Colocar um ambiente de execução confiável em um PC é útil para mais do que proteger a IA. Ele protege dados confidenciais, adicionando um novo nível de proteção além do repouso e do movimento: em uso. Embora exija mais trabalho definir e usar um Enclave VBS, vale a pena ter mais segurança com impacto limitado no desempenho.
Com as ferramentas de integridade de memória do Windows 11, um VBS Enclave usa o hipervisor integral do Windows para criar uma nova área isolada e de alto privilégio da memória do sistema: Virtual Trust Level 1. A maior parte do seu código, e o próprio Windows, continuam a ser executados no Virtual Trust Nível 0. A VTL 1 é usada por uma versão segura do kernel do Windows, com seu próprio modo de usuário isolado. É aqui que o seu VBS Enclave é executado, como parte de um aplicativo que parece cruzar a fronteira entre as duas zonas. Na realidade, você está separando o enclave da VTL 1 e usando canais seguros para se comunicar com ele do restante do seu aplicativo na VTL 0.
Usando Enclaves VBS em seus aplicativos
Então, como você constrói e usa Enclaves VBS? Primeiro, você precisará do Windows 11 ou Windows Server 2019 ou posterior, com VBS habilitado. Você pode fazer isso na ferramenta de segurança do Windows, por meio de uma Política de Grupo ou com o Intune para controlá-lo via MDM. Faz parte do serviço Memory Integrity, então você realmente deve habilitá-lo em todos os dispositivos suportados para ajudar a reduzir os riscos de segurança, mesmo se você não planeja usar Enclaves VBS em seu código.