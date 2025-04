Microsoft ha recentemente annunciato l’accantonamento della funzionalità di sicurezza VBS Enclaves nelle versioni precedenti a Windows 11 24H2 e Windows Server 2025. Sebbene la comunicazione ufficiale non offra spiegazioni precise, la mossa solleva interrogativi sull’evoluzione della strategia di sicurezza dell’ecosistema Windows. Ma cosa sono le enclavi VBS e a cosa servono?

Cosa sono le enclavi VBS

Le enclavi VBS (Virtualization-Based Security) di Windows sono una tecnologia di sicurezza avanzata che utilizza l’hardware e la virtualizzazione per creare ambienti isolati e protetti all’interno del sistema operativo. Questi “contenitori protetti” sono utilizzati per isolare processi, dati e codice critico dal resto del sistema operativo. Così, nemmeno un malware che riuscisse a farsi largo sul sistema in uso può accedere alle informazioni personali e riservate contenute all’interno dell’enclave VBS.

A differenza di altri approcci, le enclavi VBS utilizzate in Windows non richiedono hardware specializzato. Sono quindi sfruttabili su una vasta gamma di dispositivi compatibili, purché la funzionalità sia abilitata a livello di sistema operativo e, a più basso livello, è comunque necessario disporre di un chip che supporta le funzionalità di virtualizzazione (Intel VT-x, AMD-V).

La tecnologia alla base delle enclavi VBS fu lanciata con Windows Server 2019 e successivamente migliorata per poi renderla disponibile anche per le applicazioni di terze parti.

Attualmente, tra le applicazioni Microsoft che utilizzano le enclavi VBS ci sono le seguenti:

Azure SQL Database , per l’esecuzione protetta di query;

, per l’esecuzione protetta di query; Windows Recall , una funzione (peraltro molto discussa…) che raccoglie e cataloga le informazioni che appaiono a video;

, una funzione (peraltro molto discussa…) che raccoglie e cataloga le informazioni che appaiono a video; Credential Guard, per l’isolamento delle credenziali di sistema da processi compromessi.

Cosa succede alle enclavi VBS nelle versioni più vecchie di Windows 11 e Windows Server

Nel suo annuncio, Microsoft scrive testualmente: “le enclavi VBS sono in corso di deprecazione su Windows 11 versione 23H2 e precedenti oltre che su Windows Server 2022 e precedenti versoni di Windows Server“. Il termine “deprecazione“, bruttissimo in italiano, suggerisce che la funzione in questione è destinata a essere rimossa in una futura versione del sistema operativo, anche se per ora resta comunque presente e funzionante.

Microsoft sta dicendo agli sviluppatori e agli amministratori di sistema che non intende più supportare, nel prossimo futuro, le enclavi VBS sulle versioni precedenti di Windows. Contemporaneamente, l’azienda di Redmond concede il tempo necessario per adattare o migrare le soluzioni software prima della rimozione definitiva della funzionalità.

Possibili motivazioni dell’abbandono della tecnologia VBS

Sebbene Microsoft non abbia motivato ufficialmente la decisione, alcuni indizi emergono dalla documentazione tecnica relativa alle Secure Enclaves:

Using these APIs for a VBS Enclave requires Windows 11 Build 26100.2314 or later or Windows Server 2025 or later.

La frase suggerisce che gli aggiornamenti applicati sulle API (Application Programming Interfaces) utilizzate per “dialogare” con le enclavi sono compatibili solo con le build più recenti di Windows. È plausibile, quindi, che l’obiettivo non sia la rimozione delle enclavi in sé, ma la razionalizzazione delle API e il disincentivo all’uso con versioni precedenti del sistema operativo, soprattutto da parte di applicazioni di terze parti.

Il fatto che Microsoft voglia concentrare il supporto per VBS solo in Windows 11 24H2 e Windows Server 2025 è un segnale della volontà di consolidare la sicurezza nelle build più recenti dei suoi sistemi operativi, spingendo al contempo aziende e sviluppatori ad aggiornare le rispettive piattaforme.

Da ultimo un doveroso appunto: le enclavi VBS non hanno evidentemente nulla a che fare con gli script VBS (VBScript) che Microsoft ha iniziato ad abbandonare nel 2023 ma anche ancora risultano supportati anche da Windows 11.