当微软发布 Windows 11 时，VBS 或基于虚拟化的安全功能成为了它的一个主要话题。虽然该功能本身并不新颖，但它在 Windows 11 中被默认启用，以提供额外的保护层。在 Windows 11 全面上市时，微软详细解释了为什么 VBS 与 TPM 2.0 版（另一项关键安全功能和操作系统的要求）一起如此重要。

今天，该公司在一篇技术社区博文中公布了基于 VBS 的新功能 VBS Enclaves 的详细信息，这是一种信任执行环境（TEE），旨在利用隔离用户模式虚拟信任级别（VTL）的强大功能确保第三方应用程序的安全。

VBS enclaves 本质上是一种 DLL 文件，这意味着 Windows 可以在各种程序中使用它们。微软解释说：

... VBS enclave 是主机应用程序地址空间内基于软件的 TEE。它是由标准 Windows 应用程序加载的动态链接库 (DLL)。VBS enclaves 可以帮助保护内存中的机密和敏感操作。其基本前提是，VBS enclave 可以在内存中隔离应用程序中需要保护的部分。

...VBS使用 Windows Hyper-V 虚拟机管理程序创建一个隔离的特权虚拟环境，称为虚拟信任级别 1（或 VTL1），成为操作系统的信任根。传统的 Windows 环境称为 VTL0。VTL1 又分为隔离用户模式和安全内核。

..

VBS 提供的隔离是一项核心技术，它允许 VBS enclave 将应用程序的一部分隔离在权限较高的 VTL1 中，VTL0 无法访问。

下图解释了 Enclave 如何在 VTL1 内部创建一个 VTL0 无法访问的隔离安全环境。

微软还公布了 VBS Enclaves 的系统要求：

设备要求

运行 VBS Enclaves 需要以下设备：

• 必须启用 VBS/HVCI。在 Windows 11 或更高版本中，默认情况下应启用此功能。

• Windows 11 或更高版本或 Windows Server 2019 或更高版本。

开发人员可以在微软网站上的支持文档中找到有关创建 VBS enclave的详细信息。