當微軟發布Windows 11 時，VBS 或基於虛擬化的安全功能成為了它的一個主要主題。雖然該功能本身並不新穎，但它在Windows 11 中被預設為啟用，以提供額外的保護層。在Windows 11 全面上市時，微軟詳細解釋了為什麼VBS 與TPM 2.0 版（另一項關鍵安全功能和作業系統的要求）一起如此重要。

今天，該公司在一篇技術社群部落格文章中公佈了基於VBS 的新功能VBS Enclaves 的詳細信息，這是一種信任執行環境（TEE），旨在利用隔離用戶模式虛擬信任級別（VTL）的強大功能確保第三方應用程式的安全。

VBS enclaves 本質上是一種DLL 文件，這意味著Windows 可以在各種程式中使用它們。微軟解釋：

… VBS enclave 是主機應用程式位址空間內基於軟體的TEE。它是由標準Windows 應用程式載入的動態連結程式庫(DLL)。 VBS enclaves 可以幫助保護記憶體中的機密和敏感操作。其基本前提是，VBS enclave 可以在記憶體中隔離應用程式中需要保護的部分。

…VBS使用Windows Hyper-V 虛擬機器管理程式建立隔離的特權虛擬環境，稱為虛擬信任等級1（或VTL1），成為作業系統的信任根。傳統的Windows 環境稱為VTL0。 VTL1 又分為隔離使用者模式和安全核心。

..

VBS 提供的隔離是一項核心技術，它允許VBS enclave 將應用程式的一部分隔離在權限較高的VTL1 中，VTL0 無法存取。

下圖解釋了Enclave 如何在VTL1 內部建立一個VTL0 無法存取的隔離安全環境。

微軟也公佈了VBS Enclaves 的系統需求：

設備要求

運行VBS Enclaves 需要以下設備：

• 必須啟用VBS/HVCI。在Windows 11 或更高版本中，預設應啟用此功能。
• Windows 11 或更高版本或Windows Server 2019 或更高版本。

開發人員可以在微軟網站上的支援文件中找到有關建立VBS enclave的詳細資訊。