Microsoft podrobně popisuje SystemContainer, hardwarovou kontejnerovou technologii zabudovanou do Windows 10

Před Windows 8 bylo zabezpečení operačního systému pro stolní počítače postaveno téměř výhradně ze softwaru. Problém s tímto přístupem byl v tom, že pokud malware nebo útočník získali dostatečná privilegia, mohli se dostat mezi hardware a operační systém nebo se jim podařilo manipulovat s komponentami firmwaru zařízení, mohli také najít způsoby, jak se skrýt před platformou a zbytek vaší obrany související s bezpečností. K vyřešení tohoto problému Microsoft potřeboval, aby důvěryhodnost zařízení a platformy byla zakořeněna v neměnném hardwaru, nikoli pouze v softwaru, se kterým lze manipulovat.

U zařízení certifikovaných pro Windows 8 společnost Microsoft využila hardwarový kořen důvěry s UEFI (Universal Extensible Firmware Interface) Secure Boot. Nyní, s Windows 10, to posouvají na další úroveň tím, že zajišťují, že tento řetězec důvěry lze ověřit také pomocí kombinace hardwarových základních bezpečnostních komponent, jako je Trusted Platform Module (TPM) a cloudových služeb ( Device Health Attestation (DHA)), který lze použít k prověření a vzdálenému ověření skutečné integrity zařízení.

Aby společnost Microsoft implementovala tuto úroveň zabezpečení do miliard zařízení po celém světě, spolupracuje s výrobci OEM a dodavateli čipů, jako je Intel. Vydávají pravidelné aktualizace firmwaru pro UEFI, zamykají konfigurace UEFI, umožňují ochranu paměti UEFI (NX), spouštějí nástroje pro zmírnění klíčových zranitelností a posilují platformu OS a jádra SystemContainer (např.: WSMT) před potenciálními zneužitími souvisejícími s SMM.

S Windows 8 přišel Microsoft s konceptem moderních aplikací (nyní aplikací UWP), které běží pouze uvnitř AppContainer a uživatel doslova dává aplikaci přístup ke zdrojům, jako je dokument, na vyžádání. V případě aplikací Win32, jakmile aplikaci otevřete, může dělat cokoli, k čemu má uživatel oprávnění (např.: otevřít libovolný soubor, změnit konfiguraci systému). Protože AppContainers jsou pouze pro aplikace UWP, aplikace Win32 zůstaly výzvou. S Windows 10 Microsoft přináší novou hardwarovou kontejnerovou technologii, kterou nazýváme SystemContainer. Je podobný AppContaineru, izoluje to, co v něm běží, od zbytku systému a dat. Hlavní rozdíl je v tom, že SystemContainer je navržen tak, aby chránil nejcitlivější části systému – jako jsou ty, které spravují uživatelská pověření nebo poskytují obranu Windows – před vším, včetně samotného operačního systému, o kterém musíme předpokládat, že bude kompromitován.

SystemContainer využívá hardwarovou izolaci a schopnost Windows 10 Virtualization Based Security (VBS) k izolaci procesů, které s ním běží, od všeho ostatního v systému. VBS používá virtualizační rozšíření na procesoru systému (např.: Intel VT-X) k izolaci adresovatelných paměťových prostorů mezi dvěma operačními systémy běžícími paralelně nad Hyper-V. Operační systém jedna je ten, který jste vždy znali a používáte, a operační systém dva je SystemContainer, který funguje jako bezpečné spouštěcí prostředí, které běží tiše v pozadí. Vzhledem k tomu, že SystemContainer používá Hyper-V a nemá žádnou síť, uživatelskou zkušenost, sdílenou paměť nebo úložiště, je prostředí dobře zabezpečeno proti útokům. Ve skutečnosti, i když je operační systém Windows plně kompromitován na úrovni jádra (což by útočníkovi poskytlo nejvyšší úroveň oprávnění), procesy a data v SystemContainer mohou stále zůstat v bezpečí.

Služby a data v SystemContaineru jsou výrazně méně ohroženy, protože plocha útoku pro tyto komponenty byla výrazně omezena. SystemContainer poskytuje bezpečnostní funkce včetně Credential, Device Guard, Virtual Trusted Platform Module (vTPM). Microsoft nyní přidává komponenty pro ověřování biometrie Windows Hello a uživatelská biometrická data do SystemContainer s aktualizací Anniversary, aby byla zabezpečena. Microsoft také zmínil, že bude pokračovat v přesouvání některých nejcitlivějších systémových služeb Windows do SystemContainer.