Enclave di sicurezza basata su virtualizzazione

Un enclave di sicurezza basata su virtualizzazione è un ambiente di esecuzione attendibile basato su software all'interno dello spazio indirizzi di un'applicazione host. Gli enclave VBS sfruttano la tecnologia VBS sottostante per isolare la parte sensibile di un'applicazione in una partizione sicura di memoria. Le enclave VBS consentono l'isolamento dei carichi di lavoro sensibili sia dall'applicazione host che dal resto del sistema.

Pianificando in anticipo e isolando la parte sensibile del carico di lavoro, è possibile isolarla in un enclave VBS, come illustrato nel diagramma seguente:

Requisiti dei dispositivi

Per eseguire enclave VBS, è necessario quanto segue:

• È necessario abilitare VBS/HVCI. Questa opzione deve essere abilitata in Windows 11 o versioni successive per impostazione predefinita. Per altre informazioni, vedere Abilitare la protezione basata su virtualizzazione dell'integrità del codice.
• Windows 11 o versione successiva o Windows Server 2019 o versione successiva.

Prerequisiti di sviluppo

Oltre ai requisiti del dispositivo, per sviluppare enclave VBS sono necessari gli elementi seguenti:

• Visual Studio 2022 versione 17.9 o successiva: è necessario il compilatore Microsoft Visual C++ (MSVC). L'installazione di Visual Studio semplifica questa operazione.
• Windows Software Development Kit (SDK) versione 10.0.22621.3233 o successiva, che fornisce veiid.exe l'utilità di associazione dell'ID di importazione dell'enclave VBS e signtool.exe.
• Un account di firma attendibile .

Risorse aggiuntive

• Guida allo sviluppo di enclave VBS
• API disponibili negli enclave VBS
• Protezione dei carichi di lavoro sensibili con enclave VBS
• Panoramica delle enclave sicure (esecuzione attendibile)
• Documentazione di Always Encrypted con enclave sicure
• Sicurezza basata su virtualizzazione (VBS) | Windows Hardware Developer
• Nuove funzionalità di Windows 11 rafforzano la sicurezza per affrontare l'evoluzione del panorama informatico