Microsoft beschreibt SystemContainer, eine hardwarebasierte Container-Technologie, die in Windows 10 integriert ist

Vor Windows 8 bestand die Sicherheit von Desktop-Betriebssystemen fast ausschließlich aus Software. Das Problem bei diesem Ansatz war, dass Malware oder ein Angreifer, wenn er genügend Privilegien erlangte, zwischen die Hardware und das Betriebssystem eindringen konnte oder es schaffte, die Firmware-Komponenten des Geräts zu manipulieren, auch Wege finden konnte, sich vor der Plattform zu verstecken und den Rest Ihrer sicherheitsrelevanten Verteidigung. Um dieses Problem zu beheben, benötigte Microsoft Geräte- und Plattformvertrauen, das in unveränderlicher Hardware verwurzelt ist und nicht nur in Software, die manipuliert werden kann.

Bei Windows 8-zertifizierten Geräten nutzte Microsoft einen hardwarebasierten Vertrauensanker mit Universal Extensible Firmware Interface (UEFI) Secure Boot. Mit Windows 10 heben sie dies jetzt auf die nächste Stufe, indem sie sicherstellen, dass diese Vertrauenskette auch mithilfe der Kombination aus hardwarebasierten Sicherheitskomponenten wie dem Trusted Platform Module (TPM) und Cloud-basierten Diensten ( Device Health Attestation (DHA)), die verwendet werden kann, um die wahre Integrität des Geräts zu überprüfen und aus der Ferne zu bestätigen.

Um dieses Sicherheitsniveau in Milliarden von Geräten auf der ganzen Welt zu implementieren, arbeitet Microsoft mit OEMs und Chipanbietern wie Intel zusammen. Sie veröffentlichen regelmäßige Firmware-Updates für UEFI, sperren UEFI-Konfigurationen, aktivieren den UEFI-Speicherschutz (NX), führen wichtige Tools zur Schwachstellenminderung aus und schützen das Betriebssystem der Plattform und SystemContainer-Kernel (z. B.: WSMT) vor potenziellen SMM-bezogenen Exploits.

Mit Windows 8 entwickelte Microsoft das Konzept moderner Apps (jetzt UWP-Apps), die nur innerhalb von AppContainer ausgeführt werden und der Benutzer der App bei Bedarf buchstäblich Zugriff auf Ressourcen wie ein Dokument gewährt. Im Fall von Win32-Apps kann die App nach dem Öffnen alles tun, wozu der Benutzer die Berechtigungen hat (z. B.: jede Datei öffnen; Systemkonfiguration ändern). Da AppContainer nur für UWP-Apps gedacht sind, blieben Win32-Apps eine Herausforderung. Mit Windows 10 bringt Microsoft eine neue Hardware-basierte Container-Technologie, die wir SystemContainer nennen. Es ähnelt einem AppContainer und isoliert, was darin ausgeführt wird, vom Rest des Systems und den Daten. Der Hauptunterschied besteht darin, dass SystemContainer darauf ausgelegt ist, die sensibelsten Teile des Systems – wie die Verwaltung von Benutzeranmeldeinformationen oder die Abwehr von Windows – vor allem zu schützen, einschließlich des Betriebssystems selbst, von dem wir annehmen müssen, dass es kompromittiert wird.

Der SystemContainer verwendet hardwarebasierte Isolierung und die Virtualization Based Security (VBS)-Funktion von Windows 10, um die damit ausgeführten Prozesse von allem anderen auf dem System zu isolieren. VBS verwendet die Virtualisierungserweiterungen auf dem Prozessor des Systems (z. B. Intels VT-X), um die adressierbaren Speicherbereiche zwischen zwei parallel laufenden Betriebssystemen auf Hyper-V zu isolieren. Betriebssystem eins ist das, das Sie schon immer kennen und verwenden, und Betriebssystem zwei ist der SystemContainer, der als sichere Ausführungsumgebung fungiert, die im Hintergrund läuft. Aufgrund der Verwendung von Hyper-V durch den SystemContainer und der Tatsache, dass er kein Netzwerk, keine Benutzererfahrung, keinen gemeinsam genutzten Speicher oder Speicher hat, ist die Umgebung gut gegen Angriffe gesichert. Selbst wenn das Windows-Betriebssystem auf Kernel-Ebene vollständig kompromittiert ist (was einem Angreifer die höchsten Privilegien verleihen würde), können die Prozesse und Daten im SystemContainer dennoch sicher bleiben.

Dienste und Daten innerhalb des SystemContainers werden mit deutlich geringerer Wahrscheinlichkeit kompromittiert, da die Angriffsfläche für diese Komponenten erheblich reduziert wurde. SystemContainer unterstützt Sicherheitsfunktionen wie Credential, Device Guard, Virtual Trusted Platform Module (vTPM). Microsoft fügt jetzt mit dem Jubiläums-Update die Biometrie-Validierungskomponenten von Windows Hello und die biometrischen Daten des Benutzers in SystemContainer hinzu, um es sicher zu halten. Microsoft erwähnte auch, dass sie weiterhin einige der sensibelsten Windows-Systemdienste in den SystemContainer verschieben werden.