencer estas protecciones. El malware a menudo se dirige a los mecanismos de seguridad integrados de Windows para obtener acceso a los recursos críticos del sistema. Por ejemplo, el código malintencionado puede acceder a los recursos de nivel de kernel al anular los métodos de autenticación de código de Windows.
VBS resuelve este problema separando las soluciones de seguridad de Windows del resto del sistema operativo. Esto hace que Windows sea más seguro, ya que las vulnerabilidades no pueden eludir las protecciones del sistema operativo porque no tienen acceso a estas protecciones. Una de estas protecciones es la integridad del código aplicado por el hipervisor (HVCI) o la integridad de la memoria.
HVCI aprovecha VBS para implementar comprobaciones avanzadas de integridad de código. Estas comprobaciones autentican los controladores y programas en modo kernel para asegurarse de que provienen de fuentes confiables. Por lo tanto, HVCI garantiza que solo se cargue en la memoria el código confiable.
En resumen, VBS es un mecanismo mediante el cual Windows mantiene las soluciones de seguridad críticas separadas de todo lo demás. En el caso de una violación del sistema, las soluciones y la información protegida por VBS permanecerán activas, ya que el código malicioso no puede infiltrarse y deshabilitarlas / omitirlas.
La necesidad de seguridad basada en la virtualización en Windows
Para comprender la necesidad de VBS de Windows 11, debemos comprender las amenazas que VBS pretende eliminar. VBS es principalmente un mecanismo de protección contra código malicioso que los mecanismos de seguridad tradicionales no pueden manejar.
En otras palabras, VBS tiene como objetivo derrotar al malware en modo kernel.
El kernel es el corazón de cualquier sistema operativo. Es el código que gestiona todo y permite que diferentes componentes de hardware trabajen juntos. Generalmente, los programas de usuario no se ejecutan en modo kernel. Funcionan en modo usuario. Los programas en modo de usuario tienen una funcionalidad limitada ya que no tienen permisos elevados. Por ejemplo, un programa en modo usuario no puede sobrescribir el espacio de direcciones virtuales de otro programa e interferir con su funcionamiento.
Los programas en modo kernel, como su nombre indica, tienen acceso completo al kernel de Windows y, a su vez, acceso completo a los recursos de Windows. Pueden realizar llamadas al sistema, acceder a datos críticos y conectarse a servidores remotos sin obstáculos.
En resumen, los programas en modo kernel tienen altos permisos incluso en comparación con los programas antivirus. Por lo tanto, pueden eludir los firewalls y otras protecciones establecidas por Windows y aplicaciones de terceros.
En muchos casos, Windows ni siquiera sabrá que existe un código malicioso con acceso a nivel de kernel. Esto hace que la detección de malware en modo kernel sea extremadamente difícil o, en algunos casos, incluso imposible.
VBS tiene como objetivo cambiar esto.
Como se mencionó en la sección anterior, VBS crea un área de memoria segura utilizando el hipervisor de Windows. El hipervisor de Windows tiene el nivel más alto de permisos en el sistema. Puede comprobar e imponer restricciones a la memoria del sistema.
Por lo tanto, si el malware en modo kernel ha alterado páginas en la memoria del sistema, las verificaciones de integridad del código basadas en hipervisor examinan las páginas de memoria en busca de posibles violaciones de integridad dentro del área de memoria protegida. Solo cuando un fragmento de código recibe una señal verde de estas comprobaciones de integridad, se vuelve ejecutable fuera de esta región de memoria.
En pocas palabras, Windows necesita VBS para minimizar el riesgo de malware en modo kernel, así como para manejar código malicioso en modo de usuario.
¿Cómo usa Windows 11 VBS?
Si observamos de cerca los requisitos de hardware de Windows 11, podemos ver que la mayoría de las cosas que Microsoft requiere para una PC con Windows 11 son necesarias para que VBS funcione. Microsoft detalla el hardware necesario para que VBS funcione en su sitio web, que incluye:
-
Una CPU de 64 bits con capacidades de aceleración de hardware como Intel VT-X y AMD-V
-
Módulo de plataforma confiable (TPM) 2.0
-
UEFI
-
Controladores compatibles con Hypervisor-Enforcement Code Integrity (HVCI)
De esta lista, está bastante claro que los requisitos de hardware principales de Windows 11, incluidas las CPU Intel de octava generación o superiores, están ahí para facilitar VBS y las funciones que habilita. Una de estas características es la integridad de código aplicada por hipervisor (HVCI).
Recuerde que VBS utiliza el hipervisor de Windows para crear un entorno de memoria virtual independiente del resto del sistema operativo. Este entorno actúa como la raíz de confianza del sistema operativo. En otras palabras, solo se confía en el código y los mecanismos de seguridad que residen dentro de este entorno virtual. Los programas y soluciones que residen externamente, incluido cualquier código en modo kernel, no son confiables hasta que se autentican. HVCI es un componente clave que fortalece el entorno virtual creado por VBS.
Dentro de la región de memoria virtual, HVCI verifica el código del modo kernel en busca de violaciones de integridad. El código en modo kernel en cuestión solo puede asignar memoria si el código proviene de una fuente confiable y si las asignaciones no representan una amenaza para la seguridad del sistema.
Como puede ver, HVCI es un gran problema. Por lo tanto, Windows 11 habilita la función de forma predeterminada en todos los sistemas compatibles.
Cómo ver si VBS está habilitado en su computadora
Microsoft habilita VBS en equipos OEM compatibles y por defecto con Windows 11 de forma predeterminada. Desafortunadamente, VBS puede aumentar el rendimiento hasta en un 25%. Por lo tanto, si está ejecutando Windows 11 y no necesita seguridad de vanguardia, asegúrese de apagar VBS.
Para verificar que VBS está habilitado en su computadora, presione el botón Clave de Windows, escriba “información del sistema” y elija el resultado correspondiente. Una vez que se abra la aplicación, desplácese hacia abajo para Seguridad basada en virtualización y mira si está habilitado
Para habilitar / deshabilitar VBS, presione la tecla de Windows, escriba “aislamiento del núcleo” y seleccione el resultado relevante. En Aislamiento del núcleo sección, interruptor Integridad de la memoria Encendido apagado.
Finalmente, reinicie su PC.
VBS puede hacer que Windows 11 sea mucho más seguro … pero hay inconvenientes
Las excelentes características de seguridad de Windows 11 como HVCI dependen en gran medida de VBS, por una buena razón. VBS es una forma eficaz de vencer el código malicioso y proteger el sistema operativo de las brechas de seguridad. Pero dado que VBS se basa en la virtualización, puede consumir una buena parte del rendimiento del sistema.
Para los clientes corporativos de Microsoft, este aumento de la seguridad, incluso en lo que respecta al rendimiento, es muy sencillo. Pero para la gente promedio que quiere una experiencia rápida de Windows, especialmente cuando juega, el costo de rendimiento de VBS puede ser difícil de aceptar.
Afortunadamente, Microsoft le permite deshabilitar VBS en su computadora. Pero no se preocupe por desactivar VBS. Windows 11 es mucho más seguro que Windows 10 incluso sin VBS.
Leer siguiente
Sobre el Autor