适用于:✅ Windows 11 内部版本 26100.2314 或更高版本 ✅ 的 Windows Server 2025 或更高版本
基于虚拟化的安全性 (VBS) Enclave 是主机应用程序的地址空间内基于软件的受信任执行环境。 VBS Enclave 利用基础 VBS 技术在安全的内存分区中隔离应用程序的敏感部分。 VBS Enclave 可以使敏感工作负载与主机应用程序和系统的其余部分隔离。
通过提前规划并隔离工作负载的敏感部分,你可以在 VBS Enclave 中隔离它,如下图所示:
设备要求
运行 VBS Enclave 需要以下各项:
- 必须启用 VBS/HVCI。 默认情况下,应在 Windows 11 或更高版本上启用此功能。 有关详细信息,请参阅启用基于虚拟化的代码完整性保护。
- Windows 11 内部版本 26100.2314 或更高版本 或 Windows Server 2025 或更高版本。
警告
确保您已查看上述 VBS 隔离区的操作系统支持情况,因为最近的支持已发生变化。
开发必备组件
除了设备要求之外,开发 VBS Enclave 还需要以下各项:
- Visual Studio 2022 版本 17.9 或更高版本 - 需要 Microsoft Visual C++ 编译器 (MSVC)。 安装 Visual Studio 可以简化此操作。
-
Windows 软件开发工具包 (SDK) 版本 10.0.22621.3233 或更高版本,提供
veiid.exe(VBS Enclave 导入 ID 绑定实用工具)和signtool.exe。 - 受信任签名帐户。
开发资源
以下工具、信息和示例可用于帮助你开发 VBS Enclave:
| 资源 | DESCRIPTION |
|---|---|
| VBS Enclaves 开发指南 | 开始开发 VBS Enclave 的指南。 |
| VBS Enclaves 工具 | 包含 VBS Enclaves SDK 的存储库 - 一组库和工具,可帮助你开发 VBS Enclave。 |
| VBS Enclave 的代码生成 | 了解 VBS Enclave 的代码生成过程。 |
| Visual Studio 中的 Vbs Enclave 代码生成器用法 | 了解如何在 Visual Studio 中使用 VBS Enclaves 代码生成器(edlcodegen.exe)。 |
| 什么是 edl 文件 | 了解 .edl 文件以及 VBS Enclaves SDK 如何使用它们。 |
| Hello World VBS Enclave SDK 指南 | 开始使用 VBS Enclave 和 Visual Studio 的新工具的演练。 |